Active Directory安全提示 #4：默认/内置Active Directory组

作者：Sean Metcalf
分类：ActiveDirectorySecurity, PowerShell, 技术参考

以下是一些需要审查的默认/内置特权组：

• Account Operators - 由于在AD中具有高特权访问权限，按照微软建议应为空组。
• Backup Operators - 应仅包含用于备份和恢复Active Directory的备份服务账户。
• Cert Publishers - 应仅包含PKI相关账户（CA及相关服务账户），因为它可以为AD用户发布证书。
• DNSAdmins - 通常仅在非ADA管理员执行DNS管理时使用。应谨慎使用。
• Enterprise Key Admins - 对AD中的密钥对象拥有管理员权限。
• Event Log Readers - 应仅包含需要访问域控制器事件日志的账户。
• Group Policy Creator Owners - 可以修改域中的组策略。成员应为空，并通过委托方式授予权限。
• Print Operators - 仅在域控制器用作打印服务器时使用（这种情况不应发生）。该组能够登录域控制器并安装驱动程序，使其成为高特权组。应为空组。
• Server Operators - 实际上是域控制器上的本地管理员。应谨慎使用。
• Schema Admins - 除更新AD架构外，应为空组。

参考文档：
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups

PowerShell脚本：
使用Active Directory PowerShell模块的脚本：
https://github.com/PyroTek3/Misc/blob/main/Get-ADBuiltInAdmins.ps1

（访问次数：221次，今日访问：5次）

标签：
ActiveDirectorySecurityTip, BuiltInActiveDirectoryGroups, DefaultActiveDirectoryGroups