、
このチュートリアルには、ドメインに参加したコンピューター(ワークステーション)でドメイン管理者がローカルでログオンを開始するのを防ぐ方法に関する段階的な指示が含まれています。
ドメイン管理者は、ドメイン内のすべてのコンピューターに(デフォルトで)管理許可を持っています。ただし、単一のドメイン管理者アカウントが侵害された場合、攻撃者はドメイン内のすべてのマシンを制御できるため、セキュリティリスクが高まります。したがって、ドメイン管理者がローカルでドメインコンピューターにログインするのを防ぐことは、このセキュリティリスクを排除するための最良の実践です。
* 情報:ドメイン管理者がワークステーションにローカルで接続できるようにすることで、他の管理タスクを実行する機能を削除せずに、ネットワーク上のセキュリティレベルの向上を実現します。 (「Active Directoryユーザーとコンピューター」のワークステーションを管理するため)。
Group Policy(Server 2016/2019)を介して、Active Directoryドメインコンピューターでドメイン管理者がローカルにログオンできるようにしない方法。
ドメイン管理者がローカルにログインしてドメインコンピューターにログインしないようにするには:
1。開けるサーバーマネージャーそしてからツールメニューを開きますグループポリシー管理。
2。グループポリシー管理では、デフォルトのドメインポリシーを編集するか、-better-ドメイン全体の新しいグループポリシーを作成するか、ドメイン管理者を拒否してローカルにログオンするコンピューターを含むOUのみを作成します。*
* 注記:この例では、「ワークステーション」と呼ばれる特定のOUに新しいGPOを作成することにより、ドメイン管理者がローカルでログインできるようにしません。このポリシーを適用したいすべてのドメインコンピューターが含まれています。
3。右クリックします選択しますこのドメインでGPOを作成し、ここにリンクしてください…
4。新しいGPOに名前を付ける」ドメイン管理者がローカルにログオンすることを拒否します「そしてクリックしますわかりました。
5。今編集作成されたGPO。
6a。行きますコンピューター構成>ポリシー>Windows設定>セキュリティ設定>ローカルポリシー>ユーザーの権利の割り当て。
6b。今開けるローカルでログオンを拒否しますポリシー。
7.有効(チェック)オプション「これらのポリシー設定を定義」してからクリックしますユーザーまたはグループを追加します。
8a。クリックしますブラウズボタン。
8b。タイプ "ドメイン管理者」クリックします名前を確認してください。
8c。次に、クリックしますわかりましたそしてわかりました再び保存します変化。
9。最後に、クリックします適用する>わかりましたGPOを保存します。
10。すべてのグループポリシー管理ウィンドウを閉じます。
11。最後に、管理者としてコマンドプロンプトを開き、次のコマンドを指定して変更を適用します(またはワークステーションを再起動します)。
- gpupdate /force
12。これから、ドメイン管理者がローカルでワークステーションに接続しようとするたびに、エラーが発生します。
「使用しようとしているサインイン方法は許可されていません。詳細については、ネットワーク管理者にお問い合わせください。」
それでおしまい!このガイドがあなたの経験についてあなたのコメントを残してあなたを助けたかどうかを教えてください。他の人を助けるためにこのガイドを気に入って共有してください。
この記事があなたに役立つ場合は、寄付をすることで私たちをサポートすることを検討してください。1ドルでさえ私たちにとって大きな違いをもたらすことができますこのサイトを自由に保ちながら他の人を助け続けるための努力において:
