本文出自 “王達博客” 博客,轉載請與作者聯繫!
作者已授權本博客轉載
安全篩選器創建與管理
安全篩選用於精確定義哪些用戶和計算機將接收,並應用GPO中的設置,也就是GPO的應用對象更進一步細化。因爲GPO無法直接鏈接到用戶、計算機或安全組,只能將其鏈接到站點、域和部門。但是,通過使用安全篩選,您可以縮小GPO的作用域,使其只應用於單個組、用戶或計算機。使用安全篩選,您可以指定只有GPO鏈接到的“Active Directory用戶和計算機”管理單元某個容器中的特定安全主體纔可應用該GPO。安全組篩選確定該GPO是否作爲一個整體應用到組、用戶或計算機,但它仍無法選擇性地應用於GPO中的不同設置。
爲了使GPO應用於給定的用戶或計算機,該用戶或計算機必須具有該GPO上的“只讀”和“應用組策略(AGP)”權限(這些權限可以是顯式定義的,也可以是通過組成員關係有效繼承的)。默認情況下,對於所有GPO的“只讀”和“AGP”權限,經過身份驗證的用戶組(Authenticated Users)的設置都是“允許”。Authenticated Users包括用戶和計算機。這就是說當新GPO應用到部門、域或站點時,所有經過身份驗證的用戶接收該新GPO設置的方式。但是,您可以更改這些權限以便將作用域限制爲部門、域或站點內的用戶、組或計算機的特定集合。GPMC將這些權限作爲單個單元進行管理,並在GPO的“作用域”選項卡上顯示該GPO的安全篩選,如圖7-13所示。使用GPMC,您可以添加和刪除要用做各個GPO的安全篩選器的組、用戶和計算機。此外,用於安全篩選的安全主體也會在GPO的“委派”選項卡上顯示爲具有“只讀(來自安全篩選)”權限,因爲它們具有對該GPO的只讀權限,如圖7-14所示。
要修改安全篩選,可以在GPO的“作用域”選項卡上的“安全篩選”部分中添加或修改組。在實際操作中,您不必設置那兩個訪問控制項(ACE),因爲在設置安全篩選時,GPMC將爲您設置這兩項。修改安全篩選的方法是在如圖7-13所示窗口中單擊【添加】按鈕,打開如圖7-15所示對話框。在其中輸入要添加的安全組對象,可以是用戶、組、計算機或其他內置安全主體,然後單擊【確定】按鈕完成安全篩選對象的添加。但因爲系統默認添加的Authenticated Users已包括了所有的用戶、組和安全主體,所以一般情況下無須在不刪除默認添加的Authenticated Users組情況下,另外添加新的對象。如果確實要使GPO僅應用於所添加的對象,則一定要刪除Authenticated Users組。
圖7-13 “作用域”選項卡中的“安全篩選”選項
圖7-14 “委派”選項卡中顯示的“安全篩選”用戶或計算機
此外,“只讀”和“AGP”權限是分別可見的,可以通過訪問控制列表(ACL)編輯器分別加以設置。在GPMC中,GPO的“作用域”選項卡上的“安全篩選”部分只顯示該GPO是否會應用。如果您想分別查看這些權限,那麼可以通過單擊該GPO的“委派”選項卡(參見圖7-14)上的【高級】按鈕來打開ACL編輯器,如圖7-16所示。在其中就可以對所有已委派的對象的權限進行重新設置。
圖7-15 “選擇用戶、計算機或組”對話框 圖7-16 GPO安全設置對話框“安全”選項卡
GPO中的設置只應用於包含在鏈接GPO的域或部門中的用戶和計算機,“安全篩選”中指定的用戶和計算機,或作爲“安全篩選”指定的組成員的用戶和計算機。可以在單個GPO的安全篩選中指定多個組、用戶或計算機。
注意
要確保爲某個用戶或計算機處理GPO,僅授予“只讀”和“AGP”權限是不夠的。GPO還必須直接或通過繼承方式鏈接到包含該用戶或計算機的站點、域或部門。安全篩選已設置爲“只讀”和“AGP”的GPO不一定會應用到所有具有安全篩選的安全主體。只有當這些用戶或計算機對象處於鏈接到GPO的容器或子容器中時,該GPO才應用到它們。但Active Directory中安全組的位置與安全組篩選無關,更一般地講,是與組策略處理無關。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章