请告诉我如何确保远程桌面用户无法将软件安装到远程login的Active Directory服务器上。
一些背景:
我有一个客户端的服务器安全是非常搞砸的。 我通常比pipe理员更像程序员,所以我需要一些帮助。
他们正在使用他们的Active Directory服务器来允许远程销售人员将远程桌面连接到他们的networking中,从而使Active Directory服务器成为4名远程员工的桌面。 这对我来说似乎是一个坏主意。 我宁愿为这些远程用户设置一个单独的服务器。
不过,更糟糕的是,我只是使用其中一个销售人员的凭据login,而且我能够使用他们的凭据安装firefox! 所以,实际上,每个外部销售人员都具有将应用程序安装到Active Directory服务器的pipe理权限!
上个星期,我从服务器上删除了一个病毒,实际上是把这个业务关了起来 今天,还有另外一种病毒发送大量电子邮件(将其公司列入黑名单)。
我打算重新安装这个服务器,并试图locking它,但直到周末,我试图至less弄清楚如何使这些远程销售人员无法安装软件到服务器。
事实是,我没有太多的Active Directory的经验。 我已经locking了没有Active Directory的Windows服务器(通过“计算机pipe理>用户”控制台)。
当我进入“Active Directory用户和计算机”。 我没有看到销售人员是pipe理员组的成员。 而当我查看每个组(他们是其成员)时,我无法find任何权限设置,以显示他们为什么能够在服务器上安装软件。
你能指导我一下吗? 我必须俯视一些必要的东西。 请指教。
编辑:
这里是组,用户是一个记忆:
Name: ActiveDirectoryFolder Custom Sales All domain.com/Users Domain Users domain.com/Users Remote Desktop Users domain.com/Builtin Remote Users domain.com/Builtin 他们可能是BUILT-IN\Administrators , DOMAIN\Domain Admins或DOMAIN\Enterprise Admins 。
从这些组中删除它们,不要让任何人login到不是系统pipe理员的DC。
我build议朗尼的第一件事就是说服他们为单独的删除服务器花掉一些钱。 远程服务器应该被locking,只要员工有足够的权限来完成他们的工作(称为“最低特权规则”),
至于查看权限,Active Directory有一组实用程序,但在您的情况下最有用的可能是dsget <user> -memberof -expand命令。 这将显示特定的用户组成员资格,并允许您找出为什么他们能够安装软件。
有关DSGET的更多信息: http ://technet.microsoft.com/en-us/library/cc732535%28v=ws.10%29