Eles provavelmente são membros de BUILT-IN\Administrators , DOMAIN\Domain Admins ou DOMAIN\Enterprise Admins .
Remova-os desses grupos e não permita que ninguém faça login em um DC que não seja um administrador de sistemas.
Informe-me sobre como posso garantir que os usuários de área de trabalho remota não possam instalar software no servidor do Active Directory em que estão efetuando login remotamente.
Alguns antecedentes:
Eu tenho um cliente cuja segurança do servidor está muito complicada. Eu sou tipicamente mais um programador do que um administrador, então eu preciso de ajuda.
Eles estão usando o Servidor do Active Directory para permitir que pessoas de vendas remotas acessem a Área de Trabalho Remota em sua rede, essencialmente permitindo que o Servidor do Active Directory duplique como uma área de trabalho para quatro funcionários remotos. Isso por si só parece uma má ideia para mim. Eu prefiro configurar um servidor separado para esses usuários remotos.
No entanto, o que é pior, é que acabei de me conectar usando as credenciais de um dos vendedores e consegui instalar o firefox usando suas credenciais! Assim, essencialmente, cada vendedor externo tem privilégios administrativos para instalar aplicativos no servidor do Active Directory!
Na semana passada, removi um vírus do servidor que basicamente derrubou o negócio. Hoje, há outro vírus enviando e-mails em massa (colocando a empresa na lista negra).
Eu pretendo reinstalar este servidor e tentar bloqueá-lo, mas até o fim de semana, estou tentando, pelo menos, descobrir como fazer com que essas pessoas de vendas remotas não possam instalar software no servidor.
A verdade é que não tenho muita experiência com o Active Directory. Eu principalmente bloqueado Windows Servers que não possuem o Active Directory (através do console 'Gerenciamento do Computador > Usuários').
Quando entro em "Usuário e computadores do Active Directory". Não vejo que o vendedor seja membro de um grupo de administradores. E quando olho para cada grupo (de que são membros), não consigo localizar nenhuma configuração de permissão que revele por que eles podem instalar software no servidor.
Você poderia me dirigir um pouco. Eu devo estar procurando algo essencial. Por favor, conselhos.
Editar:
Aqui estão os grupos, o usuário é um memember de:
Name: ActiveDirectoryFolder
Custom Sales All domain.com/Users
Domain Users domain.com/Users
Remote Desktop Users domain.com/Builtin
Remote Users domain.com/Builtin
A primeira coisa que eu gostaria de sugerir a Lonnie é convencê-los a gastar algum dinheiro para um servidor de remoção separado. Os servidores remotos devem ser bloqueados de uma forma em que os funcionários tenham acesso apenas o suficiente para fazer seu trabalho (conhecido como A Regra do Menor Privilégio)
No que se refere à visualização das permissões, o Active Directory possui um grupo de utilitários, mas o mais útil em sua situação provavelmente será o comando dsget <user> -memberof -expand . Isso exibirá essas associações de grupos de usuários e permitirá que você descubra por que elas podem instalar o software.
Mais informações sobre o DSGET: link