请告诉我如何确保远程桌面用户无法将软件安装到他们远程登录的 Active Directory 服务器上。
背景:
我有一个客户的服务器安全问题非常严重。我通常更像一名程序员而不是管理员,所以我需要一些帮助。
他们使用 Active Directory Server 允许远程销售人员通过远程桌面进入他们的网络,本质上允许该 Active Directory Server 兼作 4 名远程员工的桌面。仅凭这一点,我似乎就觉得是个坏主意。我宁愿为这些远程用户设置单独的服务器。
然而,更糟糕的是,我刚刚使用其中一位销售人员的凭证登录,并且能够使用他们的凭证安装 Firefox!因此,实际上,每个外部销售人员都具有将应用程序安装到 Active Directory 服务器上的管理权限!
上周我从服务器上删除了一个病毒,该病毒实际上导致公司停业。今天,又有一个病毒群发电子邮件(导致他们的公司被列入黑名单)。
我确实打算重新安装这台服务器并尝试将其锁定,但直到周末,我至少要弄清楚如何让这些远程销售人员无法在服务器上安装软件。
说实话,我对 Active Directory 并没有太多经验。我主要锁定了没有 Active Directory 的 Windows 服务器(通过“计算机管理 > 用户”控制台)。
当我进入“Active Directory 用户和计算机”时,我没有看到销售人员是管理员组的成员。当我查看每个组(他们所属的组)时,我无法找到任何权限设置来揭示他们为什么能够在服务器上安装软件。
你能给我指点一下吗?我肯定忽略了一些重要的东西。请给我建议。
编辑:
以下是用户所属的群组:
Name: ActiveDirectoryFolder
Custom Sales All domain.com/Users
Domain Users domain.com/Users
Remote Desktop Users domain.com/Builtin
Remote Users domain.com/Builtin
答案1
BUILT-IN\Administrators
他们可能是、DOMAIN\Domain Admins
或 的成员DOMAIN\Enterprise Admins
。
将他们从这些组中删除,并且不要让任何非系统管理员登录 DC。
答案2
我建议 Lonnie 做的第一件事就是说服他们花一些钱购买一个单独的远程服务器。远程服务器应该以一种让员工只拥有足够访问权限来完成工作的方式锁定(称为最小特权规则)
至于查看权限,Active Directory 有一组实用程序,但对您来说最有用的可能是命令dsget <user> -memberof -expand
。这将显示特定用户的组成员身份,并允许您找出他们能够安装软件的原因。
有关 DSGET 的更多信息:http://technet.microsoft.com/en-us/library/cc732535%28v=ws.10%29