安全篩選器建立與管理

2021-09-05 04:04:18 字數 2482 閱讀 5674

安全篩選用於精確定義哪些使用者和計算機將接收,並應用

gpo中的設定,也就是

gpo的應用物件更進一步細化。因為

gpo無法直接鏈結到使用者、計算機或安全組,只能將其鏈結到站點、域和部門。但是,通過使用安全篩選,您可以縮小

gpo的作用域,使其只應用於單個組、使用者或計算機。使用安全篩選,您可以指定只有

gpo鏈結到的「

active directory

使用者和計算機」管理單元

某個容器中的特定安全主體才可應用該

gpo。安全組篩選確定該

gpo是否作為乙個整體應用到組、使用者或計算機,但它仍無法選擇性地應用於

gpo中的不同設定。

為了使gpo應用於給定的使用者或計算機,該使用者或計算機必須具有該

gpo上的「唯讀」和「應用組策略(

agp)」許可權(這些許可權可以是顯式定義的,也可以是通過組成員關係有效繼承的)。預設情況下,對於所有

gpo的「唯讀」和「

agp」許可權,經過身份驗證的使用者組(

authenticated users

)的設定都是「允許」。

authenticated users

包括使用者和計算機。這就是說當新

gpo應用到部門、域或站點時,所有經過身份驗證的使用者接收該新

gpo設定的方式。但是,您可以更改這些許可權以便將作用域限制為部門、域或站點內的使用者、組或計算機的特定集合。

gpmc

將這些許可權作為單個單元進行管理,並在

gpo的「作用域」選項卡上顯示該

gpo的安全篩選,如圖

7-13

所示。使用

gpmc

,您可以新增和刪除要用做各個

gpo的安全篩選器的組、使用者和計算機。此外,用於安全篩選的安全主體也會在

gpo的「委派」選項卡上顯示為具有「唯讀(來自安全篩選)」許可權,因為它們具有對該

gpo的唯讀許可權,如圖

7-14

所示。

要修改安全篩選,可以在

gpo的「作用域」選項卡上的「安全篩選」部分中新增或修改組。在實際操作中,您不必設定那兩個訪問控制項(

ace),因為在設定安全篩選時,

gpmc

將為您設定這兩項。修改安全篩選的方法是在如圖

7-13

所示視窗中單擊【新增

】按鈕,開啟如圖

7-15

所示對話方塊。在其中輸入要新增的安全組物件,可以是使用者、組、計算機或其他內建安全主體,然後單擊【確定

】按鈕完成安全篩選物件的新增。但因為系統預設新增的

authenticated users

已包括了所有的使用者、組和安全主體,所以一般情況下無須在不刪除預設新增的

authenticated users

組情況下,另外新增新的物件。如果確實要使

gpo僅應用於所新增的物件,則一定要刪除

authenticated users組。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 圖

7-13

「作用域」選項卡中的「安全篩選」選項

圖7-14

「委派」選項卡中顯示的「安全篩選」使用者或計算機

此外,「唯讀」和「

agp」許可權是分別可見的,可以通過訪問控制列表(

acl)編輯器分別加以設定。在

gpmc

中,gpo

的「作用域」選項卡上的「安全篩選」部分只顯示該

gpo是否會應用。如果您想分別檢視這些許可權,那麼可以通過單擊該

gpo的「委派」選項卡(參見圖

7-14

)上的【高階】

按鈕來開啟

acl編輯器,如圖

7-16

所示。在其中就可以對所有已委派的物件的許可權進行重新設定。

7-15

「選擇使用者、計算機或組」對話方塊

圖7-16  gpo

安全設定對話方塊「安全」選項卡

gpo中的設定只應用於包含在鏈結

gpo的域或部門中的使用者和計算機,「安全篩選」中指定的使用者和計算機,或作為「安全篩選」指定的組成員的使用者和計算機。可以在單個

gpo的安全篩選中指定多個組、使用者或計算機。 注意

要確保為某個使用者或計算機處理

gpo,僅授予「唯讀」和「

agp」許可權是不夠的。

gpo還必須直接或通過繼承方式鏈結到包含該使用者或計算機的站點、域或部門。安全篩選已設定為「唯讀」和「

agp」的

gpo不一定會應用到所有具有安全篩選的安全主體。只有當這些使用者或計算機物件處於鏈結到

gpo的容器或子容器中時,該

gpo才應用到它們。但

active directory

中安全組的位置與安全組篩選無關,更一般地講,是與組策略處理無關。

安全篩選器建立與管理

安全篩選用於精確定義哪些使用者和計算機將接收,並應用 gpo中的設定,也就是 gpo的應用物件更進一步細化。因為 gpo無法直接鏈結到使用者 計算機或安全組,只能將其鏈結到站點 域和部門。但是,通過使用安全篩選,您可以縮小 gpo的作用域,使其只應用於單個組 使用者或計算機。使用安全篩選,您可以指定...

安全篩選器建立與管理

安全篩選用於精確定義哪些使用者和計算機將接收,並應用 gpo中的設定,也就是 gpo的應用物件更進一步細化。因為 gpo無法直接鏈結到使用者 計算機或安全組,只能將其鏈結到站點 域和部門。但是,通過使用安全篩選,您可以縮小 gpo的作用域,使其只應用於單個組 使用者或計算機。使用安全篩選,您可以指定...

專案風險與安全管理

1.衝突的內涵 1 風險 風險是指在某一特定環境下,在某一特定時間段內,某種損失發生的可能性。風險是由風險因素 風險事故和風險損失等要素組成的。風險的內涵有廣義和狹義之分。廣義風險 強調了風險表現為不確定性,說明風險產生的結果可能帶來損失 獲利或是無損失也無獲利。廣義風險適用於金融風險分析。狹義風險...