.single.post-othor, penulis : Konstantinos tsoukalas, terakhir diperbarui : 9 April 2025
Tutorial ini berisi instruksi langkah demi langkah tentang cara mencegah administrator domain untuk masuk secara lokal pada komputer yang digabung dengan domain (staf kerja).
Admin domain memiliki izin administrasi (secara default) di setiap komputer di domain. Tetapi ini meningkatkan risiko keamanan, karena jika akun administrator domain tunggal dikompromikan, penyerang dapat memperoleh kendali atas setiap mesin dalam domain. Oleh karena itu, mencegah administrator domain masuk secara lokal ke komputer domain adalah praktik terbaik untuk menghilangkan risiko keamanan ini.
Info: Dengan tidak mengizinkan administrator domain untuk terhubung secara lokal ke stasiun kerja, Anda mencapai tingkat keamanan yang meningkat di jaringan Anda tanpa menghapus kemampuan untuk melakukan tugas administrasi lainnya. (mis. Untuk mengelola workstation dari”pengguna direktori aktif dan komputer”).
Untuk mencegah administrator domain dari logging di komputer domain secara lokal:
1. Buka Manajer Server dan dari Menu Buka Manajemen Kebijakan Grup dalam manajemen kebijakan grup, baik mengedit kebijakan domain default atau-Better-membuat kebijakan grup baru untuk seluruh domain atau hanya untuk OU yang berisi komputer yang ingin Anda tolak admin domain untuk masuk secara lokal.*
Catatan: Dalam contoh ini, kami melanjutkan untuk tidak mengizinkan admin domain secara lokal. Komputer di mana kami ingin kebijakan ini diterapkan.
3. Klik kanan dan pilih Buat GPO di domain ini, dan tautkan di sini…
4. beri nama GPO baru sebagai” DENY Domain Admin untuk masuk secara lokal “dan klik ok.
5. Now Edit the created GPO.
6a. Pergi ke Konfigurasi Komputer > Kebijakan > Pengaturan Windows Pengaturan keamanan Kebijakan Lokal Penugasan Hak Pengguna
p> p> 7. Enable (periksa) Opsi”Tentukan pengaturan kebijakan ini”dan kemudian klik Tambahkan pengguna atau grup.
8a. Klik tombol browse .
domain admin” dan klik periksa nama.
ok dan ok lagi untuk menyimpan perubahan.
9. Akhirnya, klik Terapkan > ok untuk menyimpan GPO.
10. tutup semua jendela manajemen kebijakan grup.
11. Akhirnya, buka command prompt sebagai administrator dan berikan perintah berikut untuk menerapkan perubahan (atau restart workstation):
gpupdate/force 
12. mulai sekarang, setiap kali administrator domain-pai untuk menghubungkan locasi. > “Metode masuk yang Anda coba gunakan tidak diperbolehkan. Untuk info lebih lanjut, hubungi administrator jaringan Anda.”
Jika artikel ini berguna untuk Anda, silakan pertimbangkan untuk mendukung kami dengan memberikan sumbangan. Bahkan $ 1 dapat membuat perbedaan besar bagi kami dalam upaya kami untuk terus membantu orang lain sambil menjaga situs ini bebas: