iT邦幫忙

0

請問如何讓AD管理者不能在網域中的Server和PC本機登入

公司要求AD管理者(Administrator)只能在DC上本機登入
底下還有很多加入網域的Server和一般PC想要限制為只有其他的管理者才能本機登入

個人想法是把DC以外的機器都丟到一個OU
再設定該OU的GPO拒絕本機登入
但我發現把Administrator加進拒絕本機登入時會顯示
"您不能拒絕所有使用者或是系統管理員的本機登入權"
無法拒絕Administrator在Server和PC的本機登入
有什麼辦法可以將它加進去這項嗎?

另外想問獨立給一個帳號"編輯"GPO的權限該去哪裡設定呢?
我知道Domain admins和Enterprise admins群組有預設權限
但我想要獨立給一個帳號這個權限

看更多先前的討論...收起先前的討論...
lion_inin iT邦新手 3 級 ‧ 2021-08-13 12:05:35 檢舉
你先把你們domain admin放進去後再移除本機的管理者呢?
剛才嘗試可以,但這群組還有其他管理者帳號,有點麻煩,我可能要換個思考路線調整整體權限。
真的不行的話我就嘗試調整權限用這個方法看看吧,謝謝
lion_inin iT邦新手 3 級 ‧ 2021-08-13 14:28:39 檢舉
先釐清整個問題邏輯

你想要的是只給"特定"管理者從本機登入的權限,但並非是所有Domain admin都有對吧?

那這樣也滿簡單的呀,你就直接在它administrator的group裡把特定管理者帳號放進去,並且把其它的帳號刪除掉即可。

你也可以開一個group 把這些使用者丟進去後,再把這個group丟到administrator裡
不是喔,邏輯是這樣的:
DC管理者(初始最高權限帳號)擁有網域所有DC、Server、PC的登入權限
而我要讓它縮減權限只能登入所有DC
基本上我的作法會是 administrator 更名,然後根據 ou 建立 管理三個ou的帳號
平常絕對不用 administrator,而三個管理帳號分別管理 dc server 跟 pc 三個ou
這樣反而會比較簡單,至於 administrator 的密碼就是把它封存就好,非必要絕對不用他,最好跟 ad 恢復密碼放在一起,這樣會比較保險
這個方法不錯,讓我參考一下,感謝

2 個回答

1
japhenchen
iT邦超人 1 級 ‧ 2021-08-13 11:35:00
最佳解答

1、開始→執行→Gpedit.msc

2、在原則編輯器裡............

電腦設定→Windows設定→安全性設定→本地|本機原則→使用者權限指派

找到 "拒絕從網路存取這台電腦" 及 "拒絕透過遠端桌面" 都點進去,把管理員帳號(如administrator)及管理員群組都加入

按確定

這樣.......除非到機房的主機前,不然沒辦法從別的地方登入控制了,自己要衡量方便及安全孰輕孰重

看更多先前的回應...收起先前的回應...

漏掉了要重新載入群組設定了,重開機或以系統管理員權限執行

gpupdate /force /target:computer

是的,這兩項其實我已經加了
但我現在問題是拒絕本機登入那項沒辦法加Administrator進去
Administrator這個帳號仍然可以本機登入其他Server和PC
不知道有沒有辦法呢?

拒絕本機登入?那不就連門都關了?本機應該會跟網路遠端互斥哦

其他Server和PC是有設定其他管理員帳號能登入
AD管理員帳號就只能登DC這樣子

那你應該要加 \\(你們的domain)\administrator 這組帳號上去

因為伺服器/一般電腦系統/AD都會各有自己的本機administrator,所以你要加的是AD的而不是本機

在拒絕本機登入中輸入domain\administrator這樣加不進去
會顯示我發問說的訊息
是有什麼東西卡到嗎?
\domain\administrator指令這樣打無法搜到帳號

在拒絕本機登入中輸入domain\administrator這樣加不進去
會顯示我發問說的訊息
是有什麼東西卡到嗎?
指令這樣打無法搜到帳號\domain\administrator

你應該直接在AD主控站上設定拒絕網路及遠端登入就好,不要在其他伺服器一台一台來

物件類型跟位置的資料對嗎?

位置

這台電腦有加入域吧?

我是在DC上面設定的,補一下圖片
圖中\左邊是網域名,右邊是改過名的administrator(初始管理員)
因為改過名所以不會搞錯帳號
錯誤訊息就如同我發問的那樣
若本機登入沒有拒絕那這個帳號還是可以用Server和PC的實體電腦登入
公司是要求不能這樣,因為分成一個管理員帳號只能用一台電腦登入

https://imgur.com/etpvl1r
不好意思剛才圖片網址沒貼好

抱歉再補充一下
Domain\其他使用者帳號
這樣子是可以拒絕本機登入的
只有administrator(初始管理員)不能拒絕本機登入
我現在問題就卡在這裡

應該只能在AD域控制站裡設定拒絕遠端登入了吧?

呃,這個...其實我在上禮拜在別的案子上做的時候有成功將初始administrator加入拒絕本機登入
那時候也是第一次做,沒特別遇到什麼問題
但現在不管我用哪台電腦做都無法再成功
所以才上來發問看看有沒有人知道是哪裡卡住...
我確定它是可以加進拒絕本機登入的

建議架個vmware跑個兩三台模擬看看....

抱歉,昨天回文次數用完了
我自己找到解決法了:
初始的最高權限管理員不能在GPO拒絕它的本機登入
但將它改名後,在電腦重開機之前都可以將新的名字加進拒絕本機登入清單
重開機之後功能也會正常發揮,可以將最高權限的管理員本機登入拒絕掉

當然要注意不要把DC本身的本機登入拒絕掉了
我只拒絕掉ServerOU的本機登入
要是全部都拒絕掉這台DC可就沒人能登入了

0
zero
iT邦研究生 5 級 ‧ 2021-08-13 20:17:52

就我所知,在網域的成員工作站,最多讓你拒絕Domain admins的群組

本地端的administrator帳戶是無法讓你將入拒絕本地登入的,DC更是不可能讓你設定

在系統的安全規範原則下,本地登入已經是最後一道防線,

這一道防線不是指被黑的最後一道防線,而是最後能救回你系統的最後一道防線

如果不法份子已經可以透過本地登入來竊取你公司的資料,

那貴公司的門禁管理? 管理員密碼管理? 伺服器所在(機房)管理?

除了本地登入無法拒絕之外,其他網路遠端服務都可以讓你禁止微軟也很早就開放了


你的的3個問題,自己不懂還是要去找Google,養成自學好習慣

1.DC跟伺服器 利用登入工作站 一般PC 利用網域群組即可

2.沒辦法,去找微軟文章跟論壇,上面寫了系統安全規範

3.群組原則編輯器=左鍵你的網域伺服器=>右邊視窗(委派)分頁=>右下角進階=>再進階

提醒你,給編輯權限不要給建立權限,一但擁有者(owner)的帳戶過多管理起來很麻煩

還有就算你給獨立帳戶Owner那不代表他有domain SYSVOL的權限,

GPO編輯沒有SYSVOL有機會撞牆,給domain SYSVOL的權限那你心臟真的夠大顆


再想要解決公司需求的時候,請多花時間看看資料,免得設定下去,

管理麻煩,除錯麻煩,要找資料的時候麻煩,要跟其他系統整合的時候麻煩

設定花一天,管理痛苦到你離開那間公司為止

上來發問前當然Google過了,完全找不到答案。
我在上篇回覆也有說過我上禮拜成功過,昨天用VMware重架一堆DC自己試出解決法了
答案在上一個篇回覆

我要發表回答

立即登入回答