第4章委托管理

第4章委托管理 ActiveDirectory对象的安全控制对ActiveDirectory对象的访问ActiveDirectory对象的委托管理定制MMC控制台设置任务板最佳实践 4 1ActiveDirectory对象的安全 ActiveDirectory安全组件任意访问控制列表和系统访问控制列表访问控制项继承登录过程访问令牌在Windows2003网络中授权访问资源 4 1 1ActiveDirectory安全组件 安全主体 SECURITYPRINCIPAL 指授予权限的账户对象 如用户对象 安全组对象 服务等安全标识符 SID 用来惟一标注每一个安全主体 SID永远不会重复安全描述符 SECURITYDESCRIPTORS 用于描述一个对象的安全信息包含 任意访问控制列表 DACL 和系统访问控制列表 SACL 4 1 2任意访问控制列表和系统访问控制列表 任意访问控制列表规定哪些安全主体可以访问 访问的权限如何系统访问控制列表规定哪些对象的访问要被审计 4 1 3访问控制项 访问控制项 续 4 1 4继承 继承是ACE从父对象安全描述符传递到子对象安全描述符的过程 继承 续 继承权限的特点减少了在子对象上赋予权限的操作强制将父对象上的权限赋予到子对象上只要修改父对象上的权限 则子对象上的权限也将随之做出修改当在子对象上直接赋予了权限 则将覆盖从父对象上继承的权限 登录过程 本地安全子系统 域控制器 全局编录服务器 Kerberos服务 4 1 5访问令牌 用户要访问资源必须拥有访问令牌令牌在用户的登录过程中产生包括用户在本机上的一系列的安全签证的信息 4 2在Windows2003网络中授权访问资源 DACL 安全子系统 SIDUser SIDGroup ACEAccessAllowed 控制对ActiveDirectory对象的访问 ActiveDirectory的权限控制权限的继承设置ActiveDirectory的权限对象所有者改变对象所有者 4 2 1ActiveDirectory的权限 权限允许和拒绝的权限隐式和显式授权标准和特殊的权限 4 2 2控制权限的继承 对象创建的时候从父对象上继承权限 继承的权限可以被阻塞复制先前继承的权限到该对象上从该对象上移除先前继承的权限 4 2 3设置ActiveDirectory的权限 对象所有者 任何一个对象都有一个所有者所有者拥有对该对象控制的全权所有权是可以改变的 如果管理员组的成员抢夺了所有权 则该组成为该对象的所有者 而不是单个的用户 在下列情况下可以改变对象的所有者当前对象的所有者授予某个用户可以改变该对象的所有权的权限DomainAdmins组的成员可以抢夺域内任何对象的所有权 改变对象所有者 实验 查看和设置AD对象的权限 4 3ActiveDirectory对象的委托管理 委托授权概览使用委托授权向导委托授权操作建议 4 3 1委托授权概览 委托管理意味着在特定的容器上改变属性值在一个OU下创建和删除一个特定类型的对象在一个OU下修改特定对象的特定的属性值 4 3 2使用委托授权向导 使用委托管理向导操作启用委托管理向导挑选委托的用户和组选择委托的任务选择ActiveDirectory的对象赋予用户或组权限 委托授权操作建议 上机作业 实现AD的委托管理 4 4定制MMC控制台 创建定制的MMC控制台分发定制的MMC控制台安装Windows2003管理插件 4 4 1创建定制的MMC控制台 创建定制的MMC控制台的步骤 打开MMC控制台将需要的管理插件添加和设置到MMC控制台设置MMC控制台模式设置MMC控制台视图保存MMC控制台 注意 要防止MMC被修改 可以使用NTFS权限加以控制 4 4 2分发定制的MMC控制台 组策略 可以防止修改 电子邮件 使用发布的MMC条件管理员必须有对该MMC读的权限管理插件必须安装在该计算机上 4 4 3安装Windows2003管理插件 管理插件包含在Windows2003管理工具中使用客户的Windows2000Professional计算机进行远程管理 需要安装管理插件 4 5设置任务板 任务板创建和设置一个任务板在任务板中添加任务 4 5 1任务板 任务板是一个定制的管理工具包含了MMC控制台特定命令的快捷方式优势 简化初学者的的操作使得复杂的操作简化 4 5 2创建和设置一个任务板 创建和设置任务板步骤创建一个定制的MMC控制台创建任务板添加任务定制任务板视图 4 5 3在任务板中添加任务 每个任务是MMC控制台命令的一个快捷方式 最佳实践 尽量少用拒绝权限确保委派的用户担负得起责任为委派控制对象的用户提供培训把经常使用的定制控制台添加到开始菜单中将常用的管理控制台存放在共享文件夹中建议将委派任务委派给组 回顾 学习完本章后 将能够 管理ActiveDirecto