为了提供更安全的环境,DRA 允许您限制授予 Microsoft Windows 内置安全组的权限。修改组成员资格、内置安全组属性或组成员属性的功能可能具有重要的安全隐患。例如,如果您可以更改 Server Operators(服务器操作员)组中用户的口令,则可以以该用户身份登录并执行委托给此内置安全组的权限。
DRA 通过提供策略来检查您对本机内置安全组及其成员的权限,从而防止这一安全问题。此验证可确保您请求的操作不会升级这些权限。启用此策略后,作为内置安全组(例如 Server Operators(服务器操作员)组)成员的助理管理员只能管理同一组的其他成员。
您可以使用 DRA 策略限制以下 Microsoft Windows 内置安全组的权限:
帐户操作员
管理员
备份操作员
证书发布者
DNS Admin
域 Admin
企业 Admin
组策略创建者所有者
打印操作员
纲要 Admin
注:DRA 通过内部标识符引用内置安全组。因此,即使重命名组,DRA 也支持这些组。此功能可确保 DRA 支持在不同国家/地区使用不同名称的内置安全组。例如,DRA 引用具有相同内部标识符的管理员组和 Administratoren 组。
DRA 使用策略来限制本机内置安全组及其成员可以执行的权限。$SpecialGroupsPolicy 策略可限制本机内置安全组的成员可以对其他成员或其他本机内置安全组执行的操作。DRA 默认启用此策略。如果您不想限制对本机内置安全组及其成员的操作,则可以禁用此策略。
启用此策略后,DRA 将使用以下验证测试来确定是否允许对本机内置安全组或其成员执行操作:
如果您是 Microsoft Windows 管理员,则可以对具有相应权限的本机内置安全组及其成员执行操作。
如果您是内置安全组的成员,只要您具有相应的权限,则可以对同一内置安全组及其成员执行操作。
如果您不是内置安全组的成员,则无法修改内置安全组或其成员。
例如,如果您是 Server Operators(服务器操作员)和 Account Operators(帐户操作员)的成员,并且具有相应的权限,则可以对 Server Operators(服务器操作员)组的成员、Account Operators(帐户操作员)组的成员或两个组的成员执行操作。但是,您无法对作为打印操作员组和 Account Operators(帐户操作员)组成员的用户帐户执行操作。
DRA 限制您对本机内置安全组执行以下操作:
克隆组
创建组
删除组
将成员添加到组
从组中去除成员
将组移动到 OU
修改组的属性
复制邮箱
去除邮箱
克隆用户帐户
创建用户帐户
删除用户帐户
将用户帐户移动到 OU
修改用户帐户属性
DRA 还限制操作以确保您不会获得对象的权限。例如,当您向组添加用户帐户时,DRA 会检查以确保您不会因为该用户帐户是该组的成员而获得该用户帐户的额外权限。此验证有助于防止权限升级。