使用组策略删除本地管理员权限

在本指南中，我将向您展示如何使用组策略删除本地管理员权限。

我还将向您展示如何将用户或组添加到本地管理员组。

通过使用组策略，您可以获得对本地管理员权限的控制，并确保未经您的批准，不会将任何用户添加回本地管理员组。

本指南的主题：

• 创建具有本地管理员权限的用户报告
• 如何使用组策略删除本地管理员权限
• 创建新的 GPO
• 运行 gpupdate 或重新启动计算机
• 从 GPO 策略中排除计算机（允许某些用户保留管理员权限）

为什么本地管理员权限是一个巨大的安全风险

您不希望您的用户以管理员权限登录计算机并执行日常工作。利用管理员权限是攻击者在组织内部传播和控制系统的主要方法。

场景 1： 用户以管理员权限登录计算机，此人被欺骗打开包含恶意附件的电子邮件。该附件包含可执行代码并在计算机上执行。由于用户以管理员权限登录，因此该恶意代码拥有对计算机的完全权限，因此它可以安装键盘记录器、嗅探器、运行勒索软件并加密所有文件、安装远程控制软件等。不好。

场景 2：某人..也许是帮助台技术人员在多台计算机上使用相同的密码创建了本地用户并将其添加到本地管理员组中。如果攻击者破解了此密码，则攻击者将拥有创建此帐户的所有计算机的管理员访问权限。然后，攻击者可以从一个系统横向移动到另一个系统，投放恶意文件、窃取数据等。

通过控制本地管理员组可以缓解这两种情况。现在...让我们继续教程。

创建具有本地管理员权限的用户报告

首先在所有计算机上运行报告以查看谁拥有本地管理员权限非常重要。然后与工作人员一起查看此报告，讨论为什么这些用户或组在其计算机上拥有本地管理员权限。下一步是获得删除这些用户的批准。

我曾在大型组织中经历过这个过程，当您删除他们的管理权限时，人们会非常生气。另外，事情可能会破裂。我强烈建议您传达这些更改并获得适当的批准。

要获取报告，您可以使用 AD Pro Toolkit 中的本地管理员报告工具。

步骤如下：

1. 下载并安装工具包 - 您可以在此处下载免费试用版。
2。打开工具包 -> 本地管理报告
3。选择搜索选项（选择整个域或 OU/组）
4。单击运行

运行完成后，您可以对任何列进行排序和过滤。您可以将此报告导出为 CSV 以供记录。最好与员工分享此报告，以便他们了解谁拥有管理权限以及谁将被删除。

如何使用组策略删除本地管理员权限

提示：我建议您先在单台计算机或用户上测试这些更改，然后再在所有生产系统上实施这些更改。

首先，我们检查一台计算机，看看本地管理员组中有哪些帐户。这可以通过使用以下 PowerShell 命令轻松完成。

Get-LocalGroupMember administrators

您可以在屏幕截图中看到管理员组中有多个本地用户和域用户。

您还可以从 AD Pro Toolkit 获取此报告。

这不好。

您可以看到 PC1 有一个本地用户和两个属于本地管理员组成员的组。

使用组策略，我不仅可以删除这些帐户，还可以控制哪些用户帐户或组是该组的成员。如果有人尝试手动将用户添加到该组，组策略将覆盖它。

我喜欢将所有计算机放在一个组织单位中，这样可以轻松地将组策略应用于计算机帐户。

创建新的 GPO

第 1 步。右键点击您要应用 GPO 的组织部门，然后选择“在此域中创建 GPO，并将其链接到此处”

步骤 2. 为 GPO 命名并单击“确定”

现在您需要编辑 GPO。

步骤 3. 右键单击 GPO，然后单击“编辑”

第 4 步。浏览到以下 GPO 设置

计算机配置 -> 首选项 -> 控制面板设置 -> 本地用户和组

现在在右侧窗口中右键单击并选择“新建”->“本地组”

新的本地组属性

• 操作：更新
• 组名称：管理员（内置）
• 删除所有成员用户：这将从本地管理员组中删除所有用户。我要勾选这个框。
• 删除所有成员组：这将从本地管理员组中删除所有组。我要勾选这个框。

成员：

单击“添加”，选择需要添加到本地管理员组的成员。您可能希望将本地管理员帐户和域管理员组保留为本地管理员......但这完全取决于您。我还将添加一个包含帮助台工作人员的组，以便他们拥有计算机的本地管理权限。

我的设置截图

上述设置将从本地管理员组中删除所有用户和组，然后添加回成员框中指定的用户。这将清除所有不需要的帐户，并仅添加您通过 GPO 批准的帐户。

注意：具有管理员权限的用户仍然可以在本地修改组成员身份，但当 GPO 刷新时，它将恢复为 GPO 设置。

运行 gpupdate 或重新启动计算机

现在 GPO 已创建并链接到组织单位，让我们对其进行测试。

在 PC1 上，我将运行以下命令来强制更新组策略。

gpupdate /force

命令完成后，我将再次检查组成员身份。下面是之前和之后的屏幕截图。您可以看到 GPO 已删除本地管理员组的成员，并将成员配置为 GPO 设置。

很酷吧？

从截图中可以看到，不需要的帐户已从管理员组中删除。 GPO 删除了三个组和两个本地用户帐户。然后添加域管理员组、IT_Wrk_Admin 组和本地管理员帐户。

应用此策略的任何计算机都将获得这些确切的设置。如果您选择删除所有成员用户和组帐户，它确实会从本地管理员组中删除这些帐户。 我建议您在将其投入生产之前对其进行测试。

从 GPO 策略中排除计算机

如果您需要从该策略中排除某台计算机，请按照下列步骤操作：

提示：有许多编码不良的程序如果不授予用户管理员权限就无法运行。如果您可以避免这些程序，请这样做。可笑的是，仍然有公司销售无法以管理员权限运行的软件……再次尝试避免这些程序。如果您不能，请研究权限升级程序，例如 BeyondTrust 和 PolicyPak。这些程序允许您配置要运行的程序，而无需授予用户管理员权限。

步骤 1. 创建新的 Active Directory 组。随意命名。

步骤 2. 将要排除的计算机帐户添加到该组中。

步骤 3. 在组策略管理控制台中，选择您创建的 GPO，然后选择委派选项卡。

现在单击高级选项卡

单击添加并选择您刚刚创建的组。

现在确保该组仅具有以下权限：

读取：允许
应用组策略：拒绝

这将拒绝该组的任何成员应用 GPO。这是排除计算机应用此 GPO 的非常简单的方法。它还使管理变得容易，如果您想知道谁被排除在 GPO 之外，您只需检查 AD 组的成员即可。

现在，我将使用 gpresult 命令验证计算机是否已排除。

要查看应用于计算机和用户的所有 GPO，请键入此命令。

gpresult /r

您需要成为计算机的管理员才能获取计算机结果。

您可以看到 GPO“GPO 计算机 - 本地管理员组成员”已应用于此计算机。我将重新启动计算机并再次运行命令。重新启动后，我不应再看到该 GPO 被应用到这台计算机，因为它的应用被拒绝。

我将再次运行 gpresult /r

您可以看到 GPO 不再应用于此计算机。要了解有关过滤组策略的更多信息，请查看我的组策略管理指南。

提示：您应该首先对用户权限进行审核并了解他们为何拥有本地管理员权限。在没有首先测试并了解其影响的情况下，您不想在所有计算机上启用此策略。不幸的是，有些程序仍然需要提升权限，并且应用此策略可能会破坏并阻止程序运行。

您可以使用本地管理员报告工具轻松创建报告并将其导出为 CSV 文件。

如果您有任何疑问，请在下面的评论部分中发表。