Bijlage E: Ondernemingsbeheerdersgroepen beveiligen in Active Directory

Bijlage E: Ondernemingsbeheerdersgroepen beveiligen in Active Directory

De groep Ondernemingsadministrators (EA), die zich in het hoofddomein van het forest bevindt, mag geen gebruikers bevatten op dagelijkse basis, met de mogelijke uitzondering van het beheerdersaccount van het hoofddomein, mits deze is beveiligd zoals beschreven in bijlage D: Built-In Administrator-accounts beveiligen in Active Directory.

Ondernemingsadministrators zijn standaard leden van de groep Administrators in elk domein in het forest. Verwijder de EA-groep niet uit de beheerdersgroepen in elk domein, omdat EA-rechten waarschijnlijk vereist zijn in het geval van een scenario voor noodherstel van het forest. De groep Ondernemingsadministrators van het forest moet worden beveiligd zoals beschreven in de stapsgewijze instructies die volgen.

Voor de groep Ondernemingsadministrators in het forest:

  1. In GPO's die zijn gekoppeld aan organisatorische eenheden met lidservers en werkstations in elk domein, moet de groep Enterprise Admins worden toegevoegd aan de volgende gebruikersrechten in Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleid\Toewijzingen van gebruikersrechten:

    • Toegang tot deze computer weigeren vanuit het netwerk

    • Het aanmelden als batchtaak weigeren

    • Inloggen als een service ontzeggen

    • Lokaal aanmelden weigeren

    • Aanmelding via extern bureaubladservices weigeren

  2. Configureer controle om waarschuwingen te verzenden als er wijzigingen worden aangebracht in de eigenschappen of het lidmaatschap van de groep Ondernemingsadministrators.

Stapsgewijze instructies voor het verwijderen van alle leden uit de groep Ondernemingsadministrators

  1. Klik in Serverbeheer op Extra en klik op Active Directory: gebruikers en computers.

  2. Als u het hoofddomein voor het forest niet beheert, klikt u in de consolestructuur met de rechtermuisknop op <Domein en klikt u vervolgens op Domein> wijzigen (waarbij domein> de naam is van het domein dat <u momenteel beheert).

    Schermopname waarin de menuoptie Domein wijzigen is gemarkeerd.

  3. Klik in het dialoogvenster Domein wijzigen op Bladeren, selecteer het hoofddomein voor het forest en klik op OK.

    Schermopname van de knop OK in het dialoogvenster Domein wijzigen.

  4. Alle leden uit de EA-groep verwijderen:

    1. Dubbelklik op de groep Ondernemingsadministrators en klik vervolgens op het tabblad Leden .

      Schermopname van het tabblad Leden in de groep Ondernemingsadministrators.

    2. Selecteer een lid van de groep, klik op Verwijderen, klik op Ja en klik op OK.

  5. Herhaal stap 2 totdat alle leden van de EA-groep zijn verwijderd.

Stapsgewijze instructies voor het beveiligen van ondernemingsbeheerders in Active Directory

  1. Klik in Serverbeheer op Extra en klik op Groepsbeleidsbeheer.

  2. In de consolestructuur vouwt u <Forest>\Domains\<Domein> uit en daarna Groepsbeleidsobjecten (waarbij <Forest> de naam van het forest is en <Domein> de naam van het domein waar u het groepsbeleid wilt instellen).

    Note

    In een forest met meerdere domeinen moet een vergelijkbaar groepsbeleidsobject worden gemaakt in elk domein waarvoor de Enterprise Admins-groep moet worden beveiligd.

  3. Klik in de consolestructuur met de rechtermuisknop op Groepsbeleidsobjectenen klik op Nieuw.

    Schermopname van de menuoptie Nieuw in het menu Groepsbeleidsobjecten.

  4. Typ <in het dialoogvenster Nieuw groepsbeleidsobject de naam> van het groepsbeleidsobject en klik op OK (waarbij <GPO-naam> de naam van dit groepsbeleidsobject is).

    Schermopname die toont waar u de naam van het groepsbeleidsobject kunt typen en de bron-GPO als starter kunt selecteren.

  5. Klik in het detailvenster met de rechtermuisknop op <GPO-naam> en klik op Bewerken.

  6. Navigeer naar Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal beleiden klik op toewijzing van gebruikersrechten.

    Schermopname die laat zien waar gebruikersrechtentoewijzing moet worden geselecteerd.

  7. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Ondernemingsadministrators toegang krijgen tot lidservers en werkstations via het netwerk door het volgende te doen:

    1. Dubbelklik op Toegang tot deze computer weigeren vanuit het netwerk en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

    3. Typ Ondernemingsbeheerders, klik op Namen controleren en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Ondernemingsadministrators toegang hebben tot lidservers en werkstations via het netwerk.

    4. Klik op OK en nogmaals op OK .

  8. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Ondernemingsadministrators zich als batchtaak kunnen aanmelden door het volgende te doen:

    1. Dubbelklik op Aanmelden weigeren als batchtaak en selecteer Deze beleidsinstellingen instellen.

    2. Klik op gebruiker of groep toevoegen en klik op Bladeren.

      Note

      Klik in een forest met meerdere domeinen op Locaties en selecteer het hoofddomein van het forest.

    3. Typ Ondernemingsbeheerders, klik op Namen controleren en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Ondernemingsadministrators zich aanmelden als batchtaak.

    4. Klik op OK en nogmaals op OK .

  9. Configureer de gebruikersrechten om te voorkomen dat leden van de EA-groep zich als een service aanmelden als een service door het volgende te doen:

    1. Dubbelklik op Logboek weigeren als een service en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op Gebruiker of groep toevoegen en klik vervolgens op Bladeren.

      Note

      Klik in een forest met meerdere domeinen op Locaties en selecteer het hoofddomein van het forest.

    3. Typ Ondernemingsbeheerders, klik op Namen controleren en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de EA-groep zich aanmelden als een service.

    4. Klik op OK en nogmaals op OK .

  10. Configureer gebruikersrechten om te voorkomen dat leden van de groep Ondernemingsadministrators zich lokaal aanmelden bij lidservers en werkstations door het volgende te doen:

    1. Dubbelklik lokaal op Aanmelden weigeren en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op Gebruiker of groep toevoegen en klik vervolgens op Bladeren.

      Note

      Klik in een forest met meerdere domeinen op Locaties en selecteer het hoofddomein van het forest.

    3. Typ Ondernemingsbeheerders, klik op Namen controleren en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Ondernemingsadministrators zich lokaal aanmelden bij lidservers en werkstations.

    4. Klik op OK en nogmaals op OK .

  11. Configureer de gebruikersrechten om te voorkomen dat leden van de groep Ondernemingsadministrators toegang krijgen tot lidservers en werkstations via Extern bureaublad-services door het volgende te doen:

    1. Dubbelklik op Aanmelden weigeren via Extern bureaublad-services en selecteer Deze beleidsinstellingen definiëren.

    2. Klik op Gebruiker of groep toevoegen en klik vervolgens op Bladeren.

      Note

      Klik in een forest met meerdere domeinen op Locaties en selecteer het hoofddomein van het forest.

    3. Typ Ondernemingsbeheerders, klik op Namen controleren en klik op OK.

      Schermopname die laat zien hoe u kunt controleren of u de gebruikersrechten hebt geconfigureerd om te voorkomen dat leden van de groep Ondernemingsadministrators toegang hebben tot lidservers en werkstations via Extern bureaublad-services.

    4. Klik op OK en nogmaals op OK .

  12. Als u Editor voor groepsbeleidsbeheer wilt afsluiten, klikt u op Bestanden vervolgens op Afsluiten.

  13. In Groepsbeleidsbeheerkoppelt u het groepsbeleidsobject aan de OU's van de lidserver en werkstations door het volgende te doen:

    1. Navigeer naar het <Forest>\Domains\<Domain> (waarbij <Forest> de naam van het forest is en <Domein> de naam is van het domein waarin u het groepsbeleid wilt instellen).

    2. Klik met de rechtermuisknop op de organisatie-eenheid waarop het groepsbeleidsobject wordt toegepast en klik op Een bestaand groepsbeleidsobject koppelen.

      Schermopname waarin de menuoptie Een bestaand groepsbeleidsobject koppelen is gemarkeerd.

    3. Selecteer het groepsbeleidsobject dat u zojuist hebt gemaakt en klik op OK.

      Schermopname die laat zien waar u het groepsbeleidsobject selecteert dat u zojuist hebt gemaakt.

    4. Koppelingen maken naar alle andere organisatie-eenheden die werkstations bevatten.

    5. Koppelingen maken naar alle andere organisatie-eenheden die lidservers bevatten.

    6. In een forest met meerdere domeinen moet een vergelijkbaar groepsbeleidsobject worden gemaakt in elk domein waarvoor de Enterprise Admins-groep moet worden beveiligd.

Important

Als jumpservers worden gebruikt voor het beheren van domeincontrollers en Active Directory, moet u ervoor zorgen dat jumpservers zich in een organisatie-eenheid bevinden waaraan deze GPO's niet zijn gekoppeld.

Verificatiestappen

Controleer 'Toegang tot deze computer weigeren vanuit het netwerk' GPO-instellingen

Vanaf een lidserver of werkstation dat niet wordt beïnvloed door de wijzigingen in het groepsbeleidsobject (zoals een jumpserver), probeert u toegang te krijgen tot een lidserver of werkstation via het netwerk dat wordt beïnvloed door de wijzigingen in het groepsbeleidsobject. Als u de groepsbeleidsobjectinstellingen wilt controleren, probeert u het systeemstation toe te wijzen met behulp van de opdracht NET USE door de volgende stappen uit te voeren:

  1. Meld u lokaal aan met een account dat lid is van de EA-groep.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  3. Typ in het zoekvakde opdrachtprompt, klik met de rechtermuisknop op Opdrachtprompt en klik vervolgens op Uitvoeren als administrator om een opdrachtprompt met verhoogde bevoegdheid te openen.

  4. Klik op Ja wanneer u wordt gevraagd om de uitbreiding goed te keuren.

    Schermopname van het dialoogvenster waarin u de uitbreiding goedkeurt.

  5. Typ in het opdrachtpromptvensternet use \\<Server Name>\c$, waarbij <Servernaam> de naam is van de lidserver of het werkstation dat u probeert te openen via het netwerk.

  6. In de volgende schermopname ziet u het foutbericht dat moet worden weergegeven.

    Schermopname van het foutbericht dat moet worden weergegeven.

Controleer de instellingen voor het groepsbeleidsobject (GPO) voor "Weigeren van aanmelding als een batchtaak"

Log lokaal in op elke lidserver of elk werkstation dat door de wijzigingen in het groepsbeleidsobject wordt beïnvloed.

Een Batch-bestand maken

  1. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  2. Typ kladblok in het zoekvak en klik op Kladblok.

  3. Typ dir c:in Kladblok.

  4. Klik op Bestand en klik op Opslaan als.

  5. Typ <in het vak Bestandsnaam bestandsnaam>.bat (waarbij <Bestandsnaam> de naam is van het nieuwe batchbestand).

Een taak plannen

  1. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  2. Typ taakplannerin het zoekvak en klik op Taakplanner.

    Note

    Typ planningstaken op computers met Windows 8 in het zoekvak en klik op Taken plannen.

  3. Klik op Actie en klik op Taak maken.

  4. Typ <in het dialoogvenster Taak maken taaknaam (waarbij Taaknaam>> de naam van de nieuwe taak is).<

  5. Klik op het tabblad Acties en klik op Nieuw.

  6. Selecteer een programma starten in het veld Actie.

  7. Klik onder Programma/script op Bladeren, zoek en selecteer het batchbestand dat is gemaakt in de sectie Een Batch-bestand maken en klik op Openen.

  8. Klik op OK.

  9. Klik op het tabblad Algemeen .

  10. Klik in het veld Beveiligingsopties op Gebruiker of groep wijzigen.

  11. Typ de naam van een account dat lid is van de groep EAs, klik op Namen controleren en klik op OK.

  12. Selecteer Uitvoeren of de gebruiker al dan niet is aangemeld en selecteer Wachtwoord niet opslaan. De taak heeft alleen toegang tot lokale computerbronnen.

  13. Klik op OK.

  14. Er moet een dialoogvenster worden weergegeven dat om inloggegevens van gebruikersaccounts vraagt om de taak uit te voeren.

  15. Nadat u de referenties hebt ingevoerd, klikt u op OK.

  16. Er moet een dialoogvenster worden weergegeven dat er ongeveer als volgt uitziet.

    Schermopname van het dialoogvenster Task Scheduler.

Controleer 'Aanmelden als een service weigeren' GPO-instellingen

  1. Log lokaal in op elke lidserver of elk werkstation dat door de wijzigingen in het groepsbeleidsobject wordt beïnvloed.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  3. Typ servicesin het zoekvak en klik op Services.

  4. Zoek en dubbelklik op Print Spooler.

  5. Klik op het tabblad Aanmelden .

  6. Onder Aanmelden als, selecteer dit account.

  7. Klik op Bladeren, typ de naam van een account dat lid is van de groep EAs, klik op Namen controleren en klik op OK.

  8. Typ onder Wachtwoord: en Bevestig het wachtwoord van het geselecteerde account en klik op OK.

  9. Klik nog drie keer op OK .

  10. Klik met de rechtermuisknop op de Print Spooler-service en selecteer Opnieuw opstarten.

  11. Wanneer de service opnieuw wordt opgestart, wordt er een dialoogvenster weergegeven dat er ongeveer als volgt uitziet.

    Schermopname van een bericht met de mededeling dat Windows de Afdruk-Spooler-server niet kan starten.

Wijzigingen herstellen in de Printer-Spooler-service

  1. Log lokaal in op elke lidserver of elk werkstation dat door de wijzigingen in het groepsbeleidsobject wordt beïnvloed.

  2. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  3. Typ servicesin het zoekvak en klik op Services.

  4. Zoek en dubbelklik op Print Spooler.

  5. Klik op het tabblad Aanmelden .

  6. Selecteer onder Aanmelden als het lokale systeemaccount en klik op OK.

Controleer de instellingen van het GPO voor "Lokaal aanmelden weigeren"

  1. Probeer u vanaf een lidserver of werkstation waarop de groepsbeleidsobjectwijzigingen betrekking hebben, lokaal aan te melden met een account dat lid is van de EA-groep. Er moet een dialoogvenster worden weergegeven dat er ongeveer als volgt uitziet.

    Schermopname van een bericht met de mededeling dat de aanmeldingsmethode die u gebruikt, niet is toegestaan.

'Aanmelden weigeren via Extern bureaublad-services' groepsbeleidsobjectinstellingen controleren

  1. Beweeg met de muis de aanwijzer naar de rechterbovenhoek of rechterbenedenhoek van het scherm. Wanneer de Charms-balk wordt weergegeven, klikt u op Zoeken.

  2. Typ in het zoekvakverbinding met extern bureaublad en klik vervolgens op Verbinding met extern bureaublad.

  3. Typ in het veld Computer de naam van de computer waarmee u verbinding wilt maken en klik vervolgens op Verbinden. (U kunt ook het IP-adres typen in plaats van de computernaam.)

  4. Geef desgevraagd referenties op voor een account dat lid is van de EA-groep.

  5. Er moet een dialoogvenster worden weergegeven dat er ongeveer als volgt uitziet.

    beveiligde ondernemingsbeheerdersgroepen

  • Last updated on