Active Directory 默认特权组安全配置指南

本文详细解析Active Directory中10个默认内置特权组的安全配置要求,包括Account Operators、Backup Operators等高权限组的使用场景与成员管理建议,并附PowerShell自动化检查脚本链接。

Active Directory 安全提示 #4:默认/内置 Active Directory 组

作者:Sean Metcalf
分类:ActiveDirectorySecurity, PowerShell, 技术参考

以下是需要审查的几个默认/内置特权组:

  • Account Operators – 由于在 AD 中具有高特权访问权限,根据微软建议应保持为空。
  • Backup Operators – 应仅包含用于备份和恢复 Active Directory 的备份服务账户。
  • Cert Publishers – 应仅包含 PKI 相关账户(CA 及相关服务账户),因为该组可为 AD 用户发布证书。
  • DNSAdmins – 通常仅在非 ADA 管理员执行 DNS 管理时使用,需谨慎使用。
  • Enterprise Key Admins – 对 AD 中的密钥对象拥有管理权限。
  • Event Log Readers – 应仅包含需要访问域控制器事件日志的账户。
  • Group Policy Creator Owners – 可修改域中的组策略。成员应保持为空,并通过委托方式分配权限。
  • Print Operators – 仅当域控制器用作打印服务器时使用(应避免此情况)。该组能够登录域控制器并安装驱动程序,因此具有高特权,应保持为空。
  • Server Operators – 实际上是域控制器的本地管理员,需谨慎使用。
  • Schema Admins – 除更新 AD 架构外应保持为空。

参考文档:
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-security-groups

PowerShell 脚本(使用 Active Directory PowerShell 模块):
https://github.com/PyroTek3/Misc/blob/main/Get-ADBuiltInAdmins.ps1

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次