Назад | Перейти на главную страницу

Локальные администраторы группы с ограниченным доступом могут подключаться к DC по протоколу RDP

Я добавил группы с ограниченным доступом в свое подразделение настольных компьютеров, и это добавляет группу безопасности «Локальные администраторы» в группу локальных администраторов на рабочих станциях в этом подразделении. Проблема в том, что после применения этого объекта групповой политики учетные записи обычных пользователей могут использовать RDP «В КОНТРОЛЛЕР ДОМЕНА». Я подтвердил, что это объект групповой политики, вызывающий нарушение, и в этом объекте групповой политики нет других настроек; его единственная цель - применить эту одну ограниченную группу.

Группа действительно применяется к рабочим станциям и работает должным образом, за исключением одной этой проблемы. Даже gpresult / z нигде не упоминает этот объект групповой политики при запуске на контроллере домена, но делает это на рабочих станциях.

Подразделение «Рабочие столы» содержит объект групповой политики «Локальные администраторы». Контроллер домена находится в подразделении «Контроллеры домена».

Макет OU

Ограниченная группа

"gpresult / scope computer / r" рабочей станции:

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2016 Microsoft Corporation. All rights reserved.

Created on 04/30/2016 at 1:29:28 PM



RSOP data for DOMAIN\John.Doe on WORKSTATION : Logging Mode
-----------------------------------------------------------------

OS Configuration:            Member Workstation
OS Version:                  10.0.10586
Site Name:                   Default-First-Site-Name
Roaming Profile:             N/A
Local Profile:               C:\Users\John.Doe
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=WORKSTATION,OU=Mobile-Devices,DC=DOMAIN,DC=info
    Last time Group Policy was applied: 04/30/2016 at 12:07:55 PM
    Group Policy was applied from:      DOMAINCONTROLLER.DOMAIN.info
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        DOMAIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        Computer GPO
        Local Admin GPO
        Remote Management
        PSTools
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        WORKSTATION$
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

"gpresult / scope computer / r" DC:

    Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
c 2012 Microsoft Corporation. All rights reserved.

Created on 4/30/2016 at 1:22:52 PM



RSOP data for DOMAIN\John.Doe on DOMAINCONTROLLER : Logging Mode
----------------------------------------------------------------

OS Configuration:            Primary Domain Controller
OS Version:                  6.2.9200
Site Name:                   Default-First-Site-Name
Roaming Profile:             N/A
Local Profile:               C:\Users\John.Doe
Connected over a slow link?: No


COMPUTER SETTINGS
------------------
    CN=DOMAINCONTROLLER,OU=Domain Controllers,DC=DOMAIN,DC=info
    Last time Group Policy was applied: 4/30/2016 at 1:20:57 PM
    Group Policy was applied from:      DOMAINCONTROLLER.DOMAIN.info
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        DOMAIN
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        Default Domain Controllers Policy
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        Certificate Service DCOM Access
        BUILTIN\Pre-Windows 2000 Compatible Access
        BUILTIN\Users
        Windows Authorization Access Group
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        DOMAINCONTROLLER$
        Domain Controllers
        NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
        Authentication authority asserted identity
        Denied RODC Password Replication Group
        RAS and IAS Servers
        Cert Publishers
        System Mandatory Level

@ Sentator14 был на правильном пути, но не совсем там.

Ваша проблема в том, что не существует местный Группа администраторов на контроллерах домена. Когда DC повышается, локальная база данных SAM уходит, и AD становится единственным источником пользователей и групп. Итак, настроив групповую политику для добавления группы в Administrators группы на DC, вы фактически добавляете ее в группа домена называется Administrators. Это не то же самое, что и на самом деле Domain Admins группа, но она по-прежнему важна и, как вы обнаружили, весьма привилегирована.

Вам необходимо настроить объект групповой политики так, чтобы он не применялся к контроллерам домена, либо изменив способ наследования, либо используя что-то вроде фильтрации WMI.

В настройках вашей группы с ограниченным доступом показано, что группа локальных администраторов является членом группы «Администраторы», которая является группой домена. Если вы хотите, чтобы они были членами локальной группы администраторов, вам необходимо настроить параметр «Этот член группы в» на «ВСТРОЕННЫЙ \ Администраторы».