如何检测谁将用户添加到 Active Directory（AD）中的 Domain Admins 组

Active Directory （AD） 中的 Domain Admins 组用于将管理角色分配给域中的用户。默认情况下，它是 Administrators 组的成员，因此具有一组与之关联的权限。

Domain Admins 组的成员可以不受限制地访问共享资源和 AD 对象，由于它所拥有的特权，必须对 Domain Admins 组的成员身份和成员身份更改进行广泛审核。本页详细介绍了审核此组活动的步骤。

Windows 本机

使用组策略管理控制台 （GPMC） 启用审核的步骤：

在域控制器 （DC） 上执行以下操作：

• 按“开始”，然后搜索并打开组策略管理控制台，或运行命令 gpmc.msc。
• 右键单击要审核的域或组织单位 （OU），然后单击“在此域中创建 GPO，并在此处链接...

• 命名 GPO。
• 右键单击 GPO，然后选择“编辑”。

• 在组策略管理编辑器的左窗格中，导航到“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”。

• 在右窗格中，你将在“审核策略”下看到策略列表。双击“审核帐户管理”，然后选中“定义这些策略设置”、“成功”和“失败”旁边的框。

• 单击“应用”，然后单击“确定”。
• 返回到组策略管理控制台，在左窗格中，右键单击链接了 GPO 的所需 OU，然后单击“组策略更新”。此步骤可确保立即应用新的组策略设置，而不是等待下一次计划刷新。

启用此策略后，每当将用户添加到启用安全性的组时，都会在 DC 的安全日志类别下记录相应的事件。

使用事件查看器查看这些事件的步骤

完成上述步骤后，事件将存储在事件日志中。可以按照以下步骤在事件查看器中查看：

• 按“开始”，搜索“事件查看器”，然后单击将其打开。
• 在“事件查看器”窗口的左窗格中，导航到“Windows 日志→安全性”。
• 在这里，您将找到系统中记录的所有安全事件的列表。

• 在右窗格中的“安全性”下，单击“筛选当前日志”。

• 在弹出窗口中，在标有<所有事件 ID>的字段中输入 4728。
• 单击“确定”。这将提供事件 ID 4728 的发生列表，当将新用户添加到安全组时，将记录该事件。
• 双击事件 ID 以查看其属性（说明）。在描述中的“组名称”下查找“域管理员”。

标记为“主题”的部分显示谁添加了新用户。

标记为“成员”的部分显示已添加到组的新用户的名称和 SID。

使用ADAudit Plus检测谁将用户添加到Domain Admins组

ADAudit Plus是一种简化的AD审核工具，使管理员能够毫不费力地审核安全组成员身份更改和其他组管理信息。

1. 下载并安装ADAudit Plus。
2. 在域控制器上配置审核。
3. 打开控制台，以管理员身份登录。
4. 导航到“Active Directory →组管理→报告”→“最近添加到安全组的成员”。
5. 单击搜索图标。
6. 在 GROUP NAME 下的字段中输入 Domain Admins，然后按 Enter。

与本机审计相比，使用ADAudit Plus的优势：

• 审核对 AD（本地和 Azure）对象所做的所有更改，并实时监控成员服务器和工作站之间的用户活动。
• 跟踪用户登录活动，并使用帐户锁定分析器更快地解决帐户锁定问题。
• 使用用户行为分析（UBA）驱动的 AD 审计方法准确检测内部威胁，并在发现可疑活动时通过短信或电子邮件接收警报通知。

为什么需要组策略？

当 Active Directory （AD） 用户超越其边界并对其进行未经授权的更改时，网络安全会受到威胁计算机。借助组策略，您可以使用其功能的大量设置来规范用户的工作环境。例如，IT 管理员可以限制用户访问 Windows 控制面板小程序、删除浏览器历史记录，通过从集中位置配置相应的设置。这样，组策略将提供粒度控制用户可以在您的网络上执行（和不能）执行的操作。

组策略管理的做法

• 构建用于 GPO 链接的 OU
• 不要修改默认策略
• 不要将 GPO 链接到域
• 利用 GPO 继承
• 遵循明确的命名约定
• 禁用未使用的用户和计算机配置
• 不要禁用链接到多个 OU 的 GPO
• 避免 GPO 筛选
• 避免填充 GPO
• 监视 GPO 更改

构建用于 GPO 链接的 OU

组织单位 （OU） 结构确定如何在目录中应用组策略对象 （GPO）。将用户和计算机隔离到单独的 OU 中，以简化用户和计算机策略的应用。创建新 OU 时，请始终牢记 GPO 链接和故障排除。

不要修改默认策略

在默认域策略中配置的任何设置都将应用于整个域。因此，在此 GPO 中仅配置域范围的策略，例如密码策略、帐户锁定策略、Kerberos 策略和帐户设置。同样，使用默认域控制器策略为域控制器分配用户权限和配置审核策略。对于所有其他策略和设置，请根据需要创建单独的 GPO。

不要将 GPO 链接到域

在域级别设置的新创建的 GPO 会影响域中的所有用户和计算机。这可能会导致针对一组特定用户的设置不加区别地应用于所有用户。因此，在 OU 级别应用所有 GPO（默认域策略除外），以实现更精细的控制。

利用 GPO 继承

将 GPO 链接到 OU 时，请确保在根级别应用它们以触发 GPO 继承。这样就无需将相同的设置应用于后续子 OU。还可以通过将用户和计算机添加到单独的 OU 并阻止继承来隔离用户和计算机，使其免于继承策略。

遵循明确的命名约定

GPO 名称应描述其用途及其适用对象。使用命名约定来区分应用于用户和计算机的 GPO。例如，在用户策略的开头添加“U”，在计算机策略的开头添加“C”，可以避免在对相应的 GPO 进行更改时产生混淆。

禁用未使用的用户和计算机配置

在单独的 GPO 中配置用户策略和计算机策略时，禁用未使用的配置有助于提高桌面性能。例如，如果 GPO 仅配置了计算机设置，则可以禁用用户配置以在登录期间加速 GPO 处理。

不要禁用链接到多个 OU 的 GPO

当 GPO 链接到多个 OU 时，在一个 OU 中禁用它也会在其他 OU 中禁用其应用程序。相反，通过删除相关 OU 中的链接来删除其链接，并阻止应用这些设置。

避免 GPO 筛选

将 AD 层次结构中较高位置的 GPO 链接起来，并使用安全或 WMI 筛选器来定位这些 GPO 可能会减慢处理时间。因此，仅在必要时使用 GPO 筛选，并将 GPO 链接尽可能接近预期目标以降低复杂性。

避免填充 GPO

尽管包含许多已配置设置的大型 GPO 在登录期间的处理速度更快，但它们使故障排除变得极其困难。因此，在创建过程中，不要将太多设置塞入 GPO。相反，应取得适当的平衡，并在大量 GPO 之间划分设置，以简化其部署和管理。

监视 GPO 更改

随着时间的推移，当多个管理员开始修改 GPO 时，组策略管理可能会失控。因此，请跟踪所有 GPO 更改，以确保用户所做的任何更改都符合组织的安全性和合规性义务。