安全篩選器建立與管理

安全篩選用於精確定義哪些使用者和計算機將接收，並應用

gpo中的設定，也就是

gpo的應用物件更進一步細化。因為

gpo無法直接鏈結到使用者、計算機或安全組，只能將其鏈結到站點、域和部門。但是，通過使用安全篩選，您可以縮小

gpo的作用域，使其只應用於單個組、使用者或計算機。使用安全篩選，您可以指定只有

gpo鏈結到的「

active directory

使用者和計算機」管理單元

某個容器中的特定安全主體才可應用該

gpo。安全組篩選確定該

gpo是否作為乙個整體應用到組、使用者或計算機，但它仍無法選擇性地應用於

gpo中的不同設定。

為了使gpo應用於給定的使用者或計算機，該使用者或計算機必須具有該gpo上的「唯讀」和「應用組策略（agp）」許可權（這些許可權可以是顯式定義的，也可以是通過組成員關係有效繼承的）。預設情況下，對於所有gpo的「唯讀」和「agp」許可權，經過身份驗證的使用者組（authenticated users）

的設定都是「允許」。authenticated users包括使用者和計算機。這就是說當新gpo應用到部門、域或站點時，所有經過身份驗證的使用者接收該新gpo設定的方式。但是，您可以更改這些許可權以便將作用域限制為部門、域或站點內的使用者、組或計算機的特定集合。gpmc將這些許可權作為單個單元進行管理，並在gpo的「作用域」選項卡上顯示該gpo的安全篩選，如圖7-13所示。使用gpmc，您可以新增和刪除要用做各個gpo的安全篩選器的組、使用者和計算機。此外，用於安全篩選的安全主體也會在gpo的「委派」選項卡上顯示為具有「唯讀（來自安全篩選）」許可權，因為它們具有對該gpo的唯讀許可權，如圖7-14所示。

要修改安全篩選，可以在gpo的「作用域」選項卡上的「安全篩選」部分中新增或修改組。在實際操作中，您不必設定那兩個訪問控制項（ace），因為在設定安全篩選時，gpmc將為您設定這兩項。修改安全篩選的方法是在如圖7-13所示視窗中單擊【新增

】按鈕，開啟如圖7-15所示對話方塊。在其中輸入要新增的安全組物件，可以是使用者、組、計算機或其他內建安全主體，然後單擊【確定

】按鈕完成安全篩選物件的新增。但因為系統預設新增的authenticated users已包括了所有的使用者、組和安全主體，所以一般情況下無須在不刪除預設新增的authenticated users組情況下，另外新增新的物件。如果確實要使gpo僅應用於所新增的物件，則一定要刪除authenticated users組。

圖 7-13

「作用域」選項卡中的「安全篩選」選項

圖 7-14

「委派」選項卡中顯示的「安全篩選」使用者或計算機

此外，「唯讀」和「agp」許可權是分別可見的，可以通過訪問控制列表（acl）編輯器分別加以設定。在gpmc中，gpo的「作用域」選項卡上的「安全篩選」部分只顯示該gpo是否會應用。如果您想分別檢視這些許可權，那麼可以通過單擊該gpo的「委派」選項卡（參見圖7-14）上的【高階

】按鈕來開啟acl編輯器，如圖7-16所示。在其中就可以對所有已委派的物件的許可權進行重新設定。

圖 7-15

「選擇使用者、計算機或組」對話方塊

圖 7-16 gpo

安全設定對話方塊「安全」選項卡

gpo中的設定只應用於包含在鏈結gpo的域或部門中的使用者和計算機，「安全篩選」中指定的使用者和計算機，或作為「安全篩選」指定的組成員的使用者和計算機。可以在單個gpo的安全篩選中指定多個組、使用者或計算機。

注意

要確保為某個使用者或計算機處理

gpo，僅授予「唯讀」和「

agp」許可權是不夠的。

gpo還必須直接或通過繼承方式鏈結到包含該使用者或計算機的站點、域或部門。安全篩選已設定為「唯讀」和「

agp」的

gpo不一定會應用到所有具有安全篩選的安全主體。只有當這些使用者或計算機物件處於鏈結到

gpo的容器或子容器中時，該

gpo才應用到它們。但

active directory

中安全組的位置與安全組篩選無關，更一般地講，是與組策略處理無關。者

茶鄉浪子

安全篩選器建立與管理

安全篩選器建立與管理

安全篩選器建立與管理

專案風險與安全管理

相關推薦