Windows-Server-2003

如何鎖定 Active Directory 遠端桌面使用者

  • July 24, 2012

請告訴我如何確保遠端桌面使用者無法將軟體安裝到他們遠端登錄的 Active Directory 伺服器上。

一些背景:

我有一個客戶的伺服器安全性非常糟糕。我通常更像是一名程序員而不是管理員,所以我需要一些幫助。

他們使用 Active Directory Server 允許遠端銷售人員將遠端桌面連接到他們的網路,實質上允許 Active Directory Server 兼作 4 名遠端員工的桌面。這對我來說似乎是個壞主意。我更願意為這些遠端使用者設置單獨的伺服器。

然而,更糟糕的是,我只是使用其中一位銷售人員的憑據登錄,並且能夠使用他們的憑據安裝 Firefox!因此,本質上,每個外部銷售人員都具有將應用程序安裝到 Active Directory 伺服器上的管理權限!

上週,我從伺服器中刪除了一個病毒,該病毒基本上導致了業務癱瘓。今天,還有另一種病毒會發送大量電子郵件(將他們的公司列入黑名單)。

我確實打算重新安裝此伺服器並嘗試將其鎖定,但直到週末,我都在嘗試至少弄清楚如何使其到達這些遠端銷售人員無法將軟體安裝到伺服器上的位置。

事實上,我對 ​​Active Directory 沒有太多經驗。我主要鎖定了沒有 Active Directory 的 Windows 伺服器(通過“電腦管理 > 使用者”控制台)。

當我進入“Active Directory 使用者和電腦”時。我沒有看到銷售人員是管理員組的成員。當我查看每個組(他們所屬的組)時,我無法找到任何權限設置來揭示他們能夠在伺服器上安裝軟體的原因。

請你指導我一下。我一定忽略了一些重要的東西。請指教。

編輯:

以下是組,使用者是以下組的成員:

Name:           ActiveDirectoryFolder
Custom Sales All        domain.com/Users
Domain Users        domain.com/Users
Remote Desktop Users    domain.com/Builtin
Remote Users        domain.com/Builtin

他們可能是BUILT-IN\AdministratorsDOMAIN\Domain Admins或的成員DOMAIN\Enterprise Admins

從這些組中刪除它們,並且不要讓任何人登錄到不是系統管理員的 DC。

我建議 Lonnie 的第一件事是說服他們花一些錢購買單獨的刪除伺服器。遠端伺服器應該以員工有足夠的訪問權限來完成工作的方式鎖定(稱為最小權限規則)

至於查看權限,Active Directory 有一組實用程序,但在您的情況下最有用的可能是dsget <user> -memberof -expand命令。這將顯示特定使用者的組成員身份,並讓您了解他們為何能夠安裝軟體。

有關 DSGET 的更多資訊:http ://technet.microsoft.com/en-us/library/cc732535%28v=ws.10%29

引用自:https://serverfault.com/questions/410758