限制Domain Admin管理员使用敏感管理员帐户(域或林中管理员组、域管理员组和企业管理员组中的成员帐户)登录到信任度较低的服务器和用户端计算机。 此限制可防止管理员通过登录到信任度较低的计算机来无意中增加凭据被盗的风险。
建议使用以下策略限制对信任度较低的服务器和用户计算机的登录访问:
最低:限制“域管理员”对服务器和用户计算机具有登录访问权限。 在开始此过程之前,请确定域中包含工作站和服务器的所有 OU。 OU 中未标识的任何计算机都不会限制具有敏感帐户的管理员登录它们。
更好:限制“域管理员”登录到非域控制器服务器和用户计算机。
理想:除了“域管理员”之外,还限制“服务器管理员”登录到用户计算机。
限制域管理员登录用户计算机方法参考如下:
以域管理员身份打开组策略管理控制台 (GPMC)。
打开“组策略管理”,展开“<林>\域
右键单击“组策略对象”并选择“新建”。

在“新建 GPO”窗口中,命名限制管理员登录到工作站的 GPO,然后选择“确定”。
右键单击“新建 GPO”,然后选择“编辑”。
配置用户权限以拒绝域管理员在本地登录。
选择“计算机配置”>“策略”>“Windows 设置”>“本地策略”,选择“用户权限分配”,然后执行以下操作:

可以选择添加任何Domain群组,其中包含你希望限制其登录到工作站的服务器管理员。


管理域控制器服务器,可以指定一台没有Internet权限,安装EDR\XDR等安全软件,风险系数极低的计算机专门用于管理。
限制“域管理员”登录到非域控制器服务器和用户计算机和限制“服务器管理员”登录到用户计算机 的方法亦参考以上。