Active Directory除了域管理员组之外还有多个不同级别的管理权限。在之前的一篇文章中，我探讨了：“ 提升Active Directory安全性之保护域控制器 ”，在这篇文章中探讨了如何更好地提升域控制器安全性和扩展Active Directory。有关Active Directory的特定权限和权限的更多信息，请查看我的博文“ 扫描Active Directory特权和特权帐户”。

这篇文章主要提供了有关Active Directory通常被管理的方式以及相关的角色和权限的信息。

·  Domain Admins是大多数人在讨论Active Directory管理时都会提到的AD组。该组在所有加入的域的服务器和工作站，域控制器和Active Directory上均默认拥有完整的管理员权限。它在加入域的计算机上获得管理员权限，因为这些系统加入AD后，Domain Admins组将添加到计算机的Administrators组。

·  Enterprise Admins  是林根域中的一个组，对AD林中的每个域都拥有完整的AD权限。通过在林中的每个域中的Administrators组的成员资格授予此权限。

·  AD域中的Administrators，是在Active Directory和域控制器中具有默认的管理员权限的组，并提供了这些权限，域管理员组和企业管理员组，以及任何其他成员的组。

·  Schema Admins是林根域中的一个组，可以修改Active Directory林的模式。

由于管理员组是提供AD和域控制器完整权限的域用户组，因此监视该组的成员资格（包括所有嵌套的组）非常重要。Active Directory PowerShell cmdlet“Get-ADGroupMember”可以提供组成员的身份信息。

Active Directory中的默认组通常具有广泛的权限 – 比我们通常所需要的更多。因此，我们不建议使用这些组进行授权。在可能的情况下，执行自定义委托以确保遵循最小权限的原则。以下组应该添加一个“DC”前缀，因为该范围默认适用于域控制器。此外，他们具有对域控制器的更高的控制权限，应该被有效地视为域控制器管理员。

·  备份操作员 被授予在域控制器（通过默认域控制器策略GPO分配）上登录，关闭和执行备份/恢复操作的功能。此组不能直接修改AD管理组，尽管关联的权限提供了升级到AD管理员的路径。备份操作员能够安排可能提供升级路径的任务。他们还可以清除域控制器上的事件日志。

· 打印操作员被授予在域控制器上管理打印机和加载/卸载设备驱动程序以及管理Active Directory中的打印机对象的功能。默认情况下，该组可以登录到域控制器并关闭它们。该组不能直接修改AD管理组。

·  服务器操作员被授予在域控制器（通过默认域控制器策略GPO分配）上登录，关闭和执行备份/恢复操作的功能。此组不能直接修改AD管理组，尽管关联的权限提供了升级到AD管理员的路径。

在较小的扩展范围内，我们还将远程桌面用户组合并到了此类别中。

·  远程桌面用户是一个旨在为用户提供轻松的远程访问系统的域用户组。在许多AD域中，该组被添加到默认域控制器策略GPO中的“通过终端服务允许登录”，为DC提供了潜在的远程登录功能。

我们还看到，以下内容通过GPO链接很多次的被配置到了域控制器OU：

·  远程桌面用户：通过链接到域控制器OU的组策略授予“允许通过终端服务登录”。

·  服务器操作员：授予“允许通过终端服务登录”，通过链接到域控制器OU的组策略。

·  服务器操作员：通过GPO授予“作为批处理作业登录”，提供调度任务的能力。

查看链接到域和域控制器OU的GPO，并确保GPO进行了合适的设置。
我们经常发现服务器GPO也链接到了域控制器OU，并且将“服务器管理员”组添加到了本地管理员组。由于域控制器没有“本地”管理员组，因此DC通过添加服务器管理员来更新域管理员组。此方案对服务器管理员和Active Directory管理员的所有成员都有效。

应该审查任何授予了域控制器登录本地权限的组/帐户。

服务器操作员和备份操作员对域控制器具有更高的控制权限，应该被重点监视。Active Directory PowerShell cmdlet“Get-ADGroupMember”可以提供组成员身份的信息。

具有更高权限的其他默认组：

·  Account Operators 有权修改域中的帐户和组。还可以默认登录到域控制器（通过默认域控制器策略GPO分配）。该组不能直接修改AD管理组，尽管关联的权限提供了升级到AD管理员的路径。

DNSAdmin具有对Microsoft Active Directory DNS的管理访问权限，通常可以登录到域控制器。
请注意，在默认情况下，DNSAdmins组的成员能够在域控制器上运行DLL，该DLL可以向域管理员权限提供特权升级：https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83

·  Group Policy Creator Owners 可以在域中创建，修改和删除组策略。

通过“默认的域控制器策略”的组策略应用授予域控制器上的组和帐户的大多数权限。这些通常在执行Active Directory安全评估时审查的“用户权限分配”部分中定义，因为这对于具有DC权限的用户通常非常有启发性。默认域控制器策略中的设置多年来已从Windows 2000更改为现在的新版本。请注意，如果你使用Windows 2000或2003服务器升级Active Directory，则此策略仍将包含这些原始的设置，即使运行了Windows Server 2016（假设没有人更改策略设置）。

敏感的域控制器用户权限分配：

·   允许本地登录

o  此策略设置确定了哪些用户可以在计算机上启动交互式会话。用户必须具有通过在基于Windows的成员计算机或域控制器上运行的远程桌面服务或终端服务会话登录的权限。
注意：
没有此权限的用户仍然可以在计算机上启动远程交互式会话（如果启用了通过远程桌面服务登录的话）。

·  备份文件和目录

o  此用户权限确定了哪些用户可以绕过文件和目录，注册表和其他持久对象权限，来执行系统备份。该用户权限仅在应用程序通过NTBackup.EXE等备份工具尝试通过NTFS备份应用程序编程接口（API）进行访问时才有效。否则，适用于标准文件和目录权限。
此用户权限类似于向系统上所有文件和文件夹上选择的用户或组授予以下权限：

遍历文件夹/执行文件
 列表文件夹/读取数据
 读取属性
 读取扩展属性
 读取权限

工作站和服务器上的默认值：

管理员
备份操作员

域控制器上的默认值：

管理员
备份操作员
服务器操作员

·  允许计算机和用户帐户被委托进行授权

o   此策略设置确定了哪些用户可以在用户或计算机对象上设置受信任的委派设置。安全帐户委派提供连接到多个服务器的能力，每个服务器更改保留原始客户端的身份验证凭据。认证授权是客户端和服务器应用程序在多层次时使用的功能。它允许面向公众的服务使用客户端凭据来对应用程序或数据库服务进行身份验证。为了能够进行配置，客户端和服务器必须在可信任委托的帐户下运行。只有具有启用计算机和用户帐户才能被委托授权凭据的管理员才能设置委派。域管理员和企业管理员具有此凭证。允许用户信任授权的过程取决于域的功能级别。获得此权限的用户或计算机对象必须具有对帐户控制标志的写入权限。在委托信任的计算机（或用户上下文）下运行的服务器进程可以使用客户端的委派凭据访问另一台计算机上的资源。但是，客户端帐户必须具有对该对象上的帐户控制标志的写入权限。

·   从远程系统强制关机

o   该安全设置确定了哪些用户被允许从网络上的远程位置关闭计算机。这允许管理员组或特定用户的成员从远程位置管理计算机（用于重新启动的任务）。

·   作为批处理作业登录

o  此策略设置通过使用类似任务计划程序服务之类的批处理队列工具来确定哪些帐户可以登录。当管理员使用“添加计划任务向导”将任务计划为以特定用户名和密码运行时，该用户将被自动分配为作为批处理作业用户权限进行登录。当预定时间到达时，任务计划程序服务将以用户身份作为批处理作业而不是作为交互式用户登录，任务在用户的安全上下文中运行。

·   作为服务登录

o  此策略设置确定了哪些服务帐户可以将流程注册为服务。在服务帐户下运行流程可以避免人为干预的需要。

·  管理审计和安全日志

o   确定哪些用户可以为单个资源（如文件，Active Directory对象和注册表项）指定对象访问审计选项。
具有此权限的用户可以使用安全权限集编辑器的“属性”对话框中的安全选项卡来指定所选对象的审计选项。
此用户权限在默认域控制器组策略对象（GPO）和工作站和服务器的本地安全策略中定义。
默认情况下，只有管理员有权管理审计和安全日志。
 注意：
此策略通常不允许用户指定该文件和对象的访问审计。为了进行这种审计，必须配置审计策略下的审计对象访问设置。
已审计的事件将在事件查看器的安全日志中进行查看。具有此策略的用户还可以查看和清除安全日志。

·   恢复文件和目录

o   此安全性设置确定了哪些用户在恢复备份的文件和目录时可以绕过文件，目录，注册表和其他持久性对象权限，并确定了哪些用户可以将有效的安全主体设置为对象的所有者。
授予该用户对帐户的权限类似于授予该帐户对系统上所有文件和文件夹的以下权限：
遍历文件夹/执行文件
写入

·    同步目录服务数据

o   确保没有为“同步目录服务数据”用户权限分配任何帐户。只有域控制器才需要这个权限，它们本身就拥有这个权限。

o   此策略设置确定了哪些用户和组具有同步所有目录服务数据的权限，而不管对象和属性是否进行了保护。使用LDAP目录同步（dirsync）服务需要此权限。域控制器本身就具有此用户权限，因为同步过程是在域控制器上的系统帐户的上下文中运行。

o   该策略有效地授予了运行Mimikatz DCSync所需的权限类型，使攻击者能够为域中的所有用户请求密码散列。

注意：要特别注意一下提供通过远程终端服务登录到本地域控制器的能力，因为登录到域控制器的能力为AD管理员提供了几个潜在的特权升级路径。

默认的域控制器策略GPO（Windows Server 2012 R2）

关于如何通过修改GPO来提高域控制器安全性的具体建议可以在“提升Active Directory安全性之保护域控制器” 的博文中找到。

默认组和通过默认的域控制器策略提供的权限：

请注意，AD“内置（Built-In）”管理员组被授予了大部分权限。

服务器操作员通过此GPO提供了以下权限：

·  允许本地登录
·  备份文件和目录
·  从远程系统强制关机
·  恢复文件和目录
·  关闭系统

备份操作员通过此GPO提供了以下权限：

·  允许本地登录
·  备份文件和目录
·  作为批处理作业登录
·  管理审计和安全日志
·  恢复文件和目录
·  关闭系统

打印操作员通过此GPO提供了以下权限：

· 允许本地登录
· 加载和卸载设备驱动程序
· 关闭系统

我希望这篇文章可以帮助人们更好地了解域控制器上的内部AD组所具有的默认权限。