.Single. Post-Forfatter, Forfatter : Konstantinos Tsoukalas, Sist oppdatert : 9. april 2025
Denne opplæringen inneholder trinn-for-trinn-instruksjoner om hvordan du kan forhindre domeneadministratorer til å logge på lokalt på domene som forbinder datamaskiner (arbeidsstasjoner).
Domeneadministratorer har (som standard) administrative tillatelser på hver datamaskin i domenet. Men dette øker sikkerhetsrisikoen, fordi hvis en enkelt domeneadministratorkonto er kompromittert, kan angriperen få kontroll over hver maskin i domenet. Derfor å forhindre domeneadministratorer fra å logge på lokalt til domene datamaskiner er den beste praksisen for å eliminere denne sikkerhetsrisikoen.
* Info: Ved ikke å la domeneadministratorer koble seg lokalt til arbeidsstasjoner, oppnår du et økt sikkerhetsnivå i nettverket ditt uten å fjerne muligheten til å utføre andre administrative oppgaver. (f.eks. For å administrere arbeidsstasjoner fra”Active Directory brukere og datamaskiner”).
1. Open SERVER-manager og fra The Strong> Tools -menyen. i gruppepolitikkstyring, rediger enten standard domenepolicy eller-better-Opprett en ny gruppepolitikk for hele domenet eller bare for OU som inneholder datamaskinene du vil nekte domeneadministratorer for å logge lokalt.*
*** VIRTE HVOR DETTE GJØR ETTER SPIFIKT TOPPER”
Vi ønsker at denne policyen skal gjelde.
3. Høyreklikk og velg Opprett en GPO i dette domenet, og koble det til her…
4. Navn den nye GPO som” nekt domeneadministratorer for å logge lokalt “og klikk OK.
5. nå rediger den opprettede gpo.
6a. Gå til Datakonfigurasjon > policyer > Windows-innstillinger > Sikkerhetsinnstillinger Strong> . nekt logg på lokalt policy.
(sjekk) Alternativet”Definer disse policyinnstillingene”og klikk deretter Legg til bruker eller gruppe.
8a. Klikk på Bla gjennom -knappen.
10. Lukk alle gruppen Policy Management Windows.
11. Endelig, åpne ledetekst som administrator og gi følgende kommando for å bruke endringene (eller starte arbeidsstasjonene på nytt):
GPUPDATE/FORCE 