Active Directory默认特权组安全配置指南

本文详细解析Active Directory中10个默认特权安全组的最佳安全实践,包括各组的权限风险、成员配置建议和PowerShell检测脚本,帮助系统管理员强化域安全防护。

Active Directory Security Tip #4: Default/Built-In Active Directory Groups

By Sean Metcalf in ActiveDirectorySecurity, PowerShell, Technical Reference

以下是一些需要审查的默认/内置特权组:

Account Operators - 由于在AD中具有高特权访问权限,按照微软建议应保持为空。

Backup Operators - 应仅包含用于备份和恢复Active Directory的备份服务账户。

Cert Publishers - 应仅包含PKI相关账户(CA及相关服务账户),因为它可以为AD用户发布证书。

DNSAdmins - 通常在除ADA之外的管理员执行DNS管理时使用。应谨慎使用。

*** Enterprise Key Admins** - 对AD中的密钥对象拥有管理权限。

Event Log Readers - 应仅包含需要访问域控制器事件日志的账户。

Group Policy Creator Owners - 可以修改域中的组策略。成员应保持为空,并通过委派方式授予权限。

Print Operators - 仅当域控制器用作打印服务器时使用(这种情况不应发生)。该组能够登录域控制器并安装驱动程序,因此具有高特权。该组应保持为空。

Server Operators - 实际上是域控制器上的本地管理员。应谨慎使用。

Schema Admins - 除更新AD架构时外,应保持为空。

参考文档:https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups

PowerShell脚本(利用Active Directory PowerShell模块): https://github.com/PyroTek3/Misc/blob/main/Get-ADBuiltInAdmins.ps1

(访问245次,今日6次访问)

标签:ActiveDirectorySecurityTip, BuiltInActiveDirectoryGroups, DefaultActiveDirectoryGroups

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次