Dela via

Bilaga G: Skydda administratörsgrupper i Active Directory

Bilaga G: Skydda administratörsgrupper i Active Directory

Precis som med grupperna Företagsadministratörer (EA) och Domänadministratörer (DA) bör medlemskap i den inbyggda gruppen Administratörer (BA) endast krävas i scenarier för bygg- eller haveriberedskap. Det bör inte finnas några dagliga användarkonton i gruppen Administratörer med undantag för det inbyggda administratörskontot för domänen, om det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

Administratörer är som standard ägare till de flesta AD DS-objekt i sina respektive domäner. Medlemskap i den här gruppen kan krävas i bygg- eller haveriberedskapsscenarier där ägarskap eller möjlighet att ta ägarskap för objekt krävs. Dessutom ärver DA:er och EA:er ett antal av sina rättigheter och behörigheter på grund av deras standardmedlemskap i gruppen Administratörer. Standardgruppkapsling för privilegierade grupper i Active Directory bör inte ändras och varje domäns administratörsgrupp bör skyddas enligt beskrivningen i de stegvisa instruktionerna som följer.

! VARNING De steg som beskrivs i det här dokumentet bör testas noggrant i en icke-produktionsmiljö innan de körs i produktion.

För gruppen Administratörer i varje domän i skogen:

  1. Ta bort alla medlemmar från gruppen Administratörer, med möjligt undantag för det inbyggda administratörskontot för domänen, förutsatt att det har skyddats enligt beskrivningen i bilaga D: Skydda Built-In administratörskonton i Active Directory.

  2. I GPO:er som är länkade till organisationsenheter i varje domän, och som innehåller medlemsservrar och arbetsstationer, bör BA-gruppen läggas till följande rättigheter i Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principer\Tilldelning av användarrättigheter:

    • Neka åtkomst till den här datorn från nätverket

    • Neka inloggning som batchjobb

    • Neka inloggning som en tjänst

  3. På domänkontrollanternas organisationsenhet i varje domän i skogen bör gruppen Administratörer beviljas följande användarrättigheter:

    • Få åtkomst till den här datorn från nätverket

    • Tillåt lokal inloggning

    • Tillåt inloggning genom Fjärrskrivbordstjänster

  4. Granskning bör konfigureras för att skicka aviseringar om några ändringar görs i egenskaperna eller medlemskapet i gruppen Administratörer.

Stegvisa instruktioner för att ta bort alla medlemmar från gruppen Administratörer

  1. I Serverhanteraren klickar du på Verktyg och sedan på Active Directory-användare och datorer.

  2. Utför följande steg för att ta bort alla medlemmar från gruppen Administratörer:

    1. Dubbelklicka på gruppen Administratörer och klicka på fliken Medlemmar .

      Skärmbild som visar fliken Medlemmar för att ta bort alla medlemmar från gruppen Administratörer.

    2. Välj en medlem i gruppen, klicka på Ta bort, klicka på Ja och klicka på OK.

  3. Upprepa steg 2 tills alla medlemmar i gruppen Administratörer har tagits bort.

Stegvisa instruktioner för att skydda administratörsgrupper i Active Directory

  1. I Serverhanteraren klickar du på Verktyg och sedan på Grupprinciphantering.

  2. I konsolträdet expanderar du <Forest>\Domains\<Domain>och grupprincipobjekt (där <Forest> är namnet på skogen och <Domän> är namnet på den domän där du vill ange grupprincipen).

  3. Högerklicka på grupprincipobjekti konsolträdet och klicka på Ny.

    Skärmbild som visar var du väljer Ny så att du kan skydda administratörsgrupper i Active Directory.

  4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn> och klickar på OK (där GPO-namnet är namnet på det här grupprincipobjektet).

    Skärmbild som visar var du kan namnge GPO i dialogrutan Nytt GPO så att du kan skydda administratörsgrupper.

  5. Högerklicka på <GPO-namn> i informationsfönstret och klicka på Redigera.

  6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principeroch klicka på Tilldelning av användarrättigheter.

    Skärmbild som visar var du ska navigera så att du kan välja alternativet Administratör för användarrättigheter för att skydda administratörsgrupper.

  7. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer får åtkomst till medlemsservrar och arbetsstationer via nätverket genom att göra följande:

    1. Dubbelklicka på Neka åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Administratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer får åtkomst till medlemsservrar och arbetsstationer i nätverket.

    4. Klicka på OK och OK igen.

  8. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer loggar in som ett batchjobb genom att göra följande:

    1. Dubbelklicka på Neka inloggning som ett batchjobb och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Administratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer loggar in som ett batchjobb.

    4. Klicka på OK och OK igen.

  9. Konfigurera användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer loggar in som en tjänst genom att göra följande:

    1. Dubbelklicka på Neka inloggning som en tjänst och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Administratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna för att förhindra att medlemmar i gruppen Administratörer loggar in som en tjänst.

    4. Klicka på OK och OK igen.

  10. Om du vill avsluta Redigeraren för grupprinciphanteringklickar du på Filoch klickar på Avsluta.

  11. I Grupprinciphantering länkar du grupprincipobjektet till medlemsservern och arbetsstationsenheterna genom att göra följande:

    1. Gå till <Forest>>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på organisationsenheten som grupprincipobjektet ska tillämpas på och klicka på Länka ett befintligt grupprincipobjekt.

      Skärmbild som visar alternativet Länka en befintlig G P O-meny när du högerklickar på organisationsenheten.

    3. Välj det grupprincipobjekt som du nyss skapade och klicka på OK.

      Skärmbild som visar var du väljer det gruppolicyobjekt som du nyss skapade.

    4. Skapa länkar till alla andra organisationsenheter som innehåller arbetsstationer.

    5. Skapa länkar till alla andra organisationsenheter som innehåller medlemsservrar.

      Important

      Om jump-servrar används för att administrera domänkontrollanter och Active Directory, bör du säkerställa att jump-servrar finns i en organisationsenhet till vilken denna GPO inte är länkad.

      Note

      När du implementerar begränsningar för Administratörsgruppen i grupprincipobjekt (GPO) tillämpar Windows inställningarna på medlemmarna i en dators lokala administratörsgrupp samt på administratörsgruppen för domänen. Därför bör du vara försiktig när du implementerar begränsningar i gruppen Administratörer. Även om förbud mot nätverks-, batch- och tjänstinloggningar för medlemmar i gruppen Administratörer rekommenderas oavsett var det är möjligt att implementera, begränsa inte lokala inloggningar eller inloggningar via Fjärrskrivbordstjänster. Att blockera dessa inloggningstyper kan blockera legitim administration av en dator av medlemmar i den lokala gruppen Administratörer.

      Följande skärmbild visar konfigurationsinställningar som blockerar missbruk av inbyggda lokala konton och domänadministratörskonton, förutom missbruk av inbyggda lokala grupper eller domänadministratörsgrupper. Observera att neka-inloggning via fjärrskrivbordstjänster inte innehåller gruppen Administratörer, eftersom det även skulle blockera inloggningarna för konton som är medlemmar i den lokala datorns administratörsgrupp om du inkluderar den i den här inställningen. Om tjänster på datorer är konfigurerade att köras i kontexten för någon av de privilegierade grupper som beskrivs i det här avsnittet kan implementeringen av dessa inställningar leda till att tjänster och program misslyckas. Som med alla rekommendationer i det här avsnittet bör du därför noggrant testa inställningarna för tillämplighet i din miljö.

      Skärmbild som visar konfigurationsinställningar som blockerar missbruk av inbyggda lokala konton och domänadministratörskonton.

Stegvisa instruktioner för att bevilja användarrättigheter till gruppen Administratörer

  1. I Serverhanteraren klickar du på Verktyg och sedan på Grupprinciphantering.

  2. I konsolträdet expanderar du <Forest>\Domains\<Domain>och grupprincipobjekt (där <Forest> är namnet på skogen och <Domän> är namnet på den domän där du vill ange grupprincipen).

  3. Högerklicka på grupprincipobjekti konsolträdet och klicka på Ny.

    Skärmbild som visar menyn som visas när du högerklickar på Grupprincipobjekt.

  4. I dialogrutan Nytt grupprincipobjekt skriver du <GPO-namn> och klickar på OK (där <GPO-namnet> är namnet på det här grupprincipobjektet).

    Skärmbild som visar var G P O ska namnges så att du kan skydda administratörsgrupper.

  5. Högerklicka på <GPO-namn> i informationsfönstret och klicka på Redigera.

  6. Gå till Datorkonfiguration\Principer\Windows-inställningar\Säkerhetsinställningar\Lokala principeroch klicka på Tilldelning av användarrättigheter.

    Skärmbild som visar var du ska navigera så att du kan välja Administratör för användarrättigheter för att skydda administratörsgrupper.

  7. Konfigurera användarrättigheterna så att medlemmar i gruppen Administratörer får åtkomst till domänkontrollanter via nätverket genom att göra följande:

    1. Dubbelklicka på Åtkomst till den här datorn från nätverket och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna så att medlemmar i gruppen Administratörer kan komma åt domänkontrollanter via nätverket.

    4. Klicka på OK och OK igen.

  8. Konfigurera användarrättigheterna så att medlemmar i gruppen Administratörer kan logga in lokalt genom att göra följande:

    1. Dubbelklicka på Tillåt inloggning lokalt och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Administratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna så att medlemmar i gruppen Administratörer kan logga in lokalt.

    4. Klicka på OK och OK igen.

  9. Konfigurera användarrättigheterna så att medlemmar i gruppen Administratörer kan logga in via Fjärrskrivbordstjänster genom att göra följande:

    1. Dubbelklicka på Tillåt inloggning via Fjärrskrivbordstjänster och välj Definiera dessa principinställningar.

    2. Klicka på Lägg till användare eller grupp och klicka på Bläddra.

    3. Skriv Administratörer, klicka på Kontrollera namn och klicka på OK.

      Skärmbild som visar hur du kontrollerar att du har konfigurerat användarrättigheterna så att medlemmar i gruppen Administratörer kan logga in via Fjärrskrivbordstjänster.

    4. Klicka på OK och OK igen.

  10. Om du vill avsluta Redigeraren för grupprinciphanteringklickar du på Filoch klickar på Avsluta.

  11. I Grupprinciphantering länkar du grupprincipobjektet till domänkontrollanternas organisationsenhet genom att göra följande:

    1. Gå till <Forest>\Domains\<Domain> (där <Forest> är namnet på skogen och <Domain> är namnet på den domän där du vill ange grupprincipen).

    2. Högerklicka på domänkontrollanter OU och klicka på Länka ett befintligt gruppolicyobjekt.

      Skärmbild som visar menyalternativet Länka ett befintligt grupprincipobjekt när du försöker länka G P O till domänkontrollanternas organisationsenhet.

    3. Välj det grupprincipobjekt som du nyss skapade och klicka på OK.

      Skärmbild som visar var du väljer det gruppolicyobjekt som du nyss skapade när du länkar gruppolicyobjektet till medlemsarbetsstationer och servrar.

Verifieringssteg

Kontrollera GPO-inställningarna "Neka åtkomst till den här datorn från nätverket"

Från en medlemsserver eller arbetsstation som inte påverkas av GPO-ändringarna (till exempel en "jump server"), försöker komma åt en medlemsserver eller arbetsstation via nätverket som påverkas av GPO-ändringarna. Om du vill verifiera GPO-inställningarna försöker du mappa systemenheten med hjälp av kommandot NET USE .

  1. Logga in lokalt med ett konto som är medlem i gruppen Administratörer.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I sökrutan skriver du kommandotolken, högerklickar på Kommandotolken och klickar sedan på Kör som administratör för att öppna en upphöjd kommandotolk.

  4. När du uppmanas att godkänna höjningen klickar du på Ja.

    Skärmbild som visar dialogrutan User Account Control (Användarkontokontroll).

  5. I kommandotolken skriver du net use \\<Server Name>\c$, där <Servernamn> är namnet på den medlemsserver eller arbetsstation som du försöker komma åt via nätverket.

  6. Följande skärmbild visar det felmeddelande som ska visas.

    Skärmbild som visar felmeddelandet om inloggningsfel.

Kontrollera GPO-inställningarna "Neka inloggning som ett batchjobb"

Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

Skapa en Batch-fil

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  2. I rutan Sök skriver du anteckningar och klickar på Anteckningar.

  3. I Anteckningar skriver du dir c:.

  4. Klicka på Arkiv och sedan på Spara som.

  5. I fältet Filnamn skriver du< Filnamn>.bat (där <Filnamn> är namnet på den nya batchfilen).

Schemalägga en aktivitet

  1. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  2. I sökrutan skriver du schemaläggaren och klickar på Schemaläggaren.

    Note

    På datorer som kör Windows 8 skriver du schemauppgifter i sökrutan och klickar på Schemalägg aktiviteter.

  3. Klicka på Åtgärd och sedan på Skapa aktivitet.

  4. I dialogrutan Skapa aktivitet skriver du <Aktivitetsnamn> (där <Aktivitetsnamn> är namnet på den nya aktiviteten).

  5. Klicka på fliken Åtgärder och klicka på Nytt.

  6. I fältet Åtgärd väljer du Starta ett program.

  7. I fältet Program/skript klickar du på Bläddra, letar upp och väljer den batchfil som skapades i avsnittet Skapa en Batch-fil och klickar på Öppna.

  8. Klicka på OK.

  9. Klicka på fliken Allmänt .

  10. I fältet Säkerhetsalternativ klickar du på Ändra användare eller grupp.

  11. Ange namnet på ett konto som är medlem i gruppen Administratörer, klicka på Kontrollera namn och klicka på OK.

  12. Välj Kör om användaren är inloggad eller inte och Lagra inte lösenord. Uppgiften har endast åtkomst till lokala datorresurser.

  13. Klicka på OK.

  14. En dialogruta ska visas och begära autentiseringsuppgifter för användarkontot för att köra uppgiften.

  15. När du har angett lösenordet klickar du på OK.

  16. En dialogruta som liknar följande bör visas.

    Skärmbild som visar dialogrutan Schemaläggare.

Kontrollera GPO-inställningarna "Neka inloggning som en tjänst"

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I rutan Sök skriver du tjänster och klickar på Tjänster.

  4. Leta upp och dubbelklicka på Utskriftshanteraren.

  5. Klicka på fliken Logga in .

  6. I fältet Logga in som väljer du Det här kontot.

  7. Klicka på Bläddra, skriv namnet på ett konto som är medlem i gruppen Administratörer, klicka på Kontrollera namn och klicka på OK.

  8. I fälten Lösenord och Bekräfta lösenord skriver du det valda kontots lösenord och klickar på OK.

  9. Klicka på OK tre gånger till.

  10. Högerklicka på Utskriftshanteraren och klicka på Starta om.

  11. När tjänsten startas om bör en dialogruta som liknar följande visas.

    säkra administratörsgrupper

Återställ ändringar till skrivarspoolertjänsten

  1. Logga in lokalt från alla medlemsservrar eller arbetsstationer som påverkas av GPO-ändringarna.

  2. Med musen flyttar du pekaren i det övre högra eller nedre högra hörnet på skärmen. När snabbknappsfältet visas klickar du på Sök.

  3. I rutan Sök skriver du tjänster och klickar på Tjänster.

  4. Leta upp och dubbelklicka på Utskriftshanteraren.

  5. Klicka på fliken Logga in .

  6. I fältet Logga in som klickar du på Lokalt systemkonto och klickar på OK.