Asp的安全管理(11)

來源:互聯網
上載者:User
安全 附錄 B:存取原則最佳方案
ASP 的組策略對象 (GPO) 的最佳配置方案
在基於 Windows 2000 Active Directory 的 ASP 企業環境中工作時,認真設計策略非常重要,它可以最大程度地減少冗餘和重新定義,並最大程度地增加可管理性。遺憾的是,這兩個目標可能發生矛盾。要減少冗餘和重新定義,ASP 應當設法定義非常詳盡的 GPO。而增加可管理性,ASP 的 GPO 數目應當少。減少與各種範疇相關的 GPO 數對效能也很關鍵。要達到平衡,需花費一定的時間來設計 ASP 的基本結構中的策略規劃。

完成一個有組織規劃的步驟包括:

將策略進行邏輯分組。例如,帳號策略組成一個邏輯組。
用包含可能的策略值的不同原則設定,為每個邏輯分組定義一個或多個 GPO。例如,可以有一個包含不同域的帳號策略的 GPO 和另一個針對伺服器和案頭上本地帳戶的 GPO。
使用組織單元 (OU) 將電腦分到層次樹結構中。這種劃分應當依據角色 — 即各台電腦的目的和功能。例如,預設情況下,所有網域控制站應放在網域控制站 OU 中,以使它們具有一致的策略。
通常,每個 OU 應當映射到對整個 OU 中所有電腦都適用的某個策略。這可能非常棘手,因為 OU 可定義 ASP 的管理層次以及 ASP 的地理分布。但是,ASP 的策略定義時常會覆蓋公司和地理分布。

當 ASP 想要將策略應用到整個 ASP 組織的電腦子集時,ASP 可執行下列操作:

在 ASP 的不同部分建立子 OU,以便將特定的策略分配給這些子 OU 中的每一個。
如果 ASP 不想建立縱深的 OU,他可用 GPO 的基於許可權的篩選機制來確定在給定的 OU 中特定的 GPO 適用於哪些電腦。
安全性原則的優先順序
瞭解與 Active Directory 域和 OU 相關的安全性原則的優先順序非常重要,因為它們優先於本地層級建立的策略。與 Active Directory 域和 OU 相關的 ASP 安全性原則的預設優先順序通常和組策略相同。從最低到最高的優先順序如下:

本地策略
域策略
OU 策略
本地策略(對電腦本身定義的策略)優先順序最低,而與直接包含電腦的 OU 相關策略的優先順序最高。

因此,域的策略優先於本地定義的策略。瞭解這一點很重要,因為它所導致的結果與以前版本 Windows NT 中所看到的現象大不相同。例如,佈建網域 OU 的密碼原則時(如同預設情況),對該域中的每台電腦都配置了這些密碼原則。這意味著域中的本地帳戶資料庫(個別工作站上)具有和域本身一樣的密碼原則。在 Windows NT 4.0 中,為域定義的密碼原則不影響成員工作站和伺服器上的本地帳戶資料庫的密碼原則。

存取控制
Active Directory 可大大簡化在容器、組、使用者、電腦和其它資來源物件的整個樹層次內分配許可權和特權的分發工作。

要想充分利用這一點,需按下列常用規範操作:

在組的基礎上分配使用者權限。
依賴於組分配的繼承性。由於直接維護使用者帳戶效率不高,因而一般不在使用者的基礎上分配許可權。
盡量在容器數的高處指定許可權。這樣可以用最少的工作量獲得最好的效果。建立的許可權應當適合多數安全規則。
應用繼承性在整個容器樹中傳播許可權。就像在樹的較進階別應用存取控制可提供範圍廣度一樣,繼承可提供深度訪問。ASP 可快速有效地將存取控制應用到父物件的所有子物件。
將容器的管理委派給管理這些容器所在電腦的 ASP 和客戶管理員。通過委派授權來管理容器的許可權,ASP 可分散管理操作和問題。這樣,通過分配離服務點更近的管理,可以降低總擁有成本。
在 ASP 中部署 Windows 2000 時,它們必須針對正在使用的預設安全層級。
Windows 2000 對全新安裝的系統定義三種安全層級 — Users、Power Users 和 Administrators。預設情況下,所有終端使用者(內部和客戶)都是“Users”組的成員,如果 ASP 只打算運行認證的 Windows 2000 的應用程式,這是可行的。但是,如果 ASP 需要支援未經 Windows 2000 認證的應用程式,則他們必須進行下列操作:
使所有終端使用者都成為“Power Users”而不是“Users”。
修改預設的安全設定來增加授予“Users”的許可權。
這些步驟中的任何一個都可作為整個 ASP 安全性原則的一部分來實施,或作為安裝過程的一部分應用於個別電腦。與 Windows 2000 Server 一起提供了一個安全模板,它為使用者“設立”適當的安全層級。

該模板位於:systemroot\security\templates\compatws.inf

對於從 Windows NT 升級到 Windows 2000 的電腦,還有其它方面的問題。

在升級期間不修改安全性,因此升級後,未經 Windows 2000 評鑑的應用程式無需修改即可繼續運行。
如果 ASP 想升級電腦來使用新的 Windows 2000 安全預設值,則在下列目錄中提供 Windows 2000 預設的安全設定:systemroot\security\templates\basicwk.inf.



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。