windows网络服务器配置与管理-提高篇 第4章 委托管理

第4章 委托管理,Active Directory 对象的安全控制对 Active Directory 对象的访问Active Directory 对象的委托管理定制 MMC 控制台设置任务板最佳实践,Active Directory 对象的安全,Active Directory 安全组件任意访问控制列表和系统访问控制列表访问控制项继承登录过程访问令牌在 Windows 2003 网络中授权访问资源,4.1.1 Active Directory 安全组件,安全主体（SECURITY PRINCIPAL） 指授予权限的账户对象，如用户对象、安全组对 象、服务等 安全标识符（SID） 用来惟一标注每一个安全主体，SID 永远不会重复 安全描述符（SECURITY DESCRIPTORS） 用于描述一个对象的安全信息 包含：任意访问控制列表（DACL)和系统 访问控制列表 （SACL）,4.1.2 任意访问控制列表和系统访问控制列表,任意访问控制列表 规定哪些安全主体可以访问、访问的权限如何系统访问控制列表 规定哪些对象的访问要被 审计,4.1.3 访问控制项,访问控制项（续）,4.1.4 继承,继承是 ACE 从父对象安全描述符传递到子对象安全描述符的过程,继承（续）,继承权限的特点减少了在子对象上赋予权限的操作强制将父对象上的权限赋予到子对象上只要修改父对象上的权限，则子对象上的权限也将随之做出修改当在子对象上直接赋予了权限，则将覆盖从父对象上继承的权限,登录过程,本地安全子系统,域控制器,全局编录服务器,Kerberos 服务,4.1.5 访问令牌,用户要访问资源必须拥有访问令牌 令牌在用户的登录过程中产生 包括用户在本机上的一系列的安全签证的信息,访问令牌,安全标示符： S-1-5-21-146.组标识符：EmployeesEVERYONELOCAL用户权限 ：SeChangeNotifyPrivilege - (attributes) 3SeSecurityPrivilege - (attributes) 0,4.2 在 Windows 2003 网络中授权访问资源,DACL,安全子系统,SID User,SID Group,ACE Access Allowed,控制对 Active Directory 对象的访问,Active Directory 的权限控制权限的继承 设置 Active Directory 的权限对象所有者改变对象所有者,4.2.1 Active Directory 的权限,权限允许和拒绝的权限隐式和显式授权 标准和特殊的权限,4.2.2 控制权限的继承,对象创建的时候 从父对象上继承 权限,继承的权限可以被阻塞 复制先前继承的权限到该对象上 从该对象上移除先前继承的权限,4.2.3 设置 Active Directory 的权限,特殊权限,标准权限,对象所有者,任何一个对象都有一个所有者所有者拥有对该对象控制的全权所有权是可以改变的，如果管理员组的成员抢夺了所有权，则该组成为该对象的所有者（而不是单个的用户）,在下列情况下可以改变对象的所有者当前对象的所有者授予某个用户可以改变该对象的所有权的权限Domain Admins 组的成员可以抢夺域内任何对象的所有权,改变对象所有者,4.3 Active Directory 对象的委托管理,委托授权概览使用委托授权向导委托授权操作建议,6.3 Active Directory 对象的委托管理,4.3.1 委托授权概览,委托管理意味着在特定的容器上改变属性值在一个 OU 下创建和删除一个特定类型的对象在一个 OU 下修改特定对象的特定的属性值,4.3.2 使用委托授权向导,使用委托管理向导操作启用委托管理向导挑选委托的用户和组选择委托的任务选择 Active Directory 的对象赋予用户或组权限,委托授权操作建议,4.4 定制 MMC 控制台,创建定制的 MMC 控制台分发定制的 MMC 控制台安装 Windows 2003 管理插件,4.4.1 创建定制的 MMC 控制台,创建定制的 MMC 控制台的步骤打开 MMC 控制台将需要的管理插件添加和设置到 MMC 控制台设置 MMC 控制台模式设置 MMC 控制台视图保存 MMC 控制台,注意：要防止 MMC 被修改，可以使用 NTFS 权限加以控制,4.4.2 分发定制的 MMC 控制台,组策略,可以防止修改,电子邮件,使用发布的 MMC 条件管理员必须有对该 MMC 读的权限管理插件必须安装在该计算机上,4.4.3 安装 Windows 2003 管理插件,管理插件 包含在 Windows 2003 管理工具中 使用客户的 Windows 2000 Professional 计算机进行远程管理，需要安装管理插件,4.5 设置任务板,任务板创建和设置一个任务板在任务板中添加任务,4.5.1 任务板,任务板是一个定制的管理工具包含了 MMC 控制台特定命令的快捷方式优势简化初学者的的操作使得复杂的操作简化,4.5.2 创建和设置一个任务板,创建和设置任务板步骤创建一个定制的 MMC 控制台创建任务板添加任务定制任务板视图,4.5.3 在任务板中添加任务,每个任务是 MMC 控制台命令的一个快捷方式,最佳实践,尽量少用拒绝权限确保委派的用户担负得起责任为委派控制对象的用户提供培训把经常使用的定制控制台添加到开始菜单中将常用的管理控制台存放在共享文件夹中建议将委派任务委派给组,回顾,学习完本章