.single.post-author、著者:konstantinos tsoukalas、最終更新:2025年4月9日
このチュートリアルには、ドメインになったコンピューターでローカルにログオンするドメイン管理者を防ぐ方法に関するステップバイステップの指示が含まれています。
ドメイン管理者は、ドメイン内のすべてのコンピューターに(デフォルトで)管理許可を持っています。ただし、単一のドメイン管理者アカウントが侵害された場合、攻撃者はドメイン内のすべてのマシンを制御できるため、セキュリティリスクが高まります。したがって、ドメイン管理者がローカルにドメインコンピューターにログインするのを防ぐことは、このセキュリティリスクを排除するためのベストプラクティスです。
*情報:ドメイン管理者がワークステーションにローカルで接続できるようにすることで、他の管理タスクを実行する能力を削除せずにネットワーク上のセキュリティレベルのレベルを達成します。 (たとえば、「Active Directoryユーザーとコンピューター」からワークステーションを管理するため)。グループポリシーを介したディレクトリドメインコンピューター(サーバー2016/2019)。
ドメイン管理者がローカルでドメインコンピューターにログインするのを防ぐため:
1。 グループポリシー管理では、デフォルトドメインポリシーを編集するか、-better-ドメイン全体の新しいグループポリシーを作成するか、ドメイン管理者がローカルにログオンするようにドメイン管理者を拒否したいコンピューターを含むOUのみの新しいグループポリシーを作成します。このポリシーを適用したい場合
3。右クリックを選択し、このドメインでGPOを作成し、ここでリンクします…
4。 src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-53.png”width=”682″height=”527″>
5。 src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-55.png”width=”682″height=”434″>
6a。 セキュリティ設定> ローカルポリシー> ユーザーの権利の割り当て。
6b。 src=”https://www.wintips.org/wp-content/uploads/2024/07/image_thumb-57.png”width=”682″height=”408″>
7。有効にする(これらのポリシー設定を定義する」オプションをチェックし、ユーザーまたはグループの追加をクリックします。
8a。 browse ボタンをクリックします。 「ドメイン管理者」 名前をクリックしてください。
ok と ok を再びクリックしての変更を保存します。
9。 > 10。 src=”https://www.wintips.org/wp-content/uploads/2022/05/image_thumb-143.png”width=”582″height=”235″>
12。 > 「使用しようとしているサインインメソッドは許可されていません。詳細については、ネットワーク管理者に連絡してください。”