Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2100202
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 23:09:36

在一些比较大的公司中,网络管理员可能有多个,有时出于问题解决的方便性,一些管理员可能就把一些用户加入到本来不允许加入的组中(特别是像administratorsBackup Operations这样的高安全性要求组)。这时我们就可以利用受限制的组策略来实现。

通过受限制的组策略选项就可以实现对一些敏感的组的成员加入和录属关系两方面进行保护,防止非法加入和改变录属关系。在受限制的组策略中设置了某个组后,即使你在当前把某个用户,或者组帐户加入到了该组,在下次策略更新时,也将删除你这个新加入的用户或者组帐户。也就是,可以使用受限制的组策略控制组成员身份;指定组的成员。任何未在本策略中指定的成员都将在配置或刷新时被删除。此外,反向成员身份(也就是隶属于组)配置选项确保每个受限制的组都只能是隶属于列中所指定那些组的成员。

现在假设要保护特殊的administrators组,可以在域级别组策略中进行设置,直接编辑域默认组策略。具体步骤如下:

1)打开“Default Domian Policy”GPO组策略编辑器,在计算机配置”→“Windows设置”→“安全设置下找到受限制的组文件夹。默认是空的,也就是没有配置任何受限制的组,如图10-45所示。

10-44  受限制的组策略项窗口

2)在受限制的组策略文件夹上单击右键,在弹出菜单中选择添加组快捷菜单项,打开如图10-45所示对话框。在其中输入要限制的组(本示例为administrators组)。这里只能输入组帐户,不能输入用户和计算机帐户名称。

10-45 “添加组对话框

3)单击确定按钮,打开如图10-46所示对话框。首先单击添加按钮,打开如图10-47所示对话框来为这个组添加一个成员。输入要成为admionistrators组成员的用户或者组帐户。如administrator帐户。

用同样的方法,为该受限制的组添加其他成员,如administrators组默认成员:Doamin AdminsEnterprise Admins,以及其他要赋予管理员权限的新建用户或组帐户,如本示例中的winda

添加好成员后的图10-46所示对话框这个组的成员列表如图10-48所示。

因为administrators默认是不隶属于任何组的,所以在下面这个组隶属于列表中不需要进行配置。如果限制的是其他隶属于其他组的组,则按照前面介绍的添加组成员的配置方法一样来添加所隶属的组即可。

这样配置后,administrators组中的成员和隶属关系会受到组策略保护,不允许非常更改。要理发设置也只能在这个策略下进行,不能直接在ADUC中进行,否则在组策略更新后更改的设置将全部移除。在工作站或服务器上,每90分钟刷新一次安全设置;在域控制器上,每5分钟刷新一次安全设置。不管是否进行更改,安全设置都是每16小时刷新一次。

 

10-46 受限制的组属性对话框       

10-47  添加成员对话框


10-48 添加了组成员后的受制的组属性对话框

本文摘自《(中小型企业网络组建、配置与管理)》第十章

阅读(474) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~