Windows網(wǎng)絡(luò)服務(wù)器配置與管理-提高篇委托管理_第1頁
Windows網(wǎng)絡(luò)服務(wù)器配置與管理-提高篇委托管理_第2頁
Windows網(wǎng)絡(luò)服務(wù)器配置與管理-提高篇委托管理_第3頁
Windows網(wǎng)絡(luò)服務(wù)器配置與管理-提高篇委托管理_第4頁
Windows網(wǎng)絡(luò)服務(wù)器配置與管理-提高篇委托管理_第5頁
已閱讀5頁,還剩26頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、第4章 委托管理Active Directory 對象的平安控制對 Active Directory 對象的訪問Active Directory 對象的委托管理定制 MMC 控制臺設(shè)置任務(wù)板最正確實踐 Active Directory 對象的平安Active Directory 平安組件任意訪問控制列表和系統(tǒng)訪問控制列表訪問控制項繼承登錄過程訪問令牌在 Windows 2003 網(wǎng)絡(luò)中授權(quán)訪問資源 4.1.1 Active Directory 平安組件平安主體SECURITY PRINCIPAL 指授予權(quán)限的賬戶對象,如用戶對象、平安組對 象、效勞等 平安標識符SID 用來惟一標注每一個平安主

2、體,SID 永遠不會重復(fù) 平安描述符SECURITY DESCRIPTORS 用于描述一個對象的平安信息 包含:任意訪問控制列表DACL)和系統(tǒng) 訪問控制列表 SACL4.1.2 任意訪問控制列表和系統(tǒng)訪問控制列表任意訪問控制列表 規(guī)定哪些平安主體可以訪問、訪問的權(quán)限如何系統(tǒng)訪問控制列表 規(guī)定哪些對象的訪問要被 審計安全描述符頭部信息對象所有者SID所有者主要組的SID任意訪問控制列表系統(tǒng)訪問控制列表訪問控制項訪問控制項4.1.3 訪問控制項用在 DACL 中以拒絕訪問用在 DACL 中以允許訪問關(guān)于對象權(quán)限集成的一組標記 DACL 數(shù)據(jù)結(jié)構(gòu)頭部Access MaskSID UserSID G

3、roupACE Access DeniedACE Access AllowedACE Access Denied by ObjectACE Access Allowed by Object控制標志訪問控制項續(xù)4.1.4 繼承繼承是 ACE 從父對象平安描述符傳遞到子對象平安描述符的過程用戶在父對象上被賦予權(quán)限父對象子對象DACLUser 1讀取Group 1完全控制DACLUser 1讀取Group 1完全控制DACL 被繼承到子對象上繼承續(xù)繼承權(quán)限的特點減少了在子對象上賦予權(quán)限的操作強制將父對象上的權(quán)限賦予到子對象上只要修改父對象上的權(quán)限,那么子對象上的權(quán)限也將隨之做出修改當(dāng)在子對象上直接賦

4、予了權(quán)限,那么將覆蓋從父對象上繼承的權(quán)限登錄過程本地平安子系統(tǒng)域控制器全局編錄效勞器用戶登錄11本地安全子系統(tǒng)為用戶獲得一個票證2票證2本地安全子系統(tǒng)請求一個工作站票證3票證3Kerberos 服務(wù)發(fā)送一個工作站票證4票證4訪問令牌被捆綁在用戶進程上6訪問令牌6本地安全子系統(tǒng)生成訪問令牌5生成訪問令牌5Kerberos 效勞4.1.5 訪問令牌用戶要訪問資源必須擁有訪問令牌 令牌在用戶的登錄過程中產(chǎn)生 包括用戶在本機上的一系列的平安簽證的信息訪問令牌平安標示符: S-1-5-21-146.組標識符:EmployeesEVERYONELOCAL用戶權(quán)限 :SeChangeNotifyPrivil

5、ege - (attributes) 3SeSecurityPrivilege - (attributes) 04.2 在 Windows 2003 網(wǎng)絡(luò)中授權(quán)訪問資源 用戶DACL平安子系統(tǒng)域OU1OU2應(yīng)用程序發(fā)送訪問(讀?。┱埱笤L問文件允許訪問安全子系統(tǒng)為該文件在 DACL 中查找合適的 ACE找到對應(yīng)的 ACE SID UserSID GroupACE Access Allowed用戶 1Read控制對 Active Directory 對象的訪問Active Directory 的權(quán)限控制權(quán)限的繼承 設(shè)置 Active Directory 的權(quán)限對象所有者改變對象所有者4.2.1 A

6、ctive Directory 的權(quán)限權(quán)限允許和拒絕的權(quán)限隱式和顯式授權(quán) 標準和特殊的權(quán)限 4.2.2 控制權(quán)限的繼承 對象創(chuàng)立的時候 從父對象上繼承 權(quán)限 繼承的權(quán)限可以被阻塞 復(fù)制先前繼承的權(quán)限到該對象上 從該對象上移除先前繼承的權(quán)限完全控制組織單位組織單位組織單位完全控制完全控制完全控制組織單位組織單位組織單位讀取讀取4.2.3 設(shè)置 Active Directory 的權(quán)限特殊權(quán)限標準權(quán)限對象所有者任何一個對象都有一個所有者所有者擁有對該對象控制的全權(quán)所有權(quán)是可以改變的,如果管理員組的成員搶奪了所有權(quán),那么該組成為該對象的所有者而不是單個的用戶高級(V)允許將來自父系的可繼承權(quán)限傳播確

7、定CancelApplySystem1 的訪問控制設(shè)置權(quán)限審核所有者這個對象的所有者Domain Admins (CONTOSODomainAdmins)改變所有者:Administrator (CONTOSOAdministrator)Administrators (CONTOSOAdministrators)用戶名所有者在以下情況下可以改變對象的所有者當(dāng)前對象的所有者授予某個用戶可以改變該對象的所有權(quán)的權(quán)限D(zhuǎn)omain Admins 組的成員可以搶奪域內(nèi)任何對象的所有權(quán)改變對象所有者Syssem2 的訪問控制權(quán)限權(quán)限審核所有者但前對象的所有者:Domain Admins (ASIA1Dom

8、ainAdmins)改變所有者:Administrator (ASIA1Administrator)Administrators (ASIA1Administrators)4.3 Active Directory 對象的委托管理委托授權(quán)概覽使用委托授權(quán)向?qū)惺跈?quán)操作建議6.3 Active Directory 對象的委托管理4.3.1 委托授權(quán)概覽委托管理意味著在特定的容器上改變屬性值在一個 OU 下創(chuàng)立和刪除一個特定類型的對象在一個 OU 下修改特定對象的特定的屬性值域OU1OU2OU3Admin1Admin2Admin34.3.2 使用委托授權(quán)向?qū)褂梦泄芾硐驅(qū)Р僮鲉⒂梦泄芾硐驅(qū)暨x

9、委托的用戶和組選擇委托的任務(wù)選擇 Active Directory 的對象賦予用戶或組權(quán)限委托授權(quán)操作建議詳細記錄下委托的權(quán)限使用委托管理向?qū)г?OU 的級別上委托管理遵照企業(yè)的組織結(jié)構(gòu)進行委托管理4.4 定制 MMC 控制臺創(chuàng)立定制的 MMC 控制臺分發(fā)定制的 MMC 控制臺安裝 Windows 2003 管理插件4.4.1 創(chuàng)立定制的 MMC 控制臺創(chuàng)立定制的 MMC 控制臺的步驟翻開 MMC 控制臺將需要的管理插件添加和設(shè)置到 MMC 控制臺設(shè)置 MMC 控制臺模式設(shè)置 MMC 控制臺視圖保存 MMC 控制臺 注意:要防止 MMC 被修改,可以使用 NTFS 權(quán)限加以控制4.4.2 分發(fā)

10、定制的 MMC 控制臺 組策略可以防止修改共享目錄電子郵件使用發(fā)布的 MMC 條件管理員必須有對該 MMC 讀的權(quán)限管理插件必須安裝在該計算機上4.4.3 安裝 Windows 2003 管理插件管理Windows 2003 管理工具(Adminpak.msi)Windows 2000 Professional安裝 管理插件 包含在 Windows 2003 管理工具中 使用客戶的 Windows 2000 Professional 計算機進行遠程管理,需要安裝管理插件4.5 設(shè)置任務(wù)板任務(wù)板創(chuàng)立和設(shè)置一個任務(wù)板在任務(wù)板中添加任務(wù)4.5.1 任務(wù)板 任務(wù)板是一個定制的管理工具包含了 MMC 控

11、制臺特定命令的快捷方式優(yōu)勢簡化初學(xué)者的的操作使得復(fù)雜的操作簡化4.5.2 創(chuàng)立和設(shè)置一個任務(wù)板創(chuàng)立和設(shè)置任務(wù)板步驟創(chuàng)立一個定制的 MMC 控制臺創(chuàng)立任務(wù)板添加任務(wù)定制任務(wù)板視圖4.5.3 在任務(wù)板中添加任務(wù)每個任務(wù)是 MMC 控制臺命令的一個快捷方式和對象細節(jié)結(jié)合和控制臺樹某一個項目結(jié)合禁用賬戶新建 用戶產(chǎn)生一個命令的快捷方式contoso.msftAccountingBuiltinComputersDomain ControllersSalesHuman ResourcesManilaKim YoshidaLuis Bonifaz最正確實踐盡量少用拒絕權(quán)限確保委派的用戶擔(dān)負得起責(zé)任為委派控制對象的用戶提供培訓(xùn)把

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論