Я добавил группы с ограниченным доступом в свое подразделение настольных компьютеров, и это добавляет группу безопасности «Локальные администраторы» в группу локальных администраторов на рабочих станциях в этом подразделении. Проблема в том, что после применения этого объекта групповой политики учетные записи обычных пользователей могут использовать RDP «В КОНТРОЛЛЕР ДОМЕНА». Я подтвердил, что это объект групповой политики, вызывающий нарушение, и в этом объекте групповой политики нет других настроек; его единственная цель - применить эту одну ограниченную группу.
Группа действительно применяется к рабочим станциям и работает должным образом, за исключением одной этой проблемы. Даже gpresult / z нигде не упоминает этот объект групповой политики при запуске на контроллере домена, но делает это на рабочих станциях.
Подразделение «Рабочие столы» содержит объект групповой политики «Локальные администраторы». Контроллер домена находится в подразделении «Контроллеры домена».
"gpresult / scope computer / r" рабочей станции:
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2016 Microsoft Corporation. All rights reserved.
Created on 04/30/2016 at 1:29:28 PM
RSOP data for DOMAIN\John.Doe on WORKSTATION : Logging Mode
-----------------------------------------------------------------
OS Configuration: Member Workstation
OS Version: 10.0.10586
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\John.Doe
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=WORKSTATION,OU=Mobile-Devices,DC=DOMAIN,DC=info
Last time Group Policy was applied: 04/30/2016 at 12:07:55 PM
Group Policy was applied from: DOMAINCONTROLLER.DOMAIN.info
Group Policy slow link threshold: 500 kbps
Domain Name: DOMAIN
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Computer GPO
Local Admin GPO
Remote Management
PSTools
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
WORKSTATION$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
"gpresult / scope computer / r" DC:
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2012 Microsoft Corporation. All rights reserved.
Created on 4/30/2016 at 1:22:52 PM
RSOP data for DOMAIN\John.Doe on DOMAINCONTROLLER : Logging Mode
----------------------------------------------------------------
OS Configuration: Primary Domain Controller
OS Version: 6.2.9200
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\John.Doe
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=DOMAINCONTROLLER,OU=Domain Controllers,DC=DOMAIN,DC=info
Last time Group Policy was applied: 4/30/2016 at 1:20:57 PM
Group Policy was applied from: DOMAINCONTROLLER.DOMAIN.info
Group Policy slow link threshold: 500 kbps
Domain Name: DOMAIN
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
Default Domain Controllers Policy
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
Certificate Service DCOM Access
BUILTIN\Pre-Windows 2000 Compatible Access
BUILTIN\Users
Windows Authorization Access Group
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
DOMAINCONTROLLER$
Domain Controllers
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
Authentication authority asserted identity
Denied RODC Password Replication Group
RAS and IAS Servers
Cert Publishers
System Mandatory Level
@ Sentator14 был на правильном пути, но не совсем там.
Ваша проблема в том, что не существует местный Группа администраторов на контроллерах домена. Когда DC повышается, локальная база данных SAM уходит, и AD становится единственным источником пользователей и групп. Итак, настроив групповую политику для добавления группы в Administrators
группы на DC, вы фактически добавляете ее в группа домена называется Administrators
. Это не то же самое, что и на самом деле Domain Admins
группа, но она по-прежнему важна и, как вы обнаружили, весьма привилегирована.
Вам необходимо настроить объект групповой политики так, чтобы он не применялся к контроллерам домена, либо изменив способ наследования, либо используя что-то вроде фильтрации WMI.
В настройках вашей группы с ограниченным доступом показано, что группа локальных администраторов является членом группы «Администраторы», которая является группой домена. Если вы хотите, чтобы они были членами локальной группы администраторов, вам необходимо настроить параметр «Этот член группы в» на «ВСТРОЕННЫЙ \ Администраторы».