在Windows中若何取舍嵌套处理[Windows安全]

目前,关于利用活动目录的系统管理员来说,关于全局安全组能否应当举行嵌套处理存在着差别的看法.在本文中,信息专家里克·范欧沃将对这种做法的优缺陷举行综合解析.

很少有事情比解除权限问题招致的弊端时,却发现一个嵌套的全局安全组是罪魁祸首还重要.嵌套的全局安全组会招致很多问题呈现,分外是在回绝权限开始见效的时间.考虑到大量基于组战略回绝权限的存在,整个追查历程大概会相当烦琐.

关于活动目录域来说,你能否应当答应嵌套全局安全组的操作?乍看起来,关于大大都工具来说,对构成员举行弊端解除的相当复杂的.很多工具都有报告的权利,但假如这里存在一个嵌套组的话,就不是必须的了,比构成员的情形更简单.

我很想说禁止对构成员举行嵌套处理,但只有在无意的情形下,这种做法才有意义.按照个人对专业管理的熟习,在限制嵌套构成员方面,我倡议利用下面的指导法则:

1、禁止构成员举行超越两级的嵌套.

2、一个安全组内的“成员”不能有超越两种设置属性.

3、嵌套的安全组将不能包含拥有回绝权限的指定群体.

4、嵌套的全局安全组不能是一个拥有高级权限的组.

这是基本原则,但并不意味着对嵌套全局安全组的全部有效利用举行全面限制.这些指导的关键是权限最低原则,不增添弊端解除历程的负担,并且削减由于权限以外过度分配带来的风险.限制嵌套组的利用也将有助于避免与令牌大小有关的问题呈现.

关于无意情形下呈现的问题,最好的例子就是,当你需求向全局安全组中增添一个计算机账户时,假如用户帐户和计算机帐户在同一个安全组混合,情形 就会变得对比难办.另一种情形会在内置组(来自本地计算机系统)在和域用户帐户相结合以便举行单独处理的时间发生.在这些情形中,嵌套操作可以象别的工具 一样对特定配置举行有效的处理.

你能否利用过带各种等级的嵌套安全组?假如答案是必定的话,请奉告我们你是在何种情形下以及什么时间利用它的. 　　以上是“在Windows中若何取舍嵌套处理[Windows安全]”的内容，如果你对以上该文章内容感兴趣，你可以看看七道奇为您推荐以下文章：