超级会员免费看
活动目录委托与计算机管理最佳实践
1. 活动目录委托与内置组管理
为支持活动目录的快速部署,Windows 在域中提供了几个默认的管理组,这些组具有预配置的权限和权利。像账户操作员、备份操作员、打印操作员和服务器操作员等组,通常可以在“内置”组织单位(OU)中找到。
将权限委托给自定义组 :应尽可能将这些权限和权利委托给自定义组,并清空内置组的成员。这样做能使委托管理更轻松,还能避免与受保护组成员身份相关的问题。在将活动目录委托与管理模型对齐后,管理员大多无需再属于这些内置组。
识别受保护组 :活动目录采用保护机制,确保特定高敏感组的成员的访问控制列表(ACL)设置正确。这些受保护组包括:
- 管理员
- 账户操作员
- 服务器操作员
- 打印操作员
- 备份操作员
- 域管理员
- 架构管理员
- 企业管理员
- 证书发布者
如果用户账户属于这些受保护组,该账户将不受活动目录中 ACL 继承的正常机制约束。相反,应用于该用户账户的 ACL 由特殊容器“adminSDHolder”上的 ACL 配置。例如,“CN=adminSDHolder,CN=System,DC=domain,DC=…” 。这是因为若用户账户被移动到恶意用户被授予可修改该账户权限的容器或 OU 中,整个域将面临风险。所以活动目录通过禁用对象的继承并应用“adminSDHolder”指定的 ACL 来保护受保护组的所有成员。将用户账户添加到其中一个受保护组,大约一小时后,就会发现该对象的 ACL 已更改。
这
订阅专栏 解锁全文
扫一扫
990
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
