让AD更安全的五个步骤（3）

　　错误地对保护AD内容的访问控制列表(ACL)进行配置将会使AD易于受到攻击。此外，如果委派实施得越复杂，那么AD的维护和问题解决工作就越难。因此我喜欢应用简洁的设计哲学。委派实施得越简单，您的麻烦就会越少，在安全方面尤为如此。事实上，上述哲学同样适用于AD的设计，在附文“设计决定安全”中将进行详细讨论。为了保持委派的简洁，我强烈建议您阅读“Best Practices for Delegating Active Directory Administration”一文(http://tinyurl.com/vzlg)。

　　不要将权限分配给用户账号。进行委派的基本原则之一就是除非有充分的理由，否则始终将权限分配给组而不是用户。当某个被您分配权限的用户离开公司或工作职能发生改变而再不需要某些访问权限时，您需要执行哪些操作?找到某个账号被赋予的权限，取消这些权限，然后再将它们赋予另外一个用户，要比将旧账号从某个组中删掉，再将一个新账号加入到该组中的工作量大得多。即使您认为赋予特定用户的权限永远不会被赋予其他用户，我还是建议您创建一个组，将用户加入到这个组中，然后再将权限分配给这个组。

　　不要将权限分配给单独的对象。当您直接将权限分配给单独的对象时(例如一个用户或一个组对象)，事情将会变得复杂起来。上述权限需要更多的维护，并且很容易在随后被忽视。为了避免问题的发生，您应该将权限尽量多地分配给组织单元或容器。

　　记录下使用的模型。在进行权限委派时，您需要完成的重要工作之一就是记录下使用的模型。您是否建立了一个基于角色的模型?请求访问权限的过程是什么?模型是否具有特例?所有这些重要问题都应该被记录，它不仅会使维护工作变得简单，而且将确保每个人都清楚权限应该如何被分配，并可以识别出没有按照模型进行分配的权限(它将使AD易于受到攻击)。记录模型的文档格式并不重要，但应能够方便管理员查找。

　　熟悉Dsrevoke的使用。您可通过Active Directory用户和计算机程序来运行控制委派向导(Delegation of Control wizard)，它能够很好地完成初始的访问委派工作。但是使用这个向导或其他图形工具来完成委派取消工作(例如从ACL中删除分配给某个账号的所有权限)却非常麻烦。幸运的是微软发布了Dsrevoke工具，它允许您遍历域中的所有ACL，并能够删除掉您指定账号的所有访问权限。您应该熟悉这个工具，因为它能够提高委派的效率。您可以通过网址http://www.microsoft.com/downloa ... &displaylang=en免费地下载该工具。