超级会员免费看
活动目录安全管理全解析
1. AD DS 安全基础
AD DS 安全的构建离不开几个关键要素,了解这些要素如何协同工作,能为构建安全基础设施打下基础。这些要素包括安全主体、访问控制列表、访问令牌和身份验证。
- 安全主体 :能在 Active Directory 中进行身份验证的任何 AD DS 对象都可称为安全主体,涵盖用户账户、计算机账户,以及以用户或计算机账户运行的进程。安全主体是 AD DS 中唯一可被授予访问资源权限的对象。创建安全主体时,会为其分配一个唯一的安全标识符(SID)。例如用户 Sonja Souza,在管理该用户账户时看到的是其“友好名称”,但 Windows 和 AD DS 实际使用与之关联的 SID 来管理权限和访问控制。SID 由两部分组成:域标识符和相对标识符(RID),域标识符对域内所有安全主体相同,RID 则在 AD DS 域内每个安全主体中唯一。
- 访问控制列表(ACLs) :权限授予安全主体以访问网络资源,而 ACLs 负责控制对这些资源的访问。它为 AD DS 中的对象定义,明确安全主体对该对象的访问权限。对象可以是打印机对象、组织单位(OU)或网络共享上的文件。每个 ACL 包含两种类型:自主访问控制列表(DACL)和系统访问控制列表(SACL)。DACL 显示被授予(或拒绝)对象权限的安全主体及访问级别,由访问控制条目(ACEs)组成;SACL 列出应用了审核规则的安全主体,同样有定义审核访问对象和级别的 ACEs 列表。
- 访问令牌 :安全主体被分配权限,ACLs 控制访问,而访问令牌则将两者关联起来。用户登录 AD DS 时
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
