Bilaga F: Skydda domänadministratörsgrupper i Active Directory

Bilaga F: Skydda domänadministratörsgrupper i Active Directory

Precis som med gruppen Företagsadministratörer (EA) bör medlemskap i gruppen Domänadministratörer (DA) endast krävas i scenarier för bygg- eller haveriberedskap. Det bör inte finnas några dagliga användarkonton i DA-gruppen med undantag för det inbyggda administratörskontot för domänen, om det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

Domänadministratörer är som standard medlemmar i de lokala administratörsgrupperna på alla medlemsservrar och arbetsstationer i sina respektive domäner. Den här standardkapslingen bör inte ändras av support- och katastrofåterställningsskäl. Om domänadministratörer har tagits bort från de lokala administratörsgrupperna på medlemsservrarna bör gruppen läggas till i gruppen Administratörer på varje medlemsserver och arbetsstation i domänen. Varje domäns domänadministratörsgrupp bör skyddas enligt beskrivningen i de stegvisa instruktionerna som följer.

För gruppen Domänadministratörer i varje domän i skogen:

1. Ta bort alla medlemmar från gruppen, med möjligt undantag för det inbyggda administratörskontot för domänen, förutsatt att det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

2. I grupppolicyobjekt länkade till organisationsenheter som innehåller medlemsservrar och arbetsstationer i varje domän bör DA-gruppen läggas till i följande användarrättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelningar av användarrättigheter:

   • Neka åtkomst till den här datorn från nätverket

   • Neka inloggning som ett batchjobb

   • Neka inloggning som en tjänst

   • Neka inloggning lokalt

   • Neka inloggning via användarrättigheter för Fjärrskrivbordstjänster

3. Granskning bör konfigureras för att skicka aviseringar om några ändringar görs i egenskaperna eller medlemskapet i gruppen Domänadministratörer.

Stegvisa instruktioner för att ta bort alla medlemmar från gruppen Domänadministratörer

1. I Serverhanteraren klickar du på Verktyg och sedan på Active Directory-användare och datorer.

2. Utför följande steg för att ta bort alla medlemmar från DA-gruppen:

   1. Dubbelklicka på gruppen Domänadministratörer och klicka på fliken Medlemmar .

      

   2. Välj en medlem i gruppen, klicka på Ta bort, klicka på Ja och klicka på OK.

3. Upprepa steg 2 tills alla medlemmar i DA-gruppen har tagits bort.

Stegvisa instruktioner för att skydda domänadministratörer i Active Directory

1. I Serverhanteraren klickar du på Verktyg och sedan på Grupprinciphantering.

2. I konsolträdet expanderar du <Forest>\Domains\<Domain>och grupprincipobjekt (där <Forest> är namnet på skogen och <Domän> är namnet på den domän där du vill ange grupprincipen).

3. Högerklicka på grupprincipobjekti konsolträdet och klicka på Ny.

   

4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn> och klickar på OK (där <GPO-namnet> är namnet på det här grupprincipobjektet).

   

5. Högerklicka på <GPO-namn> i informationsfönstret och klicka på Redigera.

6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principeroch klicka på Tilldelning av användarrättigheter.

   

7. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer kommer åt medlemmars servrar och arbetsstationer via nätverket genom att göra följande:

   1. Dubbelklicka på Neka åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

   2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

   3. Skriv Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

      

   4. Klicka på OK och OK igen.

8. Konfigurera användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som ett batchjobb genom att göra följande:

   1. Dubbelklicka på Neka inloggning som ett batchjobb och välj Definiera dessa principinställningar.

   2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

   3. Skriv Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

      

   4. Klicka på OK och OK igen.

9. Konfigurera användarrättigheterna för att förhindra att medlemmar i DA-gruppen loggar in som en tjänst genom att göra följande:

   1. Dubbelklicka på Neka inloggning som en tjänst och välj Definiera dessa principinställningar.

   2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

   3. Skriv Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

      

   4. Klicka på OK och OK igen.

10. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Domänadministratörer loggar in lokalt på medlemsservrar och arbetsstationer genom att göra följande:

    1. Dubbelklicka på Neka inloggning lokalt och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

       

    4. Klicka på OK och OK igen.

11. Konfigurera användarrättigheter för att förhindra att medlemmar i gruppen Domänadministratörer får åtkomst till medlemsservrar och arbetsstationer via Fjärrskrivbordstjänster genom att göra följande:

    1. Dubbelklicka på Neka inloggning via Fjärrskrivbordstjänster och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

       

    4. Klicka på OK och OK igen.

12. Om du vill avsluta Redigeraren för grupprinciphanteringklickar du på Filoch klickar på Avsluta.

13. I Grupprinciphantering länkar du grupprincipobjektet till de organisatoriska enheterna för medlemsservrar och arbetsstationer på följande sätt:

    1. Gå till <Forest>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på organisationsenheten som grupprincipobjektet ska tillämpas på och klicka på Länka ett befintligt grupprincipobjekt.

       

    3. Välj det grupprincipobjekt som du nyss skapade och klicka på OK.

       

    4. Skapa länkar till alla andra organisationsenheter som innehåller arbetsstationer.

    5. Skapa länkar till alla andra organisationsenheter som innehåller medlemsservrar.

       Important

       Om jump-servrar används för att administrera domänkontrollanter och Active Directory, bör du säkerställa att jump-servrar finns i en organisationsenhet till vilken denna GPO inte är länkad.

Verifieringssteg

Kontrollera GPO-inställningarna "Neka åtkomst till den här datorn från nätverket"

Från en medlemsserver eller arbetsstation som inte påverkas av GPO-ändringarna (till exempel en "jump server"), försöker komma åt en medlemsserver eller arbetsstation via nätverket som påverkas av GPO-ändringarna. Om du vill verifiera GPO-inställningarna försöker du mappa systemenheten med hjälp av kommandot NET USE .

1. Logga in lokalt med ett konto som är medlem i gruppen Domänadministratörer.

2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

3. I sökrutan skriver du kommandotolken, högerklickar på Kommandotolken och klickar sedan på Kör som administratör för att öppna en upphöjd kommandotolk.

4. När du uppmanas att godkänna höjningen klickar du på Ja.

   

5. I kommandotolken skriver du net use \\<Server Name>\c$, där <Servernamn> är namnet på den medlemsserver eller arbetsstation som du försöker komma åt via nätverket.

6. Följande skärmbild visar det felmeddelande som ska visas.

   

Kontrollera GPO-inställningarna "Neka inloggning som ett batchjobb"

Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

Skapa en Batch-fil

1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

2. I rutan Sök skriver du anteckningar och klickar på Anteckningar.

3. I Anteckningar skriver du dir c:.

4. Klicka på Arkiv och sedan på Spara som.

5. I fältet Filnamn skriver du< Filnamn>.bat (där <Filnamn> är namnet på den nya batchfilen).

Schemalägga en aktivitet

1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

2. I sökrutan skriver du schemaläggaren och klickar på Schemaläggaren.

   Note

   På datorer som kör Windows 8 skriver du schemauppgifteri sökrutan och klickar på Schemalägg aktiviteter.

3. I menyraden Schemaläggare klickar du på Åtgärd och sedan på Skapa uppgift.

4. I dialogrutan Skapa aktivitet skriver du <Aktivitetsnamn> (där <Aktivitetsnamn> är namnet på den nya aktiviteten).

5. Klicka på fliken Åtgärder och klicka på Nytt.

6. I fältet Åtgärd väljer du Starta ett program.

7. Under Program/skript klickar du på Bläddra, letar upp och väljer den batchfil som skapades i avsnittet Skapa en Batch-fil och klickar på Öppna.

8. Klicka på OK.

9. Klicka på fliken Allmänt .

10. Under Säkerhetsalternativ klickar du på Ändra användare eller grupp.

11. Skriv namnet på ett konto som är medlem i gruppen Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

12. Välj Kör om användaren är inloggad eller inte och välj Lagra inte lösenord. Uppgiften har endast åtkomst till lokala datorresurser.

13. Klicka på OK.

14. En dialogruta ska visas och begära autentiseringsuppgifter för användarkontot för att köra uppgiften.

15. När du har angett autentiseringsuppgifterna klickar du på OK.

16. En dialogruta som liknar följande bör visas.

    

Kontrollera GPO-inställningarna "Neka inloggning som en tjänst"

1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

3. I rutan Sök skriver du tjänster och klickar på Tjänster.

4. Leta upp och dubbelklicka på Utskriftshanteraren.

5. Klicka på fliken Logga in .

6. Under Logga in somväljer du alternativet Detta konto.

7. Klicka på Bläddra, skriv namnet på ett konto som är medlem i gruppen Domänadministratörer, klicka på Kontrollera namn och klicka på OK.

8. Under Lösenord och Bekräfta lösenord skriver du det valda kontots lösenord och klickar på OK.

9. Klicka på OK tre gånger till.

10. Högerklicka på Utskriftshanteraren och klicka på Starta om.

11. När tjänsten startas om bör en dialogruta som liknar följande visas.

    

Återställ ändringar till skrivarspoolertjänsten

1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

3. I rutan Sök skriver du tjänster och klickar på Tjänster.

4. Leta upp och dubbelklicka på Utskriftshanteraren.

5. Klicka på fliken Logga in .

6. Under Logga in somväljer du kontot Local System och klickar på OK.

Kontrollera GPO-inställningarna "Neka inloggning lokalt"

1. Från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna försöker du logga in lokalt med ett konto som är medlem i gruppen Domänadministratörer. En dialogruta som liknar följande bör visas.

   

Kontrollera GPO-inställningarna "Neka inloggning via Fjärrskrivbordstjänster"

1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

2. I rutan Sök skriver du anslutning till fjärrskrivbord och klickar på Anslutning till fjärrskrivbord.

3. I fältet Dator skriver du namnet på den dator som du vill ansluta till och klickar på Anslut. (Du kan också ange IP-adressen i stället för datornamnet.)

4. När du uppmanas till det anger du autentiseringsuppgifter för ett konto som är medlem i gruppen Domänadministratörer.

5. En dialogruta som liknar följande bör visas.