Пожалуйста, посоветуйте мне, как я могу гарантировать, что пользователи удаленного рабочего стола не могут устанавливать программное обеспечение на сервер Active Directory, на который они входят удаленно.
Некоторая предыстория:
У меня есть клиент, у которого Server Security сильно испорчен. Обычно я больше программист, чем администратор, поэтому мне нужна помощь.
Они используют свой сервер Active Directory, чтобы позволить удаленным продавцам подключаться к удаленному рабочему столу в своей сети, что по сути позволяет этому серверу Active Directory работать как рабочий стол для 4 удаленных сотрудников. Одно это кажется мне плохой идеей. Я бы предпочел настроить отдельный сервер для этих удаленных пользователей.
Однако, что еще хуже, я только что вошел в систему, используя учетные данные одного из продавцов, и я смог установить firefox, используя их учетные данные! Так что, по сути, каждый внешний продавец имеет права администратора для установки приложений на сервер Active Directory!
На прошлой неделе я удалил с сервера вирус, который существенно остановил бизнес. Сегодня существует еще один вирус, рассылающий массовые электронные письма (занесение своей компании в черный список).
Я действительно собираюсь переустановить этот сервер и попытаться заблокировать его, но до выходных я пытаюсь хотя бы выяснить, как добраться туда, где эти удаленные продавцы не могут устанавливать программное обеспечение на сервер.
По правде говоря, у меня нет большого опыта работы с Active Directory. Я в основном блокировал серверы Windows, на которых нет Active Directory (через консоль «Управление компьютером> Пользователи»).
Когда я захожу в «Пользователи и компьютеры Active Directory». Я не вижу, чтобы продавец был членом группы администраторов. И когда я смотрю на каждую группу (в которую они входят), я не могу найти какой-либо параметр разрешений, который показывает, почему они могут устанавливать программное обеспечение на сервер.
Не могли бы вы направить меня немного. Я, должно быть, упускаю из виду нечто важное. Пожалуйста посоветуй.
Редактировать:
Вот группы, членом которых является пользователь:
Name: ActiveDirectoryFolder
Custom Sales All domain.com/Users
Domain Users domain.com/Users
Remote Desktop Users domain.com/Builtin
Remote Users domain.com/Builtin
Вероятно, они либо являются членами BUILT-IN\Administrators, DOMAIN\Domain Admins, или DOMAIN\Enterprise Admins.
Удалите их из этих групп и не позволяйте никому входить в DC, если он не является системным администратором.
Первое, что я бы посоветовал Лонни, - это убедить их потратить немного денег на отдельный сервер удаления. Удаленные серверы должны быть заблокированы таким образом, чтобы у сотрудников было достаточно доступа для выполнения своей работы (известное как Правило наименьших привилегий).
Что касается просмотра разрешений, в Active Directory есть группа утилит, однако наиболее полезной в вашей ситуации, вероятно, будет dsget <user> -memberof -expand команда. Это отобразит членство в группах конкретных пользователей и позволит вам выяснить, почему они могут устанавливать программное обеспечение.
Дополнительная информация о DSGET: http://technet.microsoft.com/en-us/library/cc732535%28v=ws.10%29