Windows系统安全配置与管理指南

31、在Active Directory中配置受限组

1. 通过点击“开始”|“运行”，输入 MMC 并按回车键来启动MMC控制台。
2. 添加Active Directory用户和计算机管理单元，点击“文件”|“添加/删除管理单元”。
3. 点击“添加”，选择ADUC，然后点击“添加”。
4. 展开ADUC并在域的根节点上右键单击（在域的根节点配置策略可确保其应用到所有域用户）。
5. 点击“属性”，选择“组策略”选项卡，然后选择“默认域策略”并点击“编辑”。
6. 导航到“计算机配置” > “Windows设置” > “安全设置” > “受限组”。
7. 右键单击“受限组”并点击“添加组”。
8. 点击“浏览”并输入要配置的组的名称；在本示例中使用“Domain Admins”，点击“确定”。
9. 接下来，会出现一个窗口，可在其中添加该组的成员。在示例中，添加了用户Eli。

32、LDAP Query for Obsolete Groups

查找过时组的 LDAP 查询

33、如何使用控制委派向导来委派站点、域或林内对象的控制权？

使用控制委派向导

你可以轻松委派站点、域或林内对象的控制权。操作步骤如下：

1. 右键单击对象并选择“委派控制”，委派控制向导会显示欢迎屏幕，点击“下一步”继续；
2. 点击“添加”添加要委派控制的用户或组（最佳实践建议添加组），输入名称后点击“检查名称”验证所选名称，验证后的名称会添加到列表中，点击“确定”接受列表，然后点击“下一步”选择要委派的任务；
3. 在“要委派的任务”屏幕中，你可以从预设任务列表中选择，也可以创建自定义任务集进行委派。
   - 若从预设列表中选择并点击“下一步”，最终屏幕会显示你的选择，以便在接受和应用之前再次审核；
   - 若选择自定义任务，预设任务列表将被禁用，你必须点击“下一步”开始选择自定义任务。点击“下一步”继续；
4. 完成委派控制向导屏幕会显示你的选择，包括对象、组或用户以及要委派的任务。
   - 如果你想进行任何更改，点击“上一步”；
   - 如果你想不保存更改就退出，点击“取消”；
   - 否则，点击“完成”委派所列对象的控制权。

34、查看注册表访问权限

本练习将逐步指导查看注册表访问权限的操作：

1. 点击“开始”|“运行”，在“打开”文本框中输入 regedt32 ，点击“确定”启动注册表编辑器。
2. 点击注册表编辑器菜单中的“文件”，注意没有“保存”或“另存为”功能，因为在各对话框中所做的更改会立即应用。
3. 在注册表编辑器中，左窗格显示节点，右窗格显示左窗格中所选节点下的任何节点或键。若只看到“我的计算机”，点击其左侧的“+”展开树。通常“我的计算机”下有五个节点。
4. 点击“HKEY_CURRENT_USER”左侧的“+”展开树，注意其下的键。
5. 点击“HKEY_CURRENT_USER”进行选择，右键单击或点击菜单中的“编辑”并选择“权限”。
6. 显示“HKEY_CURRENT_USER”的“权限”对话框，可添加或删除“组或用户名”对话框中列出的用户，也可编辑当前所选用户或组的权限。
7. 在“选择注册表项”中，点击“USERS”左侧的“+”展开树。
8. 点击展开“.DEFAULT”并找到“软件”节点。
9. 展开“软件”节点，点击“Microsoft”节点左侧的“+”，向下滚动直到找到“RegEdt32”。
10. 点击“RegEdt32”进行选择，然后点击“确定”，显示相应的“数据库安全性”对话框，可查看或修改此键的权限。
11. 点击“用户”，注意在“默