安全筛选器创建与管理-阿里云开发者社区

开发者社区> 科技探索者> 正文

安全筛选器创建与管理

简介:
+关注继续查看

以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书:

 

7.3.2  安全筛选器创建与管理

全筛选用于精确定义哪些用户和计算机将接收,并应用GPO中的设置,也就是GPO的应用对象更进一步细化。因为GPO无法直接链接到用户、计算机或安全组,只能将其链接到站点、域和部门。但是,通过使用安全筛选,您可以缩小GPO的作用域,使其只应用于单个组、用户或计算机。使用安全筛选,您可以指定只有GPO链接到的“Active Directory用户和计算机”管理单元某个容器中的特定安全主体才可应用该GPO。安全组筛选确定该GPO是否作为一个整体应用到组、用户或计算机,但它仍无法选择性地应用于GPO中的不同设置。
为了使GPO应用于给定的用户或计算机,该用户或计算机必须具有该GPO上的“只读”和“应用组策略(AGP)”权限(这些权限可以是显式定义的,也可以是通过组成员关系有效继承的)。默认情况下,对于所有GPO的“只读”和“AGP”权限,经过身份验证的用户组(Authenticated Users的设置都是“允许”。Authenticated Users包括用户和计算机。这就是说当新GPO应用到部门、域或站点时,所有经过身份验证的用户接收该新GPO设置的方式。但是,您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。GPMC将这些权限作为单个单元进行管理,并在GPO的“作用域”选项卡上显示该GPO的安全筛选,如图7-13所示。使用GPMC,您可以添加和删除要用做各个GPO的安全筛选器的组、用户和计算机。此外,用于安全筛选的安全主体也会在GPO的“委派”选项卡上显示为具有“只读(来自安全筛选)”权限,因为它们具有对该GPO的只读权限,如图7-14所示。
要修改安全筛选,可以在GPO的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中,您不必设置那两个访问控制项(ACE),因为在设置安全筛选时,GPMC将为您设置这两项。修改安全筛选的方法是在如图7-13所示窗口中单击添加按钮,打开如图7-15所示对话框。在其中输入要添加的安全组对象,可以是用户、组、计算机或其他内置安全主体,然后单击确定按钮完成安全筛选对象的添加。但因为系统默认添加的Authenticated Users已包括了所有的用户、组和安全主体,所以一般情况下无须在不删除默认添加的Authenticated Users组情况下,另外添加新的对象。如果确实要使GPO仅应用于所添加的对象,则一定要删除Authenticated Users组。
7-13 “作用域”选项卡中的“安全筛选”选项
7-14 “委派”选项卡中显示的“安全筛选”用户或计算机
此外,“只读”和“AGP”权限是分别可见的,可以通过访问控制列表(ACL)编辑器分别加以设置。在GPMC中,GPO的“作用域”选项卡上的“安全筛选”部分只显示该GPO是否会应用。如果您想分别查看这些权限,那么可以通过单击该GPO的“委派”选项卡(参见图7-14)上的高级按钮来打开ACL编辑器,如图7-16所示。在其中就可以对所有已委派的对象的权限进行重新设置。
                  
7-15 “选择用户、计算机或组”对话框       7-16  GPO安全设置对话框“安全”选项卡
GPO中的设置只应用于包含在链接GPO的域或部门中的用户和计算机,“安全筛选”中指定的用户和计算机,或作为“安全筛选”指定的组成员的用户和计算机。可以在单个GPO的安全筛选中指定多个组、用户或计算机。

注意
要确保为某个用户或计算机处理GPO,仅授予“只读”和“AGP”权限是不够的。GPO还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“AGP”的GPO不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到GPO的容器或子容器中时,该GPO才应用到它们。但Active Directory中安全组的位置与安全组筛选无关,更一般地讲,是与组策略处理无关。

本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/44495如需转载请自行联系原作


茶乡浪子

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
代理 XP”组件已作为此服务器安全配置的一部分被关闭。系统管理员可以使用 sp_configure 来启用“代理 XP”
新建维护计划的时候遇到下图的报错信息  标题: Microsoft SQL Server Management Studio------------------------------ “代理 XP”组件已作为此服务器安全配置的一部分被关闭。
1783 0
如何在2020年创建安全,低成本的物联网网络
随着物联网设备在各行各业的迅速普及,以及用户应用的增加,物联网(IoT)正稳步走向大众的中心舞台。随着物联网通过我们的移动设备扩展其连接和通信能力,从实现家庭和办公室自动化到监控我们的健康状况,预计到2020年物联网取得的势头将是革命性的。
353 0
PostgreSQL 10.1 手册_部分 III. 服务器管理_第 31 章 逻辑复制_31.7. 安全
31.7. 安全 用于复制链接的角色必须具有REPLICATION属性 (或者是超级用户)。该用户的访问权限必须在pg_hba.conf中配置。 用户必须具有数据库的CREATE权限才能创建发布。
957 0
探讨:在循环前与在循环中创建对象的区别
后端获取的数据格式为 List ,而前端需求的数据格式为 Json。因此,后端需要将数据重新组装为 Json 格式才能传给前端接收。而在数据重新组装的过程中会遇到这样的问题,在将对象从 List 逐个获取放入另一个 List 时,这个中间对象是在对 List 循环之前创建还是循环中创建。
1637 0
使用 Webix 创建 Email 客户端
Webix 是一个JavaScript UI 库,提供了多达88个UI小部件和功能丰富的 CSS/HTML5 JavaScript 控件。使用 Webix 可以有效地加快 Web 应用的开发。文本将演示了如何通过 Webix 框架,来创建一个 Email 客户端原型。
4731 0
【产品功能】创建实例支持同时加入多个安全组
背景: 长期以来,创建ECS实例只支持同时加入一个安全组,但是某些友商支持多个安全组,这会增加混合云用户上云成本,比如基于Terraform的国际站用户想迁移到阿里云就要修改大量代码。为此ECS提供了创建实例同时加入多个安全组的功能,此功能一方面可以让上述用户最小成本使用阿里云,另外一方面也降低实例加入多个安全组的复杂度,可以方便的随实例创建同时加入多个安全组。
713 0
puppet aix之自动化用户管理
一、    用户组的管理 (一)   Puppet组管理特性 1.   manages_aix_lam 用来管理AIX的LAM(Loadable Authentication Module)系统。
781 0
5489
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载