没有合适的资源?快使用搜索试试~ 我知道了~
首页Active Directory委派管理控制
Active Directory委派管理控制
需积分: 37 8 下载量 130 浏览量
更新于2023-07-11
收藏 490KB PDF 举报
Active Directory 目录服务使管理员可以严格控制他人对 Active Directory 的访问。管理员通过对目录对象和属性的权限管理,可以精确地指定哪些帐户可以访问 ActiveDirectory,以及这些可访问帐户的访问级别。这一功能使得管理员可以把Active Directory的部分权限委派给用户组,同时保证未经授权的用户不能访问Active Directory,它减轻了集中式管理的负担。
资源详情
资源推荐
第4章 委派管理控制
Active Directory 目录服务使管理员可以严格控制他人对 Active Directory 的访问。管
理员通过对目录对象和属性的权限管理,可以精确地指定哪些帐户可以访问 Active
Directory,以及这些可访问帐户的访问级别。这一功能使得管理员可以把Active Directory
的部分权限委派给用户组,同时保证未经授权的用户不能访问 Active Directory,它 减 轻 了
集中式管理的负担。
对 Active Directory 对象来说,控制访问和委派管理权限非常重要,尤其在建立分散
式管理模型时更是如此。另外,在委派的过程中,高级别的管理员可以把职责委派给某一
用户,而该用户也可以将职责再委派给其他的用户。
学习完本章后,您将能够:
z 描述委派管理控制的关键性概念
z 控制对 Active Directory 对象的访问
z 委派对 Active Directory 对象的管理控制
z 管理计算机帐户
z 创建和部署自定义控制台
z 使用和配置任务板
4.1 委派管理控制简介
委派管理控制是指把管理对象的任务分配给若干个人,从而实现分散管理。管理员可
以把某些权限分配给用户或用户组,使他们可以进行某些管理控制。
因为在组织单位层次上管理权限比跟踪单个对象的权限要容易得多,所以管理控制的
委派往往是在组织单位层次上进行的。例如,可以分配给某个部门管理员组“完全控制”
某个组织单位的权限,从而实现管理控制的委派。
通过把组织单位的控制委派给部门管理员组,可以分散管理操作。另外,把管理控制
向底层分散可以减少管理的时间和费用。
分配权限时可采用以下策略:
z 分配某个组织单位的所有权限,其中包括在该组织单位中创建或修改对象的权限。
例如,可以通过委派管理控制来创建用户帐户和计算机帐户,或者修改用户帐户
的属性和计算机帐户的属性
第 4 章 委派管理控制
57
z 分配修改某个对象某些特殊属性的权限或者分配执行某些特殊任务的权限,例如,
分配重置用户帐户密码的权限
技巧 要详细记录管理权限的分配情况,以便日后的疑难解答。
4.2 控制对 Active Directory 对象的访问权
为了控制用户对 Active Directory 对象的访问,首先需要决定哪些权限是必需的,还
有这些权限将被用于哪些对象,以及哪些用户和用户组需要这些权限。
4.2.1 Active Directory 权限
权限是由所有者授予的一种权力,它允许用户对某一个对象(比如一个用户帐户)进行
操作。拥有对象的用户可以分派权限给某个安全组,让它来执行该用户授权的部分或全部操
作。
每个对象的权限都保存在一张自由访问控制列表 (DACL) 中,DACL 内有多个访问
控制项 (ACE),每 个 ACE 都对应一个权限。用户可以在“访问控制设置”对话框中的“权
限项”下查看 ACE。
(1) 允许权限和拒绝权限
权限可以被允许或者被拒绝。并且,对某一用户组的拒绝权限高于任何对此用户组的
允许权限。例如,一个用户组被拒绝访问某个对象,即使该组中的某些用户隶属于另一个
有权限访问该对象的用户组,这几个用户仍然没有对该对象的访问权。所以,只有当要取
消用户通过另一个用户组的成员身份获得的某个权限时,才使用拒绝权限。
要点 “拒绝权限优先于允许权限”这条规则有一个例外:对某对象的显式允许权限优先
于该对象的继承拒绝权限。可以通过 ACE 项名左边的钥匙图标的颜色来区分显式
ACE 和继承 ACE:显式 ACE 的图标是黄色的;继承 ACE 的图标是灰色的。
(2) 显式权限和隐式权限
权限可以被显式地或隐式地拒绝,如下所示:
z 如果执行某个操作的权限没有被显式分配,那么它就被隐式拒绝
例如,“市场部”(Marketing) 用户组拥有对一个用户对象的“读取”权限,并且在这个
对象的 DACL中没有其他的安全项,那么不属于“市场部”用户组的其他用户都被隐式地拒
绝访问。操作系统不会允许“市场部”用户组成员以外的用户读取该用户对象的属性。
z 权限也可以被显式拒绝
例如,“会计部”(Accountants) 用户组的成员同时也都是“市场部”用户组的成员,
而“市场部”用户组拥有查看某用户对象属性的权限,但需要禁止“会计部”用户组的成
员查看该用户对象的属性。这时可以显式拒绝“会计部”用户组的“读取”权限。这个例
Windows 2000 网络环境管理
58
子说明了显式拒绝的用法,它可用来从一个较大的组(如“市场部”用户组)中排除一个
子集(如“会计部”用户组),以防止该子集获得较大的组所具有的某种操作权限。
(3) 标准权限和特殊权限
可以为对象设置标准权限和特殊权限。标准权限是经常被分配的权限。特殊权限则是
用来对对象的访问权进行更精细的控制。
表 4-1 列出了适用于大部分对象的标准权限以及每种权限所允许的用户访问类型。
表 4-1
对 象 权 限
允许用户进行的操作
完全控制 改变权限,获取所有权,执行其他标准权限所允许的任务
读取 查看对象、对象属性、对象所有者,以及 Active Directory 权限
写入 改变对象属性
创建所有子对象 在 Active Directory 中添加任何类型的子对象
删除所有子对象 在 Active Directory 中删除任何类型的子对象
注意 虽然权限可以直接分配给用户,但最好还是只分配给用户组。
4.2.2 控制权限的继承
Active Directory 的权限继承功能允许容器内的对象自动继承该容器的权限。例如,文
件夹内的文件在创建时就继承了该文件夹的权限。这种继承最大限度地减少了为对象分配
权限的次数。当创建一个对象时,Active Directory 就会为该对象设置一个默认权限集。
(1) 将权限应用于子对象
在分配给某个用户对象一定的权限后,该权限也适用于该对象的子对象。例如,如果
希望某个用户可以管理一个组织单位内的所有对象,那么可以分配给该用户“完全控制”
的权限,这样所有子对象都会继承该权限。为了表明权限已经被继承,子对象“权限”对
话框内的复选框都将显示为灰色。
(2) 阻止子对象继承权限
阻止继承就是阻止子对象从它的父对象上继承权限。如果想为子对象设置比它的父对
象更具限制性的权限,就需要阻止它继承父对象的权限。
只能阻止继承那些显式分配给对象的权限。在阻止了权限继承后,可以使用 Microsoft
Windows
2000 执行以下的操作:
z 把以前继承的权限复制给对象,然后再根据需要对权限做必要的修改
z 删除对象以前继承的权限,然后再根据需要为对象重新分配权限
第 4 章 委派管理控制
59
4.2.3 设置 Active Directory 权限
Windows 2000 通过检查用户对某个对象的权限来决定用户使用该对象的权限。通过
Active Directory 中对象的“属性”对话框可以查看到这些权限。
(1) 标准权限
要分配对象的标准权限,可以执行以下步骤:
1) 单击“开始”﹑“程序”,从“管理工具”中打开“Active Directory 用户和计算机”
控制台。
2) 在“查看”菜单中选择“高级功能”。
3) 右击目录树中的一个对象,并从弹出菜单中选择“属性”,出现“属性”对话框。
4) 单击“安全”选项卡。
5) 如果要在名称栏里添加一个新用户或组,可以单击“添加”,出现“选择用户、计算
机或组”对话框,如图 4-1 所示。
图 4-1 “选择用户、计算机或组”对话框
6) 选择要分配权限的用户或组对象,然后单击“添加”。可以重复该过程来选择其他的
用户或组。
7) 单击“确定”关闭“选择用户、计算机或组”对话框,所选用户被添加到“安全”选
项卡的“名称”栏内。
8) 选择“名称”栏内的一个用户或组,然后在“权限”栏内选择“允许”或“拒绝”复
选框来设置所需权限。
Windows 2000 网络环境管理
60
9) 单击“确定”关闭“属性”对话框。
(2) 特殊权限
对于大多数管理任务来说,标准权限已经够用了。但是,有时还需要通过查看标准权
限附带的特殊权限来进一步细化权限。例如,组织单位有一个称为“创建用户对象”的特
殊权限,如果觉得标准权限“创建所有子对象”给予的权限过大时,那么可以选用“创建
用户对象”这个特殊权限。
可以通过以下步骤来查看特殊权限:
1) 打开 Active Directory 树中某个对象的“属性”对话框,然后单击“安全”选项卡。
2) 单击“高级”,出现“访问控制设置”对话框。
3) 在“权限”选项卡的“权限项目”栏内选择想要查看的项目,然后单击“查看/编辑”,
出现“Users 的权限项目”对话框,如图 4-2 所示。
图 4-2 “Users 的权限项目”对话框
4) 单击“对象”选项卡,查看对该对象的特殊权限;或者单击“属性”选项卡,查看对
该对象属性的特殊权限。
注意 应该避免为对象的特殊属性分配权限。诸如“Active Directory 对象”不可见这样的
错误会导致用户无法完成任务。
4.3 委派 Active Directory 对象的管理控制
委派是指把对 Active Directory 对象的管理责任分配给其他用户、组或组织。可以通
过委派控制向导来设置对 Active Directory 对象的权限。可以用委派控制向导来选择所要
剩余25页未读,继续阅读
hstjl
- 粉丝: 1
- 资源: 2
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- zigbee-cluster-library-specification
- JSBSim Reference Manual
- c++校园超市商品信息管理系统课程设计说明书(含源代码) (2).pdf
- 建筑供配电系统相关课件.pptx
- 企业管理规章制度及管理模式.doc
- vb打开摄像头.doc
- 云计算-可信计算中认证协议改进方案.pdf
- [详细完整版]单片机编程4.ppt
- c语言常用算法.pdf
- c++经典程序代码大全.pdf
- 单片机数字时钟资料.doc
- 11项目管理前沿1.0.pptx
- 基于ssm的“魅力”繁峙宣传网站的设计与实现论文.doc
- 智慧交通综合解决方案.pptx
- 建筑防潮设计-PowerPointPresentati.pptx
- SPC统计过程控制程序.pptx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功