如何在 Active Directory 中查找特权帐户

在本指南中，我将向您展示如何查找和识别 Active Directory 中的特权帐户。

目录：

• 什么是特权帐户
• 特权组和特权访问
• 如何在 Active Directory 中查找特权帐户
• Active Directory 中的内置特权帐户列表

什么是特权帐户？

特权帐户是对计算机系统、应用程序或基础设施设备具有提升的权利、特权和/或权限的帐户。大多数系统都包含一个内置的特权帐户，通常称为管理员或管理员。普通帐户可以被授予更高的权限，从而将其转变为特权帐户。

特权帐户通常用于执行管理任务，例如：

• 安装软件和驱动程序更新
• 管理 Active Directory（创建、删除和修改帐户）
• 管理 Office 365（创建、删除和修改帐户）
• 配置和更改系统设置
• 重新启动、关闭设备
• 更改基础设施设备的配置（路由器、交换机、DNS 等）
• 管理文件和文件夹权限

特权帐户与非特权帐户

系统管理员通常使用特权帐户来管理 IT 系统。非特权帐户通常称为常规用户帐户，是员工用来完成工作的帐户。

如果您可以登录并对服务器进行更改或将用户添加到 Active Directory 组，那么您正在使用特权帐户。

非特权帐户不应拥有对关键系统进行更改的权限。例如，来自财务部门的吉姆登录后对财务系统和数据的访问权限受到限制，但无法对任何关键设备进行更改。

特权帐户不必是系统的完整管理员。它只能被委派特定的权限，例如成为工作站的管理员，但不能委派服务器的管理员。或者有权管理 Active Directory 中的特定 OU，但无权管理其他 OU。系统管理员将特定权限委托给其他管理员是很常见的，但这些仍然是特权帐户。

下面是 Active Directory 的屏幕截图，显示了内置管理员帐户。此内置帐户具有对 Active Directory 和加入域的系统的完全权限。 这是一个非常强大的帐户。

特权帐户是如何创建的？

通常有两种方式：

1. 大多数系统默认包含一个特权帐户，通常称为管理员或管理员。
2. 现有帐户通过各种方法被授予更高的权限（稍后会详细介绍）。

特权组和特权访问

了解将常规用户帐户添加到群组可以赋予他们特权访问权限非常重要。 这是 Active Directory 安全性的关键组件，您需要了解每个组 将授予用户帐户哪些权限。

许多系统（例如 Active Directory）包含配置有提升权限的内置组。例如，Domain Admins 组预先配置了对 Active Directory 和加入域的所有系统的完全管理员权限。该组的任何成员都将拥有更高的权限，将其变成特权帐户。

让我来看一个例子：

我有一个普通用户帐户“Timothy Terrell”，没有提升的权限。此帐户无法对其计算机或任何其他系统进行系统更改。如果我将此帐户添加为域管理员组的成员，那么它将成为特权帐户，授予其进行系统更改的权限。

除了内置组之外，管理员通常还会创建自己的组，然后授予他们更高的权限。

如何在 Active Directory 中查找特权帐户

你无法确保你不知道的东西。

特权帐户可以存在于整个组织的多个位置和配置中。您需要扫描并清点以下内容：

• Active Directory 组成员身份
• 服务器和工作站上的本地组
• Active Directory (ACL) 的委派权限
• 组策略的委派权利
• 在组策略上配置的用户权限分配
• Office 365 角色
• 通过 Active Directory 应用于基础设施设备的权限

这不是一个小任务。其中一些可以通过脚本和工具来完成，但也需要一些手动工作。我将介绍一些示例。

1. 检查 Active Directory 组成员身份

您需要检查 Active Directory 中所有特权组的组成员身份。我将打开域管理员组并查看其成员。

在上面的屏幕截图中，您可以看到域管理员组有四名成员。该组的成员资格应受到限制，这意味着域用户和域来宾不应成为该组的成员。否则，这将为域中的每个用户提供完全域访问权限。

清点组的更快选项是使用 PowerShell 或 AD Pro Toolkit 中的组成员报告工具。使用此工具，您可以选择所有特权组并运行报告。

这是报告的输出。

在上面您可以看到我在架构管理员组和组策略创建者所有者组中有一些帐户。该报告可以导出为 CSV，以便您可以跟踪任何更改。由于这些用户帐户是该组的成员，因此它们现在是特权帐户。这些是来自其他部门的用户，不应属于这些组。这就是为什么扫描和清点 Active Directory 和 Office 365/Azure 中的所有特权组非常重要。

2. 检查服务器和工作站上的本地组

用户和 Active Directory 组通常添加到服务器和工作站上的本地组中。这可以授予特权访问权限，例如对这些系统的管理员权限。

要手动检查，请打开“计算机管理”，然后单击其中一个组。我会检查管理员组。

在上面您可以看到本地管理员组有四名成员。域用户是赋予域中每个用户对此服务器完全管理员权限的成员。这不好。

手动检查每个系统的组成员身份是不可能的，因此您可以再次使用 PowerShell 或 AD Pro Toolkit。该工具包有一个名为本地组管理的工具，它允许您获取远程计算机上的组成员身份。

在上面的屏幕截图中，我对域中的所有计算机进行了扫描，以便您可以轻松查看每个组的成员。从这里，您可以过滤结果并仅显示管理员组或任何其他特权组的成员。

3. Active Directory 的委派权限

就像文件和文件夹一样，Active Directory 对称为 ACL（访问控制列表）的对象设置了权限。管理员通常使用委派控制向导来授予用户或组对 Active Directory 的特定权限。例如，您可能授予帮助台员工创建和删除特定 OU 帐户或删除计算机帐户的权限。这两种情况的问题是没有简单的方法来检查整个域的 ACL 权限。

在上面的示例中，我手动检查了名为 ADPRO Groups 的单个 OU 的安全性。您可以看到有一个名为“Accounting_Folders”的组，它具有创建/删除用户对象的权限。这意味着该组的任何成员都可以在此 OU 中创建和删除用户帐户。这只是域中的一个 OU，因此您可以理解安全性如何容易因此失控。

您可以使用 ACL 扫描工具等工具来创建有关 AD 委派权限的报告。它不是最用户友好的工具，但它比手动检查 AD 中的每个对象要好。

4. 组策略的委派权利

可以将特殊权限委派给组策略对象。这可以赋予用户修改、创建和删除 GPO 的权限。如果攻击者获得了对已将权限委派给 GPO 的帐户的访问权限，他们就可以更改安全设置、安装病毒等。

要检查 GPO 委派权限，请打开组策略管理控制台，选择一个对象并单击委派。

5. 组策略中配置的用户权限分配

您检查过 GPO 上的用户权利分配吗？因为这些设置可以赋予用户更高的权限来执行某些任务。您应该清点所有 GPO 和用户权限分配。

这些设置位于计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配

6. 清点 Office 365/Azure 角色

就像 Active Directory 一样，Office 365 包含具有提升权限的默认组。 Office 365 将它们称为管理员角色而不是组。以下是在 Office 365 中分配角色的一些指南。

• 全局管理员的数量不要超过 4 个 - 全局管理员拥有无限的权力，因此要限制他们的使用。
• 使用最少许可的角色 - 这意味着仅向管理员提供他们需要的访问权限。如果帮助台想要重置 MFA 或用户密码，请不要让他们成为全局管理员。相反，给他们一个仅授予重置密码访问权限的角色。
• 对所有管理员使用多重身份验证 - 我建议为所有用户启用 MFA。

您可以通过转到 Azure Active Directory，然后转到“角色和管理员”来查看所有组。这是全局管理员角色的屏幕截图。

7. 自定义 AD 组委派权限

Active Directory 通常用作其他系统的集中身份验证和授权。这里有些例子：

• 访问VMware
• 路由器和交换机
• 访问无线网络
• SQL服务器
• 共享点
• 会计系统

无论您使用什么系统，它很可能使用 Active Directory 来验证用户访问。当我在大型组织工作时，我们会创建 Active Directory 组来授予对 Windows 服务器、SQL 服务器、路由器、交换机等的管理员访问权限。

例如，我们创建了一个名为 VMWare-Admins 的组。在VMWare控制台内，我们会将此AD组分配为VMware的管理员。添加到该组的任何用户都将成为特权帐户，并对所有 VMware 服务器具有管理员访问权限。

对路由器和交换机的访问也是通过 Active Directory 组完成的。名为 switch-admins 的组的成员可以使用其 AD 凭据登录交换机并对网络进行更改。

我建议您检查您的系统，看看是否使用 AD 组来提供对它们的更高访问权限。在大型网络中，如果您的管理员没有使用易于遵循的帐户命名约定，那么管理起来可能会是一场噩梦。我总是建议为您的组创建非常具有描述性的名称并添加描述。这将使识别组及其用途变得更容易。

Active Directory 中的内置特权帐户列表

下图显示了 Active Directory 中提供提升权限的内置帐户和组的列表。添加到这些组的任何用户帐户都会成为特权帐户，因此您应该定期清点并监视对这些组的更改。这些组和帐户列在内置和用户容器中。

我在顶部列出了最重要的内容。

企业管理员

Enterprise Admins 组仅存在于 Active Directory 域林的根域中。如果域处于本机模式，则它是一个通用组；如果域处于混合模式，则它是一个全局组。该组的成员有权在 Active Directory 中进行林范围的更改，例如添加子域。该组中的成员可以修改所有管理组的成员身份。成员资格只能由根域中的默认服务管理员组修改。这被视为服务管理员帐户。

域管理员

Domain Admins 安全组的成员有权管理该域。默认情况下，Domain Admins 组是已加入域的所有计算机（包括域控制器）上 Administrators 组的成员。 Domain Admins 组是该组的任何成员在 Active Directory 中为域创建的任何对象的默认所有者。如果该组的成员创建其他对象（例如文件），则默认所有者是管理员组。

Domain Admins 组控制对域中所有域控制器的访问，并且可以修改域中所有管理帐户的成员身份。

管理员

管理员组的成员对计算机具有完全且不受限制的访问权限，或者如果计算机被提升为域控制器，则成员对域具有不受限制的访问权限。

架构管理员

架构管理员组的成员可以修改 Active Directory 架构。该组仅存在于 Active Directory 域林的根域中。如果域处于本机模式，则它是一个通用组；如果域处于混合模式，则它是一个全局组。

该组有权在 Active Directory 中进行架构更改。默认情况下，该组的唯一成员是林根域的管理员帐户。该组对架构具有完全的管理访问权限。

账户运营商

帐户操作员组向用户授予有限的帐户创建权限。该组的成员可以创建和修改大多数类型的帐户，包括用户、本地组和全局组的帐户，并且成员可以本地登录到域控制器。

其他团体：

• 允许的 RODC 密码复制组
• 备份操作员
• 证书服务 DCOM 访问
• 证书发布者
• 分布式COM用户
• DNS管理员
• 事件日志读取器
• 组策略创建者所有者
• 打印机操作员
• 受保护的用户
• 远程桌面用户
• 服务器运营商

除了内置帐户之外，管理员通常还会创建自己的安全组和帐户，并授予它们更高的访问权限。

例如，在我的网络中，我创建了一个名为 VMware-admins 的安全组。该组的用户拥有 VMware ESXi 服务器的管理员访问权限。我还有一个名为 SQL-admins 的组，用于授予 SQL 服务器管理员权限。