Windows 2003 Active Diretory全攻略(八)--组策略(1)
|
勾选拒绝,表示不赋予权限给用户、计算机或组。都不勾选,则表示隐含拒绝。代表一种强有力较弱的拒绝,无法覆盖允许。以DEFAULT DOMAIN POLICY应用于ADMINISTRATOR帐户的默认情形为例。ADMINISTRATOR同时隶属于AUTHENTICATED USERS 、DOMAIN ADMINS、与ENTERPRISE ADMINS三个组,后两个组对于DEFAULT DOMIAN POLICY 没设置允许或拒绝,属于隐含拒绝。但是AUTHENTICATED USERS 组、对于DEFAULT DOMAIN POLICY 有读取和应用组策略两项权限,所以ADMINISTRATOR 还是受到该组策略的约束。 通常规划组策略时,有两种逻辑:1、策略允许,例外拒绝:保留对AUTHENTICATED USERS组,让所有登录域的人都应用组策略。再针对特定的组拒绝应用组策略,这种方式相当于先关闭大门,再逐一过滤放行,安全较高。2、策略拒绝,例外允许:自ACL中删除AUTHENTICATED USERS组,让所有登录域的人都不应用组策略,然后对于需要应用组策略的组和用户,个别”允许读取“与”允许应用组策略两项权限,两项权限,这咱方式相当于先敞开大门,再逐一过滤拦阻,稍有疏失便产生漏网之鱼,安全性较差,建议少用。 委派控制GPO: 要将管理GPO的工作委派给特定的用户,必须按照如下步骤:1、委派“建立GPO连接关系”的权限,利用委派控制向导将管理组策略连接授权给特定的用户。2、委派“新建与删除GPO”的权限,将用户帐户加入GROUP POLICY CREATOR OWNER组,便也能使他获得新建与删除GPO的权限。注意这两步骤不能颠倒,否则无法委派成功。 委派建立GPO连接关系的权限 假设要将建立GPO连接关系的权限委派给李小龙。
点委派控制。
(编辑:佛山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
