Bảo mật nhóm quản trị nội bộ trên các desktop

Nếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiều người dùng có quyền quản trị viên nội bộ trên máy trạm của họ. Có nhiều giải pháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốn thực hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viên nội bộ, các nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặc máy tính của họ. Chính vì vậy để bảo vệ nhóm quản trị viên...
Nội dung trích xuất từ tài liệu:
Bảo mật nhóm quản trị nội bộ trên các desktopBảo mật nhóm quản trị nội bộ trên các desktopNếu công ty của bạn cũng giống như hầu hết các công ty khác thì sẽ có nhiềungười dùng có quyền quản trị viên nội bộ trên máy trạm của họ. Có nhiều giảipháp để loại trừ sự cần thiết này, đây chính là hướng mà mọi công ty đều muốnthực hiện. Khi người dùng đăng nhập vào hệ thống với tư cách một quản trị viênnội bộ, các nhân viên CNTT sẽ không thể kiểm soát được người dùng đó hoặcmáy tính của họ. Chính vì vậy để bảo vệ nhóm quản trị viên nội bộ trên các máytrạm bạn cần phải sử dụng đến một số công cụ mạnh. Có ba nhiệm vụ bạn cầnthực hiện để bảo vệ nhóm người dùng này sẽ được giới thiệu đến trong bài.Windows Server 2008 và Windows Vista SP1 (được cài đặt RSAT) sẽ mang đếncho bạn những điều khiển mới đáng kinh ngạc làm cho các cấu hình này trở nênnhẹ nhàng!Nhiệm vụ 1: Remove tài khoản người dùng trong miềnNhiệm vụ ban dầu trong việc bảo vệ nhóm quản trị viên nội bộ là bảo đảm rằngngười dùng sẽ không nằm trong hội viên của nhóm nữa. Điều này nói bao giờcũng dễ hơn thực hiện vì hầu hết các công ty đều cấu hình tài khoản miền củangười dùng là thành viên trong nhóm này khi cài đặt máy tính của người dùng.Hãy xem xét đến kịch bản ở nơi mà bạn giải quyết vấn đề với những người dùngđang đăng nhập vào máy tính của họ với quyền quản trị viên nội bộ và lúc này bạncần phải remove các tài khoản người dùng trong miền từ nhóm quản trị viên nộibộ trên mỗi máy trạm trong môi trường sản xuất của mình. Bạn có tới 10.000 máytrạm, laptop, và những người dùng từ xa, chính vì vậy có một nhiệm đặt ra vớibạn.Nếu tạo một kịch bản để thực hiện nhiệm vụ này thì bạn sẽ phải dựa vào ngườidùng để đăng xuất và quay trở về kịch bản để tiếp tục chạy. Không bao giờ xảy rađối với khoảng một nửa các máy trạm, chính vì vậy bạn cần đến một cách khác.Một giải pháp hoàn hảo ở đây là sử dụng Local Group – Group Policy Preferencecó thể thực hiện nhiệm vụ này trong khoảng 90 phút. Để thực hiện công việc này,bạn chỉ cần soạn thảo Group Policy Object (GPO) và cấu hình chính sáchsau: User ConfigurationPreferencesControl Panel SettingsLocalUsers và GroupsNewLocal Group, thao tác sẽ mở ra hộp thoại New Local GroupProperties như thể hiện trong hình 1. Hình 1: Local Group GPP cho phép bạn kiểm soát thành viên của nhóm quản trị viên nội bộSau khi mở trang thuộc tính này, hãy chọn “Remove the current user”. Tùy chọnnày sẽ ảnh hưởng đến tất cả các tài khoản trong phạm vi quản lý của GPO có thiếtlập này. Thiết lập này sẽ áp dụng trong suốt quá trình refresh ngầm của GroupPolicy tiếp theo, quá trình diễn ra không đến 90 phút.Nhiệm vụ 2: Thêm Domain Admin và Local AdministratorBước kế tiếp trong quá trình bảo vệ nhóm quản trị viên của nội bộ là bảo đảm rằngnhóm toàn cục Domain Admins và tài khoản local Administrator đều được thêmvào nhóm local Administrators trên mỗi desktop.Có thể sử dụng chính sách Restricted Groups (các nhóm hạn chế) có trongWindows Active Directory Group Policy để thực hiện nhiệm vụ này. Tuy nhiênvấn đề với giải pháp này ở chỗ chính sách này là một chính sách “xóa và thaythế”, không phải là chính sách theo đúng nghĩa nối thêm dữ liệu. Chính vì vậy khibạn cấu hình một chính sách để thực hiện nhiệm vụ này thì bạn sẽ xóa toàn bộ nộidung của nhóm local Administrators và thay thế nó bằng hai tài khoản này.Bằng cách sử dụng chính sách Local Users and Groups được mô tả trong nhiệm vụ1, bạn không chỉ có thể remove người dùng đã đăng nhập mà còn có thể bổ sungthêm hai tài khoản chính để bảo đảm có đúng các đặc quyền quản trị được thiết lậptrên mỗi máy trạm, xem thể hiện trong hình 2. ...