none
域管理员降级 RRS feed

  • 问题

  • 一客户AD环境:

    服务器安全问题:当初为了给员工计算机用户提权,同时又为了方便统一管理(U盘使用权限等),所有员工账户均为域管理员权限。经测试,使用员工账号也可以直接登录服务器,并且拥有管理员权限,可对服务器任意管理。
    通过查看domain admin 发现没有员工相关账号,询问相关人员不知道是怎么提权的,所以现在降级找不到原因。各位大神帮忙分析!

    2016年1月24日 7:40

答案

  • 在 DC 上 , 把

    net localgroup administrators

    列出的組, 挨個檢查一邊.

    還有就是 AD 對象 AdminSDHolder 也要檢查一下.

    修改 AdminSDHolder 的 SecurityDescriptor 時務必非常小心.

    相關文檔, 可查閱 TechNet 獲知.

    Folding@Home

    2016年1月26日 5:28

全部回复

  • 你可以在域用户属性里面查看用户隶属于哪些分组里面。

    2016年1月25日 1:43
  • 你好,查看隶属于是正常的Domain users 没有存在domain admin 组
    2016年1月25日 1:50
  • 你好!

    你可以检查一下组策略,是不是组策略分配用户权限的?

    用户权限可以分为两大类:用户登录和特权。登录权限是指是否被授权登陆到某台计算机以及如何登陆。特权是指访问计算机上系统资源,他可以覆盖特定对象上设置的权限。

    更多的信息,你可以参阅下面的文章。

    https://technet.microsoft.com/en-us/library/bb457125.aspx?f=255&MSPPError=-2147217396

    另外,你可以到非DC的服务器上看一下,这个用户是不是属于local administrators group.

    谢谢。


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年1月25日 7:41
    版主
  • 建议用whoami /groups查看。

    另外,有课可能你这里的组有嵌套。比如domain users在domain admin的组里

    2016年1月25日 8:11
  • 在 DC 上 , 把

    net localgroup administrators

    列出的組, 挨個檢查一邊.

    還有就是 AD 對象 AdminSDHolder 也要檢查一下.

    修改 AdminSDHolder 的 SecurityDescriptor 時務必非常小心.

    相關文檔, 可查閱 TechNet 獲知.

    Folding@Home

    2016年1月26日 5:28
  • 另外, 只要客戶端和服務器的 IP 不再一個網段上, 那麼可以考慮禁止指定網段的電腦無法訪問服務器的遠程桌面端口.

    Folding@Home

    2016年1月26日 5:30
  • 你好,通过查看组策略发现 有此策略
    从网络访问此计算机 ICEWING\Domain Users,ICEWING\Domain Admins,BUILTIN\Administrators,administrator

    2016年1月26日 9:29
  • 通过net localgroup administrators 查看 发现domain users 组
    2016年1月26日 11:56
  • 你好!

    你好,通过查看组策略发现 有此策略

    从网络访问此计算机

    ICEWING\Domain   Users,ICEWING\Domain Admins,BUILTIN\Administrators,administrator

    >>>首先,你要把ICEWING/domain users从这个策略中删掉。

    有没有配置允许本地登录策略啊?

    谢谢。


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年1月27日 1:35
    版主
  • 對於 AD 爲普通用戶提供本地管理員特權已經是下下策, 而直接提供域管理員權限那真的不知道怎麼說了.
    如果客戶端一定有需要管理員權限才能運行的軟件, 那麼一個比較好的方法是用虛擬機, 或者可以嘗試一些應用程序虛擬化的方案.

    要爲客戶端設置一些軟件或系統設置, 儘量走組策略, 或者啓動/關機腳本, 啓動/關機腳本裏面最好最好不要提供密碼, 哪怕是需要使用該密碼的帳戶沒有特權, 應該儘可能利用運行系統啓動腳本的 SYSTEM 帳戶是模仿 "Authenticated Users" 組這一特點, 進行免密碼操作.
    不能提供密碼的理由是, SYSVOL/netlogon 共享默認是可以被 "Authenticated Users" 組讀執行訪問, 所以不要提供, 同時因爲這點, 寫腳本時要考慮, 腳本是否存在暴露其他敏感信息的可能.

    遠程任務計劃裏面也不要提供密碼, 那個也不安全. 雖然被加密, 但是容易破解.
    一定要用, 則用微軟提供替代方案 PowerShell+WinRM(授權驗證,傳輸加密). 


    Folding@Home

    2016年1月27日 2:02
  • 查看本地登录策略 是默认组别 删除domain users 没有作用  应该不是这个原因
    2016年1月27日 2:24
  • 組策略要選對查找對象, 你這個問題需要在 DC 看它們應用了那些策略, 可通過

    gpmc.msc 

    查看域默認策略, 已經它所處位置是否包含其他應用了的策略.


    Folding@Home

    2016年1月27日 5:16
  • 给本地管理员权限已经了不得了,还给域管理员权限。。。。。。
    2016年1月27日 6:02
  • 为了方便统一管理(U盘使用权限等),所有员工账户均为域管理员权限

    楼主完全反着来,方便统一管理肯定是给的权限越少越好,你直接给域管理员权限,你这IT思路。。。。。

    你看看他们账户属性里面在属于哪些组,只留domainuser。

    2016年1月27日 6:06
  • 已解决,原因是在域控服务器上把domain users加入域控本地管理员组 
    2016年1月29日 3:12