none
AD权限调整方案咨询 RRS feed

  • 问题

  • 微软工程师,您好,

    鉴于我公司出现一些难以排查的ad事件, 今晚我们对域管理权限进行了调整:

    1、给【总部终端运维】组委派到【tempcomputers】和【xxxx股份有限公司】OU的:创建、删除计算机账号;以验证的到DNS主机名的写入;读取和写入帐户限制;已验证的到服务主体名称的写入;重置密码;权限。

    2、创建【HQDSAdmin】,加入Domain admins

    3、清除administratorsdomain adminsenterprise admins组中的个人用户

    4、禁用默认的域管理员administrator

    5、编辑组策略【域管理员登录限制】,将domain adminsenterprise admins组和administrators组中的【TBAccountAdmin】用户加入下列用户权限:

    拒绝本地登录、拒绝从网络访问此计算机、拒绝通过远程桌面服务登录、拒绝作为服务登录、拒绝作为批处理作业登录

    6、将组策略【域管理员登录限制】连接至【tempcomputers】和【xxxx股份有限公司】

     

    如此操作后,域管理员将不能从大部分的终端登录,但带来了一个问题,目前子公司域控制器都在子公司OU中,继承了登录限制策略,导致域管理员无法登录,请考虑该问题的最佳解决方案。

    期待您的回复。

    2018年12月17日 12:24

答案

  • 尊敬的客户,您好!
    根据您的描述,请确认以下几点信息:
    1.【域管理员登录限制】使用的是用户策略还是计算机策略?请提供具体的组策略信息?
    2.【总部终端运维】里面存放的是计算机对象还是用户对象?【tempcomputers】和【xxxx股份有限公司】里面存放的是计算机对象还是用户对象?
    3. 子公司的域控制器是否包含在【tempcomputers】或者【xxxx股份有限公司】中(或者【tempcomputers】和【xxxx股份有限公司】这两个中)?

    根据我的理解,我们需要限制域管理员登录终端,但是经过上面的一系列设置以后,我们的域管理员无法登录子公司的域控制器。如果我们配置的计算机策略,并且子公司的这些域控制器包含在【tempcomputers】或者【xxxx股份有限公司】中(或者可能同时存在于【tempcomputers】和【xxxx股份有限公司】这两个OU中),那么我们可以使用Security Filtering,使得这个组策略不应用于子公司的这些域控制器。

    我们可以尝试按照以下步骤执行:

    1.把子公司的这些域控制器放入到一个组中,假如这个组叫做group0.

    2.点击【域管理员登录限制】这个组策略对象,点击右边的Scope,定位到中间的Security Filtering,点击Add,把group0添加进来。

    3.点击Scope旁边的Delegation,我们可以在Groups and Users下面看到刚才加入的group0,选择group0,点击右下角的Advanced.

    4.看到如下的Security Settings,选择group0,我们可以看到对于group0这个组来说,默认的情况下,有读取和应用组策略的权限(即Allow Read 和Allow Apply group policy对应的小方框是✔的),那么我们可以设置这个组不让它有读取和应用组策略的权限,就是取消Allow Read 和Allow Apply group policy对应的小方框里的✔。



    5. 在目标计算机上更新组策略(计算机策略需要关机重启,用户策略需要注销重新登录)使得组策略生效,查看域管理员是否可以登录到子公司的域控制器。

    您可以尝试以上操作,如以上方法无效,请确认上面的信息,如有不清楚的地方,您可以随时咨询我们。

    参考文档:
    Filtering the Scope of a GPO
    https://docs.microsoft.com/en-us/previous-versions/windows/desktop/Policy/filtering-the-scope-of-a-gpo

    此致,
    Daisy Zhou


    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系tnmff@microsoft.com.

    2018年12月18日 8:45

全部回复

  • 尊敬的客户,您好!
    根据您的描述,请确认以下几点信息:
    1.【域管理员登录限制】使用的是用户策略还是计算机策略?请提供具体的组策略信息?
    2.【总部终端运维】里面存放的是计算机对象还是用户对象?【tempcomputers】和【xxxx股份有限公司】里面存放的是计算机对象还是用户对象?
    3. 子公司的域控制器是否包含在【tempcomputers】或者【xxxx股份有限公司】中(或者【tempcomputers】和【xxxx股份有限公司】这两个中)?

    根据我的理解,我们需要限制域管理员登录终端,但是经过上面的一系列设置以后,我们的域管理员无法登录子公司的域控制器。如果我们配置的计算机策略,并且子公司的这些域控制器包含在【tempcomputers】或者【xxxx股份有限公司】中(或者可能同时存在于【tempcomputers】和【xxxx股份有限公司】这两个OU中),那么我们可以使用Security Filtering,使得这个组策略不应用于子公司的这些域控制器。

    我们可以尝试按照以下步骤执行:

    1.把子公司的这些域控制器放入到一个组中,假如这个组叫做group0.

    2.点击【域管理员登录限制】这个组策略对象,点击右边的Scope,定位到中间的Security Filtering,点击Add,把group0添加进来。

    3.点击Scope旁边的Delegation,我们可以在Groups and Users下面看到刚才加入的group0,选择group0,点击右下角的Advanced.

    4.看到如下的Security Settings,选择group0,我们可以看到对于group0这个组来说,默认的情况下,有读取和应用组策略的权限(即Allow Read 和Allow Apply group policy对应的小方框是✔的),那么我们可以设置这个组不让它有读取和应用组策略的权限,就是取消Allow Read 和Allow Apply group policy对应的小方框里的✔。



    5. 在目标计算机上更新组策略(计算机策略需要关机重启,用户策略需要注销重新登录)使得组策略生效,查看域管理员是否可以登录到子公司的域控制器。

    您可以尝试以上操作,如以上方法无效,请确认上面的信息,如有不清楚的地方,您可以随时咨询我们。

    参考文档:
    Filtering the Scope of a GPO
    https://docs.microsoft.com/en-us/previous-versions/windows/desktop/Policy/filtering-the-scope-of-a-gpo

    此致,
    Daisy Zhou


    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系tnmff@microsoft.com.

    2018年12月18日 8:45
  • Hi  Daisy,

    首先非常感谢您如此耐心、专心的解决我的问题。

    为了更好的让您了解策略内容以及OU情况,我给你整理了一张截图,您看一下。

    1.【域管理员登录限制】使用的是用户策略还是计算机策略?

    答:计算机策略,详细策略内容如上图。
    2.【总部终端运维】里面存放的是计算机对象还是用户对象?【tempcomputers】和【xxxx股份有限公司】里面存放的是计算机对象还是用户对象?

    答:总部端运维组,里面包含的是用户对象,也就是信息运维的员工;

    tempcomputers OU下面,存放的是新加域的计算机(还未移动到各个分厂计算机OU下面);【xxxx股份有限公司】这个是公司的总OU,下面包含各个分厂OU、总部OU的计算机信息和用户信息;
    3. 子公司的域控制器是否包含在【tempcomputers】或者【xxxx股份有限公司】中(或者【tempcomputers】和【xxxx股份有限公司】这两个中)?

    答:子公司的域控制器是否包含在【xxxx股份有限公司】OU-制造中心OU-各个分厂OU-域控服务器OU;

    目前的问题,我的账户为域管理员账户但是我登录分公司DC,出现拒绝登录的报错,如下所示:

    Daisy,我尝试应用你给的方案创建一个DC组,并将分厂DC加入该组,在域管理员限制登录策略范围里添加DC组,然后委派高级里面,取消勾选只读和应用组策略,然后刷新完,我发现该DC组消失了,是不是应该勾选拒绝读取和应用组策略。

    期待您的回复。

    • 已编辑 RanRan,Zhao 2018年12月19日 6:42 更新问题
    2018年12月19日 6:08
  • Hi Daisy,

    我尝试按照你的方案进行测试,我登录分厂DC检查策略应用没有问题,分厂DC也重启了,权限我也选择了拒绝应用组策略,但是我MSTSC远程改分厂DC,还是出现报错。

    你帮忙看看,哪里有问题。

    期待您的回复。

    2018年12月19日 9:23
  • 尊敬的客户,您好!
    不客气,很高兴为您服务。

    我发现是“拒绝以服务身份登录”这个设置限制了域管理员远程登录到子公司的域控制器。通常域管理员默认在Local Users and Groups->Groups->Remote Desktop Users,可以通过Remote Desktop Services登录到子公司的域控制器。因为是域控,也无法手动添加到这个域控制器的本地路径(当服务器被提升为域控制器的话,这个路径就无法打开了)现在这个策略限制了域管理员这样的登录方式。

    管理员可以使用不同的方法来阻止GPO策略应用于特定组(例如,应用于管理员)。
    1. 建议的方法是删除(不勾选 允许)组的读取和应用组策略ACE。

    2. 另一种方法是删除经过身份验证的用户的“应用组策略ACE”,然后通过选中“允许”应该接收策略设置的各个安全组来明确授予权限。也就是把Authenticated Users(这个组是所有经过认证的域计算机和域用户,这个组可以是计算机组也可以是用户组,我们这里都是计算机对象,所以应该是计算机组)这个组删除,加入其他所有需要应用这个组策略的计算机组(一个或者多个组)虽然这些计算机都放在指定的OU里,并且组策略应用于这些OU,但是OU里还包含了子公司的域控制器,我们并不想这个策略应用于子公司的域控制器。

    3. 我们还可以将“应用组策略ACE”设置为“拒绝”,以用于不需要该策略的用户组。(提示:组的拒绝ACE设置优先于(用户或计算机属于另一个组的成员身份)授予的允许ACE设置。也就是假如域管理员属于不同的组,组1和组2,对于同一个对象的访问权限,组1设置允许访问这个对象,组2设置拒绝访问,那么这个域管理员就是被拒绝访问这个对象,这样设置可能会引起冲突。)

    可以尝试以上三种方法,如有不清楚的地方,您可以随时咨询我们。
    1. 我想确认下,您说的DC组消失了,是在哪里消失了?
    2. AD用户和计算机里消失了还是在Scope里消失了?
    3. 如果在Scope里显示了,是不是在添加的时候没注意忘记点击确定了呢?尝试重新添加这个DC组试试呢。


    此致,
    Daisy Zhou


    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系 tnmff@microsoft.com.


    2018年12月19日 9:36
  • 尊敬的客户,您好!
    很抱歉让您久等,我想确认一下,当应用这个组策略以后,重启子公司的域控制器,这些策略设置是否应用了呢?如果通过安全过滤阻止了子公司的DC组,应该是没有应用这些策略设置的。可以打开命令提示符,以管理员身份运行,输入gpresult \h C:\report.html命令,然后到C盘打开这个文件,检查一下。如果有的话,那就是没有阻止这个组。

    此致,
    Daisy Zhou

    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系 tnmff@microsoft.com.


    2018年12月19日 9:49
  • Hi Daisy,

    我将DC组的权限,读取和应用策略,取消勾选,之后,就没有任何信息了。

    我已经尝试勾选了读取,然后拒绝应用组策略,但是就如我上一个回复,问题还是没有解决,远程的时候依然报错。

    您按照我们设置的安全策略做个试验,是不是问题和我一样。

    2018年12月19日 10:03
  • Hi Daisy,

    从report.html查看组策略应用情况,发现该分厂DC没有应用管理员限制策略,这么看来我们设置的拒绝策略生效的;

    分厂DC重启完之后,我再次远程连接发现报错依旧。

    为了方便更好的解决我的问题,我可以将组策略结果集通过邮箱发送给你,我的邮件是zhaoranran123@hotmail.com,你给我发封邮件,我随后把相关信息发给你。

    期待您的回复。

    2018年12月20日 2:22
  • 尊敬的客户,您好!
    我想确认一下现在我们无法登录子公司的域控制器,我们通过什么什么方法搜集gpresult报告的呢?

    我们尝试从OU中移出来一台子公司的域控制器,放在Domain Controller这个OU里,就是不应用这个组策略,然后关机重启看是否可以登录。

    很抱歉,论坛的案子不方便通过邮件交流处理。感谢您的理解和支持。

    此致,
    Daisy Zhou

    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系 tnmff@microsoft.com.



    2018年12月20日 9:06
  • Hi Daisy,

    问题原因找到了,之前应用的这条策略,修改了所有DC的本地策略的内容,重新删除该策略,重新应用后问题解决。

    多谢Daisy的协助,辛苦了!

    2018年12月24日 0:50
  • 尊敬的客户,早上好!

    非常高兴您的问题解决了,同时也非常感谢您将我的回复标记为答案。
     
    一如既往,如果后期遇到什么其他问题,欢迎您随时上帖。我们很高兴协助您!
     
    祝您工作生活顺利!
     
    此致,
    Daisy Zhou

    如果有帮助,请记得将回复标记为答案。
    如果您对TechNet订户支持有反馈,请联系 tnmff@microsoft.com.


    2018年12月24日 1:45