29、活动目录安全管理全解析
活动目录安全管理全解析
在多域环境中,确保网络资源的安全是一项至关重要的任务。本文将深入探讨活动目录安全管理的各个方面,包括外部安全主体、安全权限管理、安全策略实施以及相关工具的使用。
1. 外部安全主体
在包含多个域的环境中,有时需要向多个域中的用户授予权限。通常,这可以通过活动目录树和林来管理。但在某些情况下,可能需要为不属于同一林的域中的用户提供资源。活动目录引入了外部安全主体的概念,允许将权限分配给不属于同一活动目录林的用户。这一过程是自动的,无需系统管理员干预。外部安全主体可以添加到域本地组中,而域本地组可以被授予对域内资源的权限。
2. 安全和权限管理
管理安全的一般做法是将用户分配到组中,然后为组授予访问特定资源的权限。为了便于管理和实现层次结构,可以将组放置在组织单位(OU)中,还可以为OU内的所有对象分配组策略设置。这样可以结合层次结构(通过OU)和安全主体的使用优势。
管理用户、组和计算机安全权限的主要工具是“活动目录用户和计算机”管理单元。使用该工具,系统管理员可以创建和管理活动目录对象,并根据业务需求进行组织。常见任务包括:
- 重置用户密码(例如,用户忘记密码时)
- 创建新用户账户(如新员工加入公司时)
- 根据工作要求和职能的变化修改组成员身份
- 禁用用户账户(例如,用户长时间不在办公室且不需要访问网络资源时)
3. 权限设置
将用户正确分组后,需要设置影响活动目录内对象的实际权限。可用的实际权限会根据对象类型而有所不同。以下是一些可以应用于各种活动目录对象的权限示例及其说明:
| 权限 | 说明 |