活动目录_06c.pptVIP

第六章委派管理控制 概述 活动目录中对象的安全性 控制对活动目录对象的访问 委派对活动目录对象的管理控制 MMC控制台的定制 设置任务面板 最佳方案 活动目录中对象的安全性 活动目录安全组件 访问控制列表 访问控制项 继承 登录过程 访问标记 Windows 2000 如何授权对资源的访问 活动目录安全组件 访问控制列表 访问控制项 继承 登录过程 访问标记 Windows 2000 如何授权对资源的访问 控制对活动目录对象的访问 活动目录权限 控制权限继承 设置活动目录权限 对象所有权 改变对象所有权 活动目录权限 控制权限继承 设置活动目录权限 对象所有权 改变对象所有权 所有权改变: 当前的所有者可以把修改所有权的权限分配给其它用户 域管理员组的成员可以夺取域中任何对象的所有权 委派对活动目录对象的管理控制 委派管理控制综述 使用委派控制向导 委派管理控制的原则 委派管理控制综述 委派管理的方式: 改变特定容器的属性 建立和删除组织单元中某种具体类型的对象 更新组织单元中某种具体类型对象的某种具体属性 使用委派控制向导 委派管理控制的原则 Lab A: Delegating Administrative Control 管理控制台（MMC） 的定制 建立定制的MMC控制台 分配定制的MMC控制台 安装WIN2000的管理单元 建立定制的MMC控制台 分配定制的MMC控制台 安装WIN2000的管理单元 设置任务面板 什么是任务面板? 建立和配置任务面板 在任务面板中添加任务 什么是任务面板? 任务面板: 一种定制的管理工具 包含MMC控制台中的具体命令的快捷方式 优点是: 便于新用户开展工作 使复杂任务简单化 建立和配置任务面板 在任务面板中添加任务 最佳方案 Lab B: Creating Custom Administrative Tools 复习 活动目录中对象的安全性 控制对活动目录对象的访问 委派对活动目录对象的管理控制 MMC控制台的定制 设置任务面板 最佳方案 Please touch up this graphic. 安全主体 包含用户、安全组和计算机帐户 由唯一的安全标识符所标识 安全标识符 (SIDs) 用来唯一标识安全主体 不能重复使用 安全描述符 包含与安全主体相关的安全信息 包含访问控制列表（DACL）和系统访问控制 列表（SACL） 访问控制列表 (DACL) 用来标识安全主体是否可以访问特定对象，以及允许访问或拒绝访问的深度 系统访问控制列表 (SACL) 用于控制对对象访问的核查 安全描述符 Header Owner SID Group SID DACL SACL ACEs ACEs 在DACL中，用来拒绝访问 在DACL中，用来允许访问 在DACL中，用来允许或拒绝对对象或对象组的访问，或用来限制指定类型的子对象的继承 DACL 数据结构 Header Access Mask SID User SID Group ACE Access Denied ACE Access Allowed ACE Access Denied by Object ACE Access Allowed by Object 控制 标记 用户为父对象分配访问权限 父对象 子对象 DACL User 1 Read Group 1 Full Control DACL User 1 Read Group 1 Full Control 子对象继承DACLs 在子对象建立的时候，不再人为地把权限应用于子对象 确保应用于父对象的权限也同时应用于子对象 确保在需要改变容器内所有对象的权限时，只需要改变父对象 权限而子对象将自动继承这些变化 确保ACE应用于活动目录对象时，在继承的ACE发生冲突之前已经应用ACE 用户登录 本地安全子系统为用户取得一个会话凭证 本地安全子系统请求一个工作站服务的会话凭证 Kerberos 发送一个工作站服务的会话凭证 本地安全子系统建立一个访问标记 用户的进程被缚上访问标记 1 2 3 4 5 6 本地 安全 子系统 域控制器 全局目录 服务器 Ticket 访问 标记 1 Ticket Ticket 2 3 4 6 建立 访问标记 5 Kerberos 服务 访问标记: 在用户登陆过程中建立，在访问对象时需要使用访问标记 包含SID ，一个唯一的标识符来代表一个用户或一个组 包含组ID，用户所属的组列表 包含用户权利，用户的特权 访问 标记 Security ID: S-1-5-21-146... Group IDs: Employees EVERYONE LOCAL User Rights: SeChangeNot