none
关于域控安全设置方面的讨论 RRS feed

  • 问题

  • 大家好!版主大大好!

          近期阅读了关于域控安全配置方面的文章(https://docs.microsoft.com/zh-cn/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory)有点点疑惑请教下大神们:    

    1、文章内提到将域控内置管理员administrator禁用,那我如何管理域控呢?新建账号也得加到domain admin组里,也相当于有管理员权限了。

    2、如禁用administrator,后续如何启用呢?什么权限组织内的人员可以有权限启用administrator.

    2020年10月28日 5:58

全部回复

  • 看到文章后续有针对受保护的帐户和组建立管理帐号的说明,未实测。

    按文章内对管理员帐户及组的要求,是全禁用状态,这不会影响AD之间的联系同步吗?

    2020年10月28日 8:40
  • 如果禁用administrator 那我如何登录域控主机呢?难道流程是先用管理帐户启用administrator , 再去登录域控主机?

    2020年10月28日 8:54
  • 你好,

    根据我的理解,文章所说时默认域管理员账号。

    建议禁用账号的原因是域管理员权限太大,可以在域中进行任何操作,一旦遇到袭击,会面临特别大的风险。

    所以平时的与管理工作不建议使用此默认域管理员。

    一般,如果决定禁用域管理员,可以先委派其他域用户一些基本的管理权限:

    比如管理group policy,管理用户计算机账号,备份域控等等,这些可以通过delegation control来实现。

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects

    用户有了权限之后就可以在普通的计算机或者服务器上进行管理,而不必登录域控。

    当然如果希望用户登录域控,则需要给用户登录计算机的权限。需要在域控制器上部署策略:允许用户登录,将允许登录的用户添加进去

    禁用管理员账号不会影响AD同步。但是域控必须时开机状态。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月29日 0:53
  • 感谢回复!

    今天看安全日志,发现一条审核失败的日志如下:

    4776,AUDIT FAILURE,Microsoft-Windows-Security-Auditing,Thu Oct 29 19:05:46 2020,No User,计算机试图验证帐户的凭据。    验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  登录帐户: administrator  源工作站: FILE7  错误代码: 0xc000006a 

    请问以上日志是指"FILE7"这台服务器在用域管理员administrator的帐户进行验证?

    2020年10月30日 1:36
  • 如果事件是记录在客户端计算机中,则是本地管理员尝试登录的事件记录。

    如果是在域控制器上记录的事件,则是指验证的账户名称。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年10月30日 7:14