询问者
关于域控安全设置方面的讨论

问题
-
大家好!版主大大好!
近期阅读了关于域控安全配置方面的文章(https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory)有点点疑惑请教下大神们:
1、文章内提到将域控内置管理员administrator禁用,那我如何管理域控呢?新建账号也得加到domain admin组里,也相当于有管理员权限了。
2、如禁用administrator,后续如何启用呢?什么权限组织内的人员可以有权限启用administrator.
全部回复
-
你好,
根据我的理解,文章所说时默认域管理员账号。
建议禁用账号的原因是域管理员权限太大,可以在域中进行任何操作,一旦遇到袭击,会面临特别大的风险。
所以平时的与管理工作不建议使用此默认域管理员。
一般,如果决定禁用域管理员,可以先委派其他域用户一些基本的管理权限:
比如管理group policy,管理用户计算机账号,备份域控等等,这些可以通过delegation control来实现。
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects
用户有了权限之后就可以在普通的计算机或者服务器上进行管理,而不必登录域控。
当然如果希望用户登录域控,则需要给用户登录计算机的权限。需要在域控制器上部署策略:允许用户登录,将允许登录的用户添加进去
禁用管理员账号不会影响AD同步。但是域控必须时开机状态。
Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
-