科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理安全管理:在Windows安全组中如何取舍嵌套处理

安全管理:在Windows安全组中如何取舍嵌套处理

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

目前,对于使用活动目录的系统管理员来说,对于全局安全组是否应该进行嵌套处理存在着不同的意见。在本文中,信息专家里克·范欧沃将对这种做法的优缺点进行综合分析。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2010年10月19日

关键字: 安全策略 Windows 系统安全 企业安全

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

目前,对于使用活动目录的系统管理员来说,对于全局安全组是否应该进行嵌套处理存在着不同的意见。在本文中,信息专家里克·范欧沃将对这种做法的优缺点进行综合分析。
-----------------------------------------------------------------------------------------

  很少有事情比排除权限问题导致的故障时,却发现一个嵌套的全局安全组是罪魁祸首还重要。嵌套的全局安全组会导致很多问题出现,特别是在拒绝权限开始生效的时间。考虑到大量基于组策略拒绝权限的存在,整个追查过程可能会相当繁琐。

  对于活动目录域来说,你是否应该容许嵌套全局安全组的操作?乍看起来,对于大多数工具来说,对组成员进行故障排除的相当复杂的。很多工具都有报告的权力,但如果这里存在一个嵌套组的话,就不是必须的了,比组成员的情况更简单。

  我很想说禁止对组成员进行嵌套处理,但只有在偶然的情况下,这种做法才有意义。根据个人对专业管理的认识,在限制嵌套组成员方面,我建议使用下面的指导规则:

  1、禁止组成员进行超过两级的嵌套。

  2、一个安全组内的“成员”不能有超过两种设置属性。

  3、嵌套的安全组将不能包含拥有拒绝权限的指定群体。

  4、嵌套的全局安全组不能是一个拥有高级权限的组。

  这是基本原则,但并不意味着对嵌套全局安全组的所有有效使用进行全面限制。这些指导的关键是权限最低原则,不增加故障排除过程的负担,并且减少由于权限以外过度分配带来的风险。限制嵌套组的使用也将有助于防止与令牌大小有关的问题出现。

  关于偶然情况下出现的问题,最好的例子就是,当你需要向全局安全组中添加一个计算机账户时,如果用户帐户和计算机帐户在同一个安全组混合,情况就会变得比较难办。另一种情况会在内置组(来自本地计算机系统)在和域用户帐户相结合以便进行单独处理的时间发生。在这些情况中,嵌套操作可以象其它工具一样对特定配置进行有效的处理。

  你是否使用过带各种等级的嵌套安全组?如果答案是肯定的话,请告诉我们你是在何种情况下以及什么时间使用它的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章