.single.Post-auteur, auteur : Konstantinos tsoukalas, Laatst bijgewerkt : 9 april 2025
Deze tutorial bevat stapsgewijze instructies over hoe te voorkomen dat domeinbeheerders worden aangemeld om in te loggen lokaal op domein bij domein (werkstaten).
Domeinbeheerders hebben (standaard) administratieve machtigingen op elke computer in het domein. Maar dit verhoogt het beveiligingsrisico, want als een enkele domeinbeheerderaccount wordt aangetast, kan de aanvaller controle krijgen over elke machine in het domein. Daarom is het verhinderen van domeinbeheerders om zich lokaal aan te loggen op domeincomputers de beste praktijk om dit beveiligingsrisico te elimineren.
* info: door domeinbeheerders niet lokaal te laten verbinding maken met werkstations, bereikt u een verhoogde beveiligingsniveau op uw netwerk zonder de mogelijkheid om andere administratieve taken uit te voeren. (bijv. Om werkstations te beheren van”Active Directory-gebruikers en computers”).
HOE NIET TOOIT DOMAIN OOK DOMINE OP ACTIEVE toestemming Directory-domeincomputers via groepsbeleid (server 2016/2019).
om te voorkomen dat domeinbeheerders zich lokaal aanmelden bij domeincomputers:
1. Open serverbeheerder en van tools menu Open het groepsbeleidsmanagement.
2. bewerk in groepsbeleidsmanagement het standaarddomeinbeleid of-Better-maak een nieuw groepsbeleid voor het hele domein of gewoon voor de OU die de computers bevat waarop u domeinbeheerders wilt weigeren om lokaal aan te loggen.*
* Opmerking: In dit voorbeeld kunnen we geen Domain Admins We willen dat dit beleid van toepassing is.
3. Klik met de rechtermuisknop en selecteer maak een GPO in dit domein en koppelt deze hier…
4. noem de nieuwe GPO als” Domain Admins ontkennen om lokaal aan te loggen “en klik OK.
5. Now Edit the created GPO.
6a. Go to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment.
6b. Now open the Log op lokaal ontkennen beleid.
7. Schakel (check) de optie”Definieer deze beleidsinstellingen”en klik vervolgens op Voeg gebruiker of groep toe.
8a. klik op de knop Bladeren .
Domain Admins” en klik op Controleer namen.
OK en OK Nogmaals om de verandering op te slaan.
9. Klik ten slotte op Toepassen > OK om de GPO op te slaan.
Als dit artikel nuttig voor u was, overweeg dan om ons te ondersteunen door een donatie te doen. Zelfs $ 1 kan een enorm verschil maken voor ons in onze inspanningen om anderen te blijven helpen terwijl ze deze site gratis houden: konstantinos is de Founder and Administrator van WinTips.org. Sinds 1995 werkt hij en biedt IT-ondersteuning als computer-en netwerkexpert aan particulieren en grote bedrijven. Hij is gespecialiseerd in het oplossen van problemen met betrekking tot Windows of andere Microsoft-producten (Windows Server, Office, Microsoft 365, enz.). Nieuwste berichten van Konstantinos Tsoukalas (zie alles)