国防《网络安全与管理》教学资料包 课后习题答案 第6章 .pdfVIP

第6 章 Windows Server 2003 系统安全配置 课后习题参考答案 一、名词解释 1.访问控制 （Access Control ）是指对主体访问客体的权限或能力的限制，以及限制进入物理 区域（出入控制）和限制使用计算机系统和计算机存储数据的过程（存取控制）。 2.活动目录（active directory，AD ）是一种目录服务，用于存储网络资源信息并使用户的应 用程序能够访问这些资源。 3.域可以用于表示对象的层次结构，并表示这些对象之间的父子关系。因此，域树实际上是 父域和子域之间的关系。位于域树最顶层的域叫做根域。 二、填空题 1.拒绝访问ACE 、允许访问ACE 、系统审核ACE 2.本地用户账号、域用户账号、内置的用户账号 三、思考题 1.活动目录（active directory，AD ）是一种目录服务，用于存储网络资源信息并使用户的应 用程序能够访问这些资源。目录服务提供了统一的命名、描述、查找、访问和管理网络资源 的方法，它还为网络资源提供了安全保障。在活动目录中，资源是作为对象进行管理的。对 象代表了各种物理资源，如计算机、打印机和用户等。 活动目录的功能可以简单概括为以下几个方面。 （1）目录服务功能 （2 ）集中式管理 （3 ）DNS 与活动目录名称空间的集成 2.组策略是一种在用户或计算机集合上强制使用一些配置的方法，使用组策略可以给同组的 计算机或者用户强加一套统一的标准，包括管理模板设置、Windows 设置、软件设置。 组策略则将系统重要的配置功能（对注册表的修改设置）汇集成各种配置模块，供管理 人员直接使用，从而达到方便管理计算机的目的。 3.在“Active Directory 用户和计算”窗口中新建组和用户。 4.本地计算机中的组通常只用于管理本地计算机上的用户账户或组。 创建域组时，域中可选择组的类型有安全组和通讯组。 （1）安全组：可以显示在随机访问控制列表（DACL ）中的组，DACL 用于定义对资 源和对象的权限。“安全组”也可用做电子邮件实体，给安全组发送电子邮件的同时也会将 该邮件发给组中的所有成员。 （2 ）通讯组：仅用于分发电子邮件并且没有启用安全性的组。不能将通讯组显示在用 于定义资源和对象权限的自主访问控制列表中。通讯组只与电子邮件应用程序一起使用，以 便将电子邮件发送到用户集合。如果因为安全目的并不需要组，可以选择创建通讯组而不要 创建“安全组”。