安全筛选器创建与管理

简介:

以下内容摘自笔者编著的《网管员必读——网络管理》(第2版)一书:

 

7.3.2   安全筛选器创建与管理

全筛选用于精确定义哪些用户和计算机将接收,并应用GPO中的设置,也就是GPO的应用对象更进一步细化。因为GPO无法直接链接到用户、计算机或安全组,只能将其链接到站点、域和部门。但是,通过使用安全筛选,您可以缩小GPO的作用域,使其只应用于单个组、用户或计算机。使用安全筛选,您可以指定只有GPO链接到的“Active Directory用户和计算机”管理单元某个容器中的特定安全主体才可应用该GPO。安全组筛选确定该GPO是否作为一个整体应用到组、用户或计算机,但它仍无法选择性地应用于GPO中的不同设置。
为了使GPO应用于给定的用户或计算机,该用户或计算机必须具有该GPO上的“只读”和“应用组策略(AGP)”权限(这些权限可以是显式定义的,也可以是通过组成员关系有效继承的)。默认情况下,对于所有GPO的“只读”和“AGP”权限,经过身份验证的用户组(Authenticated Users的设置都是“允许”。Authenticated Users包括用户和计算机。这就是说当新GPO应用到部门、域或站点时,所有经过身份验证的用户接收该新GPO设置的方式。但是,您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。GPMC将这些权限作为单个单元进行管理,并在GPO的“作用域”选项卡上显示该GPO的安全筛选,如图7-13所示。使用GPMC,您可以添加和删除要用做各个GPO的安全筛选器的组、用户和计算机。此外,用于安全筛选的安全主体也会在GPO的“委派”选项卡上显示为具有“只读(来自安全筛选)”权限,因为它们具有对该GPO的只读权限,如图7-14所示。
要修改安全筛选,可以在GPO的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中,您不必设置那两个访问控制项(ACE),因为在设置安全筛选时,GPMC将为您设置这两项。修改安全筛选的方法是在如图7-13所示窗口中单击添加按钮,打开如图7-15所示对话框。在其中输入要添加的安全组对象,可以是用户、组、计算机或其他内置安全主体,然后单击确定按钮完成安全筛选对象的添加。但因为系统默认添加的Authenticated Users已包括了所有的用户、组和安全主体,所以一般情况下无须在不删除默认添加的Authenticated Users组情况下,另外添加新的对象。如果确实要使GPO仅应用于所添加的对象,则一定要删除Authenticated Users组。
7-13  “作用域”选项卡中的“安全筛选”选项
7-14  “委派”选项卡中显示的“安全筛选”用户或计算机
此外,“只读”和“AGP”权限是分别可见的,可以通过访问控制列表(ACL)编辑器分别加以设置。在GPMC中,GPO的“作用域”选项卡上的“安全筛选”部分只显示该GPO是否会应用。如果您想分别查看这些权限,那么可以通过单击该GPO的“委派”选项卡(参见图7-14)上的高级按钮来打开ACL编辑器,如图7-16所示。在其中就可以对所有已委派的对象的权限进行重新设置。
                  
7-15  “选择用户、计算机或组”对话框         7-16  GPO 安全设置对话框“安全”选项卡
GPO中的设置只应用于包含在链接GPO的域或部门中的用户和计算机,“安全筛选”中指定的用户和计算机,或作为“安全筛选”指定的组成员的用户和计算机。可以在单个GPO的安全筛选中指定多个组、用户或计算机。

注意
要确保为某个用户或计算机处理 GPO ,仅授予“只读”和“ AGP ”权限是不够的。 GPO 还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“ AGP ”的 GPO 不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到 GPO 的容器或子容器中时,该 GPO 才应用到它们。但 Active Directory 中安全组的位置与安全组筛选无关,更一般地讲,是与组策略处理无关。

本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/44495如需转载请自行联系原作


茶乡浪子

相关文章
【项目需求】:两个下拉框之间选项关联
一.利用Option Group Attributes中的disabled属性实现 二.利用下拉框的@change事件
101 0
|
JavaScript
fastadmin如何自定义一个列表上的按钮。
fastadmin如何自定义一个列表上的按钮。
370 0
|
设计模式 JSON 前端开发
如何设计一个属性面板?
如何设计一个属性面板?
218 0
安全组规则批量添加授权对象
安全组规则如何批量开通常用端口?如何批量对网段授权?本篇将向您介绍ECS控制台中,针对日常维护安全组规则这个典型场景进行的优化改动。
13029 0
|
C#
TSF自定义候选词列表界面
原文:TSF自定义候选词列表界面 概述 TSF(Text Service Framework),已经取代IMM(Input Method Manager),成为win8+系统的输入法框架。现在有个需求,触摸屏上要使用软键盘(虚拟键盘,已经有了)输入中文,当需要输入的时候自动弹出软键盘,系统自带的屏幕键盘不能满足需求。
1630 0