8 管理域中的对象
一 活动目录的安全组件
二 控制对AD对象的访问
三 委派控制
一 活动目录的安全组件
1 Security principals(安全对象) 有下述四类,都有唯一的ID
user
security group
service
computer
2 security identifiers (SID)
不会被重复使用。
3 安全描述器Security Descriptors:存放安全信息。任何一个安全描述器都有一个DACL和一个SACL
控制访问列表
discerption access control list(控制访问)
system access control list (审核访问列表,负责审核)
header+owner sid +group sid+dacl+sacl(ace)
ace(access control entry)包含用户的sid、组的sid、访问选项(允许、拒绝)
2 继承
默认下,任何一个对象的建立都是从父对象上继承许可。(查看菜单中的高级功能要打开)
许可的继承分为两个方面:继承上来和继承下去。
3 资源的访问控制
access token访问令牌(用户sid、组sid、权限)
4 AD的访问控制
(1)AD 的许可(permissions)
(2)许可的继承(inheritance)
(3)分配AD的许可
(4)修改对象所有者(ownership)
DACL控制着对象对每一个对象访问的权限,对于不同的对象的许可也是不相同的。
标准的许可设置(5种)
full control(完全控制)
read
write
create all child objects
delete all child objects
allow(允许) deny(拒绝)
否优先
否优先原则:如果一个用户账户对某一个对象的许可中(包括所在组)只要有一个许可是否的许可,那么最终这个用户对象就是否的许可。
没有许可的权限可以通过二种方法实现:不加入到许可列表中;加入列表,给拒绝许可。
5许可的继承、赋予、委派
许可的继承
许可的赋予
许可的委派:许可委派是自动分配许可的一种方法。
6对象所有者的改变(objects ownership take)
每一个AD对象都有一个所有者,所有者拥有这个对象的最大的权限。
默认情况下,创建者就是所有者。
域管理员或域管理员组的成员具有取得所有权的能力。
7许可的委派控制
使用delegation of control wizard(许可委派控制向导)可以自动的进行许可的分配
许可分配
管理员可以利用delegation of control wizard在一个指定的OU上进行许可的分配。
阅读(662) | 评论(0) | 转发(0) |
