請問如何讓AD管理者不能在網域中的Server和PC本機登入

網域本機群組原則

sunkist647 2021-08-13 11:17:55 ‧ 2923 瀏覽

分享至

公司要求AD管理者(Administrator)只能在DC上本機登入
底下還有很多加入網域的Server和一般PC想要限制為只有其他的管理者才能本機登入

個人想法是把DC以外的機器都丟到一個OU
再設定該OU的GPO拒絕本機登入
但我發現把Administrator加進拒絕本機登入時會顯示
"您不能拒絕所有使用者或是系統管理員的本機登入權"
無法拒絕Administrator在Server和PC的本機登入
有什麼辦法可以將它加進去這項嗎?

另外想問獨立給一個帳號"編輯"GPO的權限該去哪裡設定呢?
我知道Domain admins和Enterprise admins群組有預設權限
但我想要獨立給一個帳號這個權限

看更多先前的討論...收起先前的討論...

lion_inin iT邦新手 1 級 ‧ 2021-08-13 12:05:35 檢舉

你先把你們domain admin放進去後再移除本機的管理者呢？

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:27:19 檢舉

剛才嘗試可以，但這群組還有其他管理者帳號，有點麻煩，我可能要換個思考路線調整整體權限。

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:32:58 檢舉

真的不行的話我就嘗試調整權限用這個方法看看吧，謝謝

lion_inin iT邦新手 1 級 ‧ 2021-08-13 14:28:39 檢舉

先釐清整個問題邏輯

你想要的是只給"特定"管理者從本機登入的權限，但並非是所有Domain admin都有對吧？

那這樣也滿簡單的呀，你就直接在它administrator的group裡把特定管理者帳號放進去，並且把其它的帳號刪除掉即可。

你也可以開一個group 把這些使用者丟進去後，再把這個group丟到administrator裡

sunkist647 iT邦新手 5 級 ‧ 2021-08-14 11:28:59 檢舉

不是喔，邏輯是這樣的：
DC管理者(初始最高權限帳號)擁有網域所有DC、Server、PC的登入權限
而我要讓它縮減權限只能登入所有DC

窮嘶發發發 iT邦高手 1 級 ‧ 2021-08-17 17:25:23 檢舉

基本上我的作法會是 administrator 更名，然後根據 ou 建立管理三個ou的帳號
平常絕對不用 administrator，而三個管理帳號分別管理 dc server 跟 pc 三個ou
這樣反而會比較簡單，至於 administrator 的密碼就是把它封存就好，非必要絕對不用他，最好跟 ad 恢復密碼放在一起，這樣會比較保險

sunkist647 iT邦新手 5 級 ‧ 2021-08-19 19:35:21 檢舉

這個方法不錯，讓我參考一下，感謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

japhenchen

iT邦超人 1 級 ‧ 2021-08-13 11:35:00

最佳解答

1、開始→執行→Gpedit.msc

2、在原則編輯器裡............

電腦設定→Windows設定→安全性設定→本地|本機原則→使用者權限指派

找到 "拒絕從網路存取這台電腦" 及 "拒絕透過遠端桌面" 都點進去，把管理員帳號(如administrator)及管理員群組都加入

按確定

這樣.......除非到機房的主機前，不然沒辦法從別的地方登入控制了，自己要衡量方便及安全孰輕孰重

回應 18
分享
檢舉

看更多先前的回應...收起先前的回應...

japhenchen iT邦超人 1 級 ‧ 2021-08-13 11:37:49 檢舉

漏掉了要重新載入群組設定了，重開機或以系統管理員權限執行

gpupdate /force /target:computer

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 11:39:25 檢舉

是的，這兩項其實我已經加了
但我現在問題是拒絕本機登入那項沒辦法加Administrator進去
Administrator這個帳號仍然可以本機登入其他Server和PC
不知道有沒有辦法呢?

japhenchen iT邦超人 1 級 ‧ 2021-08-13 11:41:22 檢舉

拒絕本機登入？那不就連門都關了？本機應該會跟網路遠端互斥哦

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 11:43:58 檢舉

其他Server和PC是有設定其他管理員帳號能登入
AD管理員帳號就只能登DC這樣子

japhenchen iT邦超人 1 級 ‧ 2021-08-13 11:45:38 檢舉

那你應該要加＼＼(你們的domain)＼administrator 這組帳號上去

因為伺服器／一般電腦系統／AD都會各有自己的本機administrator，所以你要加的是AD的而不是本機

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 11:54:15 檢舉

在拒絕本機登入中輸入domain\administrator這樣加不進去
會顯示我發問說的訊息
是有什麼東西卡到嗎?
\domain\administrator指令這樣打無法搜到帳號

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 11:54:52 檢舉

在拒絕本機登入中輸入domain\administrator這樣加不進去
會顯示我發問說的訊息
是有什麼東西卡到嗎?
指令這樣打無法搜到帳號\domain\administrator

japhenchen iT邦超人 1 級 ‧ 2021-08-13 12:02:06 檢舉

你應該直接在AD主控站上設定拒絕網路及遠端登入就好，不要在其他伺服器一台一台來

michaelwan iT邦高手 1 級 ‧ 2021-08-13 12:04:00 檢舉

物件類型跟位置的資料對嗎?

japhenchen iT邦超人 1 級 ‧ 2021-08-13 12:09:05 檢舉

位置

這台電腦有加入域吧？

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:14:05 檢舉

我是在DC上面設定的，補一下圖片
圖中\左邊是網域名，右邊是改過名的administrator(初始管理員)
因為改過名所以不會搞錯帳號
錯誤訊息就如同我發問的那樣
若本機登入沒有拒絕那這個帳號還是可以用Server和PC的實體電腦登入
公司是要求不能這樣，因為分成一個管理員帳號只能用一台電腦登入

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:14:41 檢舉

不好意思剛才圖片網址沒貼好

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:19:19 檢舉

抱歉再補充一下
Domain\其他使用者帳號
這樣子是可以拒絕本機登入的
只有administrator(初始管理員)不能拒絕本機登入
我現在問題就卡在這裡

japhenchen iT邦超人 1 級 ‧ 2021-08-13 12:26:35 檢舉

應該只能在AD域控制站裡設定拒絕遠端登入了吧？

sunkist647 iT邦新手 5 級 ‧ 2021-08-13 12:32:07 檢舉

呃，這個...其實我在上禮拜在別的案子上做的時候有成功將初始administrator加入拒絕本機登入
那時候也是第一次做，沒特別遇到什麼問題
但現在不管我用哪台電腦做都無法再成功
所以才上來發問看看有沒有人知道是哪裡卡住...
我確定它是可以加進拒絕本機登入的

japhenchen iT邦超人 1 級 ‧ 2021-08-13 12:33:19 檢舉

建議架個vmware跑個兩三台模擬看看....

sunkist647 iT邦新手 5 級 ‧ 2021-08-14 11:31:33 檢舉

抱歉，昨天回文次數用完了
我自己找到解決法了：
初始的最高權限管理員不能在GPO拒絕它的本機登入
但將它改名後，在電腦重開機之前都可以將新的名字加進拒絕本機登入清單
重開機之後功能也會正常發揮，可以將最高權限的管理員本機登入拒絕掉

sunkist647 iT邦新手 5 級 ‧ 2021-08-14 11:40:13 檢舉

當然要注意不要把DC本身的本機登入拒絕掉了
我只拒絕掉ServerOU的本機登入
要是全部都拒絕掉這台DC可就沒人能登入了

登入發表回應

zero

iT邦好手 1 級 ‧ 2021-08-13 20:17:52

就我所知，在網域的成員工作站，最多讓你拒絕Domain admins的群組

本地端的administrator帳戶是無法讓你將入拒絕本地登入的，DC更是不可能讓你設定

在系統的安全規範原則下，本地登入已經是最後一道防線，

這一道防線不是指被黑的最後一道防線，而是最後能救回你系統的最後一道防線

如果不法份子已經可以透過本地登入來竊取你公司的資料，

那貴公司的門禁管理? 管理員密碼管理? 伺服器所在(機房)管理?

除了本地登入無法拒絕之外，其他網路遠端服務都可以讓你禁止微軟也很早就開放了

你的的3個問題，自己不懂還是要去找Google，養成自學好習慣

1.DC跟伺服器 利用登入工作站 一般PC 利用網域群組即可

2.沒辦法，去找微軟文章跟論壇，上面寫了系統安全規範

3.群組原則編輯器=左鍵你的網域伺服器=>右邊視窗(委派)分頁=>右下角進階=>再進階

提醒你，給編輯權限不要給建立權限，一但擁有者(owner)的帳戶過多管理起來很麻煩

還有就算你給獨立帳戶Owner那不代表他有domain SYSVOL的權限，

GPO編輯沒有SYSVOL有機會撞牆，給domain SYSVOL的權限那你心臟真的夠大顆

再想要解決公司需求的時候，請多花時間看看資料，免得設定下去，

管理麻煩，除錯麻煩，要找資料的時候麻煩，要跟其他系統整合的時候麻煩

設定花一天，管理痛苦到你離開那間公司為止

回應 1
分享
檢舉

sunkist647 iT邦新手 5 級 ‧ 2021-08-14 11:34:14 檢舉

上來發問前當然Google過了，完全找不到答案。
我在上篇回覆也有說過我上禮拜成功過，昨天用VMware重架一堆DC自己試出解決法了
答案在上一個篇回覆

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22202 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙