WEB开发网
开发学院操作系统windows 2008 Active Diretory 全攻略(八)--组策略(1) 阅读

Active Diretory 全攻略(八)--组策略(1)

 2008-11-27 12:50:32 来源:WEB开发网   
核心提示: 勾选拒绝,表示不赋予权限给用户、计算机或组,Active Diretory 全攻略(八)--组策略(1)(7),都不勾选,则表示隐含拒绝,注意这两步骤不能颠倒,否则无法委派成功,代表一种强有力较弱的拒绝,无法覆盖允许

勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。

通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHENTICATED USERS组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED USERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。

委派控制GPO:

要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限,将用户帐户加入GROUP POLICY CREATOR OWNER组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。

委派建立GPO连接关系的权限

假设要将建立GPO连接关系的权限委派给李小龙。

Active Diretory 全攻略(八)--组策略(1)

上一页  2 3 4 5 6 7 8 9 10  下一页

Tags:Active Diretory 全攻略

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接