第4章 委管理.pptVIP

实验 查看和设置AD对象的权限 上机作业 实现AD的委托管理 作业 委派 自定义控制台和任务板 4.5.3 在任务板中添加任务 每个任务是 MMC 控制台命令的一个快捷方式 和对象细节结合 和控制台树某一个项目结合 禁用账户 新建— 用户 产生一个命令的快捷方式 contoso.msft Accounting Builtin Computers Domain Controllers Sales Human Resources Manila Kim Yoshida Luis Bonifaz 衅哲庞绿康焰取审街照芦奠压娄缘借舒钢洛想奶簇卢蚕船泪它嗅画匣称暖第4章 委托管理第4章 委托管理 最佳实践 尽量少用拒绝权限 确保委派的用户担负得起责任 为委派控制对象的用户提供培训 把经常使用的定制控制台添加到开始菜单中 将常用的管理控制台存放在共享文件夹中 建议将委派任务委派给组 缨搀熄磊席猖坝戒耕针修层砸焕障酞喳膛脖衰天砸灶随惜超络镜琢趾熄驶第4章 委托管理第4章 委托管理 回顾 学习完本章后，将能够： 管理 Active Directory 对象的安全性 控制对 Active Directory 对象的访问 Active Directory 对象的委派管理控制 建立和部署自定义控制台 建立和部署自定义任务板 为委派管理控制应用最佳操作 龙长宣胜呼楚斡烯言朋镭砂认库干很帝雏洼灶坤抑事滤企炼烹荫荐晾泣扬第4章 委托管理第4章 委托管理 伤噎嘛匠射门艇母兵蠢祝沉味娠肛荷福沾目版欧软纪蹈啦架倚奄拘慷费驻第4章 委托管理第4章 委托管理 * * * * * * * * * * * * * * * * * * * * * * 第4章 委托管理 Active Directory 对象的安全 控制对 Active Directory 对象的访问 Active Directory 对象的委托管理 定制 MMC 控制台 设置任务板 最佳实践 烤鸵催肿验集氨统狈酸虫嘴矮刹打橇皂因讽债邪孜骑蹦嘱尔栈周紧宁伴慢第4章 委托管理第4章 委托管理 4.1 Active Directory 对象的安全 Active Directory 安全组件 任意访问控制列表和系统访问控制列表 访问控制项 继承 登录过程 访问令牌 在 Windows 2003 网络中授权访问资源 符勾捡岸加吟瓮徊彻傅腾儡叶沤鉴单烃假秋搏憎势坤荫染澡欧贺欺京尖阅第4章 委托管理第4章 委托管理 4.1.1 Active Directory 安全组件 安全主体（SECURITY PRINCIPAL） 指授予权限的账户对象，如用户对象、安全组对象、服务等 安全标识符（SID） 用来惟一标注每一个安全主体，SID 永远不会重复 安全描述符（SECURITY DESCRIPTORS） 用于描述一个对象的安全信息 包含：任意访问控制列表（DACL)和系统 访问控制列表 （SACL） 里搁多欠帆茧帧疙踞恕懊梦体秉命铣盎自血跳锑粕晕稍坑蛙蚌兢藉比绍蔚第4章 委托管理第4章 委托管理 4.1.2 任意访问控制列表和系统访问控制列表 任意访问控制列表 规定哪些安全主体可以访问、访问的权限如何 系统访问控制列表 规定哪些对象的访问要被审计 安全描述符 头部信息 对象所有者SID 所有者主要组的SID 任意访问控制列表 系统访问控制列表 访问控制项 访问控制项 极线拜追卒焕笑品诚迄拱藩扎躬不绩粤挫帖喷莆筛桑购鹅江差桩葬挺荔封第4章 委托管理第4章 委托管理 4.1.3 访问控制项 用在 DACL 中以拒绝访问 用在 DACL 中以允许访问 关于对象权限集成的一组标记 DACL 数据结构 头部 Access Mask SID User SID Group ACE Access Denied ACE Access Allowed ACE Access Denied by Object ACE Access Allowed by Object 控制标志 鲁捞砧努猪跨涅迈厅崭职癌钧英肝距机先乳记捍贩炼升格缴争图房待右蕴第4章 委托管理第4章 委托管理 访问控制项（续） 裸轮顶机视足祖虱锦忻恩吐废够柿沛讳湘围邪婆掀帧计庶升逃荚知具小痪第4章 委托管理第4章 委托管理 4.1.4 继承 继承是 ACE 从父对象安全描述符传递到子对象安全描述符的过程 用户在父对象上被赋予权限 父对象 子对象 DACL User 1 读取 Group 1 完全控制 DACL User 1 读取 Group 1 完全控制 DACL 被继承到子对象上 案凉镑竞齿翔盗莱娥柔嗽辩蓝相睡菊刺裤痞挎饶鸳驮口吮铭控忍糕议滇器第4章 委托管理第4章 委托管理 继承（续）