iT邦幫忙

1

是否可以把domain administrator 加到 Protected Users group

  • 分享至 

  • xImage

大家好

公司的AD環境是server 2022,有跟M365做Hybrid,所以有Hybrid exchange跟AADC。
在Tenable的網頁有看到這篇:
https://zh-tw.tenable.com/indicators/ioe/ad/C-PROTECTED-USERS-GROUP-UNUSED
Tenable建議可以把網域管理員帳號加到Protected Users group。

想請教大家,有前輩們把domain administrator 加到這個群組過嗎?
會不會有甚麼問題?

MS 官方說明與注意事項,這邊有說得很清楚,官方不建議,但確認某些條件後可以,簡單說就是不怕死你就來
https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/how-to-configure-protected-accounts
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

2
zero
iT邦好手 1 級 ‧ 2024-09-06 14:58:07

就上面留言的微軟文件內容確定沒影響就可以加

https://learn.microsoft.com/zh-tw/windows-server/identity/ad-ds/manage/how-to-configure-protected-accounts

我有加,原因如下

1.該帳戶是新建立好之後賦予domain admin的
2.限制了該帳戶的登入位置,除了DC之外無法在其他網域內的電腦上登入
3.該帳戶只會用來登入DC並且只有在DC登入時使用,沒有其他服務使用該帳戶驗證

該群組的成員就不能再:

1.使用 NTLM 驗證進行驗證。

2.在 Kerberos 預先驗證中使用 DES 或 RC4 加密類型。

3.具有不受限制或限制委派的委派。

4.更新 Kerberos TGT 超過其初始四小時的存留期。

基本上除非DC掛了,不然我一點也不希望如此高權限的帳戶走任何的 NTLM 驗證

經過交叉測試沒有影響到日常維護與更新作業,你想提高管理帳戶的安全性就可以加

看更多先前的回應...收起先前的回應...
BKY iT邦好手 1 級 ‧ 2024-09-07 12:40:18 檢舉

請問樓上,既然您有加,那四項防護項目您都有測過嗎?是否如同文件上所說的。

zero iT邦好手 1 級 ‧ 2024-09-09 13:37:35 檢舉

只有第2項需要撈封包來看協定,我懶的安裝就沒驗證過,其他三項都有被限制住

BKY iT邦好手 1 級 ‧ 2024-09-09 14:53:12 檢舉

再請問"2.限制了該帳戶的登入位置,除了DC之外無法在其他網域內的電腦上登入"這個有測過嗎?是否沒有辦法在別台電腦上登入?因為我大概測一下,還是可以在別台電腦上登入,所以覺得怪怪的.

zero iT邦好手 1 級 ‧ 2024-09-09 16:56:56 檢舉

Protected Users group功能防禦有主要4個功能,我舉的環境例子是我自己的環境有這3個內部設定,跟Protected Users group功能無關,所以你搞錯了。

BKY iT邦好手 1 級 ‧ 2024-09-09 17:19:35 檢舉

瞭解了 謝謝您

我要發表回答

立即登入回答