ActiveDirectory中的访问控制

1、注册 | 登录 忘记密码？51cto 首页 | 博客 | 论坛 | 下载 热点文章还原已删除的Active Dir.帮助转载:4 翻译:0原创:270王达博客 http:/ 复制链接 邀请加入技术圈加友情链接发短消息相册技术圈博客首页 | 图书资讯 | 图书精彩内容试读 | 网络技术 | 网友交流 | 职场资讯和观点 万物苏醒 博客“春季运动会” 开始啦！ 51CTO 招聘:PHP 工程师、运维工程师 博主的更多文章 Active Directory 中的访问控制 2007-09-23 20:59:26标签：Active Directory 网管员必读 网络管理（第 2 版） 推送到技术圈 版 权 声 明 ： 原 创 作 品 ， 允 许 转 载 ， 转 载 时 请 务 必 以 超 链 接 形 式 标 明 文 章 原 始 出 处 、作 者 信 息 和 本 声 明 。 否 则 将 追 究 法 律 责 任 。http:/ 网管员必读 网络管理（第 2 版）一书。6.1.4 Active Directory 中的访问控制为达到安全目的，管理员可使用访问控制来管理对共享资源的用户访问权。在 Ac

2、tive Directory 中，访问控制是通过为对象设置不同的访问级别或权限（如“完全控制 ”、“写入”、“读取” 或“拒绝访问”），在对象级别进行管理的。Active Directory 中的访问控制定义了不同的用户可如何使用 Active Directory 对象。在默认情况下，Active Directory 中对象的权限被设置为最安全的设置。在 Active Directory 对象上定义访问控制权限的元素包括安全描述符、对象继承和用户身份验证。1安全描述符安全描述符是一种数据结构，包含与受保护的对象相关联的安全信息。安全描述符包括有关对象所有者、能访问对象的人员及其访问方式，以及受审核的访问类型等方面的信息。访问控制权限被指派给共享资源和 Active Directory 对象，以控制不同的用户如何访问每个对象 。 共 享 对 象 （ 或 称 共 享 资 源） 是 为 了 让 一 个 或 多 个 用 户 通 过 网 络 使 用 的 对 象 ， 包 括 文 件 、 打 印 机 、 文 件 夹和 服 务 。 共 享 对 象 和 Active Directory 对象都在安全描述

3、符中存储访问控制权限。安全描述符包含两个访问控制列表（ACL），用于指派和跟踪每个对象的安全信息，它们是：随机访问控制列表（DACL）和系统访问控制列表（SACL）。1）随机访问控制列表（DACL）随机访问控制列表（DACL）是对象的安全描述符的一部分，它能赋予或拒绝特定用户和组对该对象的访问权。只有对象的所有者才能更改在 DACL 中赋予或拒绝的权限，这就表示此对象的所有者可以自由访问该对象。DACL 标识已被指派或拒绝对某个对象的访问权限的用户和组。如果 DACL未明确标识某个用户或用户所属的任何组，则该用户将被拒绝访问此对象。在默认情况下，DACL 由对象的所有者或创建此对象的人控制，它包含决定此对象的用户访问权的访问控制项（ACE）。2）系统访问控制列表（SACL）系统访问控制列表（SACL）也是对象的安全描述符的一部分，指定了每个用户或组中要审核的事件。审核事件的例子是文件访问、登录尝试和系统关闭。SACL 标识当其成功访问或未能访问某个对象时要审核的用户和组。审核可用来监视与系统或网络安全相关的事件、标识违反安全情况，以及确定任何损害的范围和位置。在默认情 况 下 ， SA

4、CL 由对象的所有者或创建此对象的人控制。S ACL 包含访问控制项（A CE），决定是否记录用户使用给定权限（例如，“完全控制 ”和“读取”）访问对象时的成功或失败尝试。 要使用“Active Directory 用户和计算机”管理工具查看 Active Directory对象的 DACL 和 SACL，可执行 【查看】【高级功能 】菜单操作，然后在对象属性对话框中选择“安全” 选项卡，如图 6-1 所示。在这里就可以查看对象的 DACL 了。 SACL 的查看可通过在图 6-1 所示对话框中单击【高级】按钮，在打开的对话框选择“审核” 选项卡进行，如图 6-2 所示。还可以使用 DSACLS 支持工具来管理 Active Directory 中的访问控制列表。详细信息，请参阅本章后面的“Active Directory 支持工具” 。 图 6-1 Active Directory 对象属性对话框“安全” 选项卡 图 6-2 对象的高级安全设置“审核”选项卡 默认情况下，DACL 和 SACL 与每个 Active Directory 对象关联，这样可减少恶意用户对网络的攻击或域用户

5、的任何意外错误对网络的影响。但是，如果恶意用户获得了具有管理凭据的任何账户的用户名和密码，他的林就会受到攻击的威胁。因此，可考虑重命名或禁用默认管理员账户，并遵循最佳操作中所描述的最佳操作来执行。2对象继承默认情况下，Active Directory 对象从位于其父容器对象中的安全描述符继承 ACE。继承可 以 使 Active Directory 中某个容器对象中定义的访问控制信息应用到任何次对象（包括其他容器及其对象）的安全描述符。这样就消除了每次创建子对象时都要应用权限的需要，必要时，可以更改继承的权限。然而，作为最佳操作，应避免更改 Active Directory 对象的默认权限或继承设置。更改权限继承的方法就是不要选择“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目。”复选框，这与 NTFS 访问权限的继承类似。3用户身份验证Active Directory 还验证和授权用户、组和计算机访问网络上的对象。本地安全机构（LSA）是负责本地计算机上所有交互式用户身份验证和授权服务的安全子系统。LSA 还可用于处理在 Active Directory 中通

6、过 Kerberos V5 协议或 NTLM 协议提出的身份验证请求。 一旦在 Active Directory 中确认某个用户的标识之后，进行身份验证的域控制器上的 LSA 将生成一个用户访问令牌，并使某个安全 ID（SID）与该用户相关联。1）访问令牌当用户进行身份验证时，LSA 为该用户创建一个安全访问令牌。访问令牌包含用户的名称、用户所属的组、用户的 SID，以及用户所属组的所有 SID。如果在已发出用户存取令牌之后将某个用户添加到组中，则用户必须注销并再次登录之后才能更新访问令牌。2）安全 ID（SID）Active Directory 在创建 SID 时自动将其指派为安全主体对象。安全主体是 Active Directory 中的账户，可为其指派权限，如计算机、组或用户账户。当 SID 颁发给经过身份验证的用户之后，它就附加在该用户的访问令牌上。访问令牌中的信息用于确定用户在试图访问对象时的访问级别。访问令牌中的 SID 将与组成该对象的 DACL 的 SID 列表相比较，以确保用户有足够的权限访问该对象。这是因为访问控制过程按 SID 而不是按名称来标识用户账户。当域控制

7、器为用户提供访问令牌时，如果本地域组对于域控制器的域是本地的，那么该访问令牌只包含有关本地域组中成员身份的信息。对于复制到全局编录中的域目录对象，这种情况需要特定的安全考虑。全局编录的复制可确保整个林中的用户能够快速访问有关林中每个对象的信息。构成全局编录的默认属性提供了最常搜索的属性的基线，这些属性作为正常 Active Directory 复制的一部分被复制到全局编录中。全局编录的复制拓扑是由信息一致性检查器（KCC）自动生成的。但是，全局编录仅复制到已被指派为全局编录的其他域控制器。全局编录复制既受标记为包含到全局编录中的属性的影响，又受通用组成员身份的影响。本文出自 “王达博客” 博客，请务必保留此出处 http:/ 利用 CSVDE 命令实现域用户账户的批量添加示例 下一篇 RedHat AS 4.0 DNS 服务器配置示例 类别：图书精彩内容试读 技术圈( 2) 阅读( 4319) 评论( 0) 推送到技术圈 返回首页 相关文章Active directory 灾难恢复控制器降级失败后如何删除 Active Directory.活动目录（Active Directory）域

8、故障解决实.在保留 DHCP 与 WSUS 的情况下修复有故障的 Activ.重磅新书 网管员必读 网络管理（.Security functions of common Active Direc.Active Directory 边界利用 CSVDE 命令实现域用户账户的批量添加示例ActiveX 技术在 WEB 页上的应用New Windows Vista Includes ActiveSync文章评论 发表评论 昵 称：登录 快速注册 验证码：请点击后输入验证码 博客过 2 级，无需填写验证码内 容：茶乡浪子博客统计信息51cto 专家博客 51cto 博客之星 用户名：茶乡浪子文章数：275评论数：1694访问量：763398无忧币：14551博客积分：10183博客等级：9 注册日期：2006-10-15距离博客争夺赛结束还有 2 天热门文章 我的十年创作之路（一） 网管成长路线建议 PPPoE 工作原理与帧格式 ISDN 的网络连接方式和功. 新时代网管的十二大主要. 网工练习题（二） “网工”可以跳越“网管. “网管”与“杂工 ” “态度决定一切 ”随想 网工练习题( 一

9、) 脱离实际的网管员软考 是什么造成了网管员的低. 我的十年创作之路(三) . 测试一下你对 IP 地址的掌. 网管员应掌握好的学习方法 网管员必读系列丛书. 我的十年创作之路（二）. 广域网结构和我国通信网. “有容乃大”的 Cisco“无. 传输服务原语 搜索本博客内文章提 交我的技术圈(12)更多 . 孤独网虫 routerswitch 网络沙龙 网行天下 广州技术圈 网络工程布线 最近访客qgkk51jsltww海绵zhang.tkunmingfexzizheng.liulikeppa888回忆清秋最新评论回忆清秋： 呵呵，算是长见识了谢谢分享山豆根： 无边界是一个很好的概念，其实这套.茶乡浪子： 欢迎你写出你在网管工作中的一些故.茶乡浪子： 是啊,正在考虑写一些网管行业,对网.雪地轮滑： 节能减肥是重头戏，事关我们今后的.海龟消逝： 同意几位老师的观点，也很欣赏无.悠然自得： 写文章是我的特长，还有稿费拿，好.hyy1988： cisco 竟然和节能减排联系起来了 不错guanm： 哈哈，是呀中国的 IT 很有潜力的。 baixie： 哈哈，思科也搞这些啊。 和 IB.ganqiao： 无边界网络真的能为用户节省大量设.茶乡浪子： 我这里有的,但课件只提供给学校教学.茶乡浪子：随便取的茶乡浪子： 不会吧?你看的是我的这本书?你说的.bule201： 怎么没有网络安全的课件啊。 .51CTO 推荐博文 在亚马逊云计算上搭建. MOP 社区被黑内幕

《ActiveDirectory中的访问控制》由会员宝路分享，可在线阅读，更多相关《ActiveDirectory中的访问控制》请在金锄头文库上搜索。