超级会员免费看
Windows 角色管理与报告审计的实用方案
1. 能力管理组概述
在角色访问控制(RBAC)中,能力管理组起着关键作用。当一个能力管理组包含大量用户或计算机时,这可能意味着这些用户或计算机共享一个由业务驱动的特征,这个特征应被定义为一个角色。
重要的是,要将资源访问能力管理组集中到一个或多个专用的组织单元(OU)中,并将资源访问能力管理组与其他类型的组分开。这是因为可能会有大量的资源访问管理组,并且你可能会将这些组的成员管理工作下放到组织中的帮助台或资源的实际所有者。将资源访问组放在单个 OU 或 OU 分支中,有助于有效地进行委托管理。
资源访问能力管理组应是一个或多个专用 OU 中的域本地安全组,这样便于将组的成员管理委托给支持团队或资源所有者。这些组主要应包含角色组(用户和计算机角色),但通常也会包含个别用户或计算机账户,这些账户是规则的例外,它们需要访问资源,但又不完全符合已拥有该访问权限的某个角色。组名应包含一个用于指示该组用于 RBAC 目的的前缀,如 ACL_,包含资源集合的唯一标识符,并以指示访问级别的后缀结尾。
在我们的 RBAC 场景中,只需要两个能力管理组:ACL_Budget_Read 和 ACL_Budget_Edit。如果你在实验室中测试这个解决方案,可以在 Groups OU 中创建一个名为 Resource Access 的 OU,并为每个能力创建一个域本地安全组。
2. 业务需求的表示
业务需求通过将角色组以及偶尔的个别用户和计算机嵌套到能力管理组中来表示。在我们的场景中,将四个部门角色组(如营销、销售等)添加到 ACL_Budget_Read 组中,同时添加审计人员和代表 CEO
订阅专栏 解锁全文
扫一扫
1058
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
