增强ADManager Plus安装保护指南

本文档提供了针对以下特定场景提升 ADManager Plus 实例安全性的操作步骤。

• 防止"已验证用户"组成员篡改ADManager Plus的bin文件夹。
• 禁用或限制登录页面上的员工搜索功能。
• 修改ADManager Plus默认管理员密码。
• 增强ADManager Plus登录安全性。
• 实施安全强化措施。

防止"已验证用户"组成员篡改ADManager Plus二进制文件夹

默认情况下，ADManager Plus将安装于C:\ProgramFiles\ManageEngine文件夹。自7210版本起，"Authenticated Users"组将失去对安装目录的访问权限，仅SYSTEM组、Administrators组、Domain Admins组成员及安装过程中关联的用户账户保留默认访问权限。

在早期版本中，某些情况下即使不具备管理权限的"Authenticated Users"组成员也会获得安装目录文件的完全控制权限。若需从ADManager Plus访问控制列表(ACL)中移除"Authenticated Users"组，请遵循以下步骤：

解决方案

可通过两种方式解决此问题：手动修改权限设置，或使用SecureDeployment.exe文件自动修改设置。

1. 使用SecureDeployment.exe
2. 手动修改权限
   • 当ADManager Plus安装在Program Files文件夹之外的其他位置时
   • 当ADManager Plus安装在C:\Program Files文件夹时

1. 使用SecureDeployment.exe

bin目录中的SecureDeployment.exe文件将自动执行以下操作：

• 阻止“经过身份验证的用户”组中的用户访问 ADManager Plus 安装文件夹。
• 为指定账户分配完全权限。
• 若以服务形式访问ADManager Plus，请配置使用账户凭据登录。

该程序将确保部署环境的安全性。

2. 手动修改权限

a. 若ADManager Plus安装在Program Files以外的文件夹：

i. 若ADManager Plus安装于客户端操作系统

ii. 若 ADManager Plus 安装在服务器操作系统中

默认情况下，客户端操作系统 C: 目录的"已验证用户"具有子文件夹的修改权限。但服务器操作系统中的 C: 目录访问控制列表 (ACL) 中不包含"已验证用户"。

i) 若ADManager Plus安装在客户端操作系统

为允许权限较低的用户在客户端操作系统上启动或停止ADManager Plus，请执行以下步骤：

1. 禁用ADManager Plus安装文件夹的继承权限。
2. 从访问控制列表中移除“Authenticated Users”。
3. 从产品安装目录中移除"已验证用户"对以下文件夹的权限：bin\licenses、lib\licenses、temp、webapps\adsm\temp
4. 为负责启动产品的用户授予ADManager Plus安装目录的修改权限。若产品以服务形式安装且使用账户登录，请确保该账户具备修改权限。

ii) 若 ADManager Plus 安装在服务器操作系统中

1. 从产品安装目录中移除以下文件夹的"已验证用户"权限：bin\licenses、lib\licenses、temp、webapps\adsm\temp
2. 为负责启动产品的用户授予ADManager Plus安装目录的修改权限。若产品以服务形式安装并使用登录账户运行，请确保该账户具备修改权限。

b. 若ADManager Plus安装于C:\Program Files文件夹时需执行步骤

1. 从产品安装目录中移除以下文件夹的"已验证用户"权限：bin\licenses、lib\licenses、temp、webapps\adsm\temp
2. 为负责启动产品的用户授予ADManager Plus安装目录的修改权限。若产品以服务形式安装并使用登录账户运行，请确保该账户具备修改权限。

禁用或限制员工搜索功能

ADManager Plus的员工搜索功能允许用户或员工查询组织内同事及联系人的详细信息。

说明：员工搜索是ADManager Plus的热门功能之一，作为企业目录搜索使用，默认处于启用状态。但为满足组织特定需求或出于安全考虑，您可能希望仅在搜索结果中显示用户和联系人的特定信息，甚至完全禁用此功能。

解决方案

根据需求，您可轻松实现：

1. 将员工搜索范围限制为特定域或组织单位。
2. 指定可在搜索结果中显示的用户或联系人的详细信息。
3. 根据可用于定位用户或联系人的属性或详细信息进行设置。
4. 禁用员工搜索功能。

具体操作步骤如下：

1. 登录ADManager Plus。
2. 点击管理选项卡。
3. 从左侧选项中点击"员工偏好设置"，选择"配置AD搜索"。
   • 禁用员工搜索：取消勾选“在登录页面显示员工搜索”选项，即可完全禁用该搜索功能，同时该选项也不会显示在登录页面上。
   • 限制员工搜索范围：从"已选域"字段中选择特定域及其对应的组织单位（OU），将搜索范围限定于该域及其所属OU。
   • 仅限用户和/或联系人对象搜索：点击"用户"和"联系人"选项卡，取消勾选不希望通过此选项搜索的对象类型。同时在"用户"和"联系人"选项卡的"可用列"下，取消勾选"显示列"中不希望在搜索结果中显示的属性或详细信息。
   • 指定可用于搜索用户或联系人的属性：在“用户和联系人”选项卡下的“搜索条件”区域，仅在“可用列”中选择所需属性。
4. 点击“保存设置”以存储员工搜索的首选配置。

修改ADManager Plus默认管理员密码

为何需要此操作？

若未更改ADManager Plus的默认管理员密码，任何知晓该密码的人员均可能利用其登录产品，对您的Active Directory（AD）实施恶意修改或查看AD对象信息。

如何解决此问题？

出于安全考虑，我们建议您至少在从评估阶段过渡到部署阶段前修改默认管理员密码。您可在产品网页控制台右上角的"我的账户"区域修改默认密码。

点击此处查看修改默认管理员密码的步骤。

ADManger Plus登录的额外安全措施

ADManager Plus支持智能卡、双因素认证(TFA)、验证码等功能，并允许在密码错误时锁定用户账户，从而强化用户登录流程的安全性，防止未经授权的用户登录。点击下方链接查看配置各项安全选项的步骤，为用户登录流程提供保障。

• 启用验证码
• 配置智能卡认证
• 强制实施双因素认证（TFA）
• 启用单点登录（SSO）
• 配置用户封禁设置

安全强化

ADManager Plus提供一系列安全与数据隐私选项，可优化管理及报表体验、保障产品访问安全、实现安全数据销毁等。了解如何配置ADManager Plus的安全与隐私设置，请点击此处。