21、安全管理结构的设计与规划

安全管理结构的设计与规划

1. 组织单位（UO）结构的创建

1.1 UO 结构的类型与作用

创建一个便于向管理员委派控制权、简化资源和账户定位的 UO 结构至关重要。可以创建基于对象或基于任务的管理结构。基于对象的 UO 结构，其控制权的委派是根据将存储在 UO 中的对象类型进行的；而基于任务的 UO 结构，控制权的委派则是依据要完成的管理任务，而非要管理的对象。

1.2 创建 UO 的原因及规划要点

创建 UO 的原因主要有三个：对象管理的委派、对象可见性的限制以及组策略应用的控制。其中，管理控制的委派应是规划 UO 时的首要考虑因素。在规划时，应先专注于管理委派，然后根据其他需求完善结构。高级 UO 应基于企业相对静态的方面，如地理位置、管理任务或对象，再创建低级 UO 以细化管理权限级别。

1.3 UO 结构的优势利用与控制

在规划中，要充分利用继承的优势，使权限在结构中顺利流动。如果希望某个对象的权限覆盖从父对象继承的权限，可以阻止继承。

2. Windows Server 2003 中的账户类型

2.1 五种账户类型

在 Windows Server 2003 的 Active Directory 中，可创建五种类型的账户：
- 计算机账户 ：允许成员计算机为用户进行透明身份验证。需规划计算机账户的命名，并明确谁有权将计算机账户添加到 Active Directory。
- 用户账户 ：用于识别用户并允许他们进行身份验证以访问网络资源。账