分类: 系统运维
2011-10-19 23:09:36
在一些比较大的公司中,网络管理员可能有多个,有时出于问题解决的方便性,一些管理员可能就把一些用户加入到本来不允许加入的组中(特别是像administrators,Backup Operations这样的高安全性要求组)。这时我们就可以利用“受限制的组”策略来实现。
通过“受限制的组”策略选项就可以实现对一些敏感的组的成员加入和录属关系两方面进行保护,防止非法加入和改变录属关系。在“受限制的组”策略中设置了某个组后,即使你在当前把某个用户,或者组帐户加入到了该组,在下次策略更新时,也将删除你这个新加入的用户或者组帐户。也就是,可以使用“受限制的组策略”控制组成员身份;指定组的成员。任何未在本策略中指定的成员都将在配置或刷新时被删除。此外,反向成员身份(也就是“隶属于组”)配置选项确保每个“受限制的组”都只能是“隶属于”列中所指定那些组的成员。
现在假设要保护特殊的administrators组,可以在域级别组策略中进行设置,直接编辑域默认组策略。具体步骤如下:
(1)打开“Default Domian Policy”GPO组策略编辑器,在“计算机配置”→“Windows设置”→“安全设置”下找到“受限制的组”文件夹。默认是空的,也就是没有配置任何受限制的组,如图10-45所示。
图10-44 “受限制的组”策略项窗口
(2)在“受限制的组”策略文件夹上单击右键,在弹出菜单中选择“添加组”快捷菜单项,打开如图10-45所示对话框。在其中输入要限制的组(本示例为administrators组)。这里只能输入组帐户,不能输入用户和计算机帐户名称。
图10-45 “添加组”对话框
(3)单击“确定”按钮,打开如图10-46所示对话框。首先单击“添加”按钮,打开如图10-47所示对话框来为这个组添加一个成员。输入要成为admionistrators组成员的用户或者组帐户。如administrator帐户。
用同样的方法,为该受限制的组添加其他成员,如administrators组默认成员:Doamin Admins、Enterprise Admins,以及其他要赋予管理员权限的新建用户或组帐户,如本示例中的winda。
添加好成员后的图10-46所示对话框“这个组的成员列表”如图10-48所示。
因为administrators默认是不隶属于任何组的,所以在下面“这个组隶属于”列表中不需要进行配置。如果限制的是其他隶属于其他组的组,则按照前面介绍的添加组成员的配置方法一样来添加所隶属的组即可。
这样配置后,administrators组中的成员和隶属关系会受到组策略保护,不允许非常更改。要理发设置也只能在这个策略下进行,不能直接在ADUC中进行,否则在组策略更新后更改的设置将全部移除。在工作站或服务器上,每90分钟刷新一次安全设置;在域控制器上,每5分钟刷新一次安全设置。不管是否进行更改,安全设置都是每16小时刷新一次。
图10-46 受限制的组属性对话框
图10-47 “添加成员”对话框
图10-48 添加了组成员后的受制的组属性对话框
本文摘自《(中小型企业网络组建、配置与管理)》第十章