26、活动目录安全规划与性能优化指南

活动目录安全规划与性能优化指南

1. 活动目录安全规划相关问题解答

在活动目录的安全规划中，有许多关键问题需要我们正确解答和处理。以下是一些常见问题及对应的答案：
| 问题编号 | 答案 | 详细解释 |
| ---- | ---- | ---- |
| 1 | A | 由于要支持 Windows NT 4、Windows 2000 和 Server 2003 域控制器，必须在 Windows 2000 混合域功能级别运行环境。在此级别下，通用安全组不可用。 |
| 2 | B, E, G, H | 活动目录用户和计算机工具允许系统管理员更改审核选项并选择要审核的操作。在文件系统级别，可指定记录在审核日志中的具体操作，然后使用事件查看器查看记录信息并提供给相应管理人员。 |
| 3 | D | 控制委派向导旨在协助系统管理员向其他用户授予特定权限。 |
| 4 | C | 委派是向其他用户授予权限的过程，常用于分配系统管理职责。继承是权限和其他设置从父组织单位（OU）传递到子 OU 的过程。控制转移和所有权转移不适用于 OU。 |
| 5 | B | 域控制器安全策略工具中的设置仅适用于域控制器。 |
| 6 | C | 审核文件访问和对象访问的成功或失败情况，可了解谁在访问你关注的文件。可创建报告并通知管理层谁访问了文件以及谁尝试访问但失败。由于公司内部可能存在勾结情况，登录/注销的成功或失败在此情况下无法提供明确结果。用户权利与更改用户的系统特权权限有关，与该问题无关。审核程序文件访问通常用于确定病毒是否试图嵌入程序文件。 |
| 7 | B | 因为是 Windows 2000 混合域功能级别网络，通用组不可用。最佳做法是将