|
目前,对于使用活动目录的系统管理员来说,对于全局安全组是否应该进行嵌套处理存在着不同的意见。在本文中,信息专家里克·范欧沃将对这种做法的优缺陷 进行综合剖析 。
很少有事情比排除权限问题导致的问题 时,却发现一个嵌套的全局安全组是罪魁祸首还重要。嵌套的全局安全组会导致很多问题出现,特别是在回绝 权限开始生效的时间。考虑到大量基于组策略回绝 权限的存在,整个清查 过程可能会相当繁琐。
对于活动目录域来说,你是否应该允许 嵌套全局安全组的操作?乍看起来,对于大多数工具来说,对组成员进行问题 排除的相当复杂的。很多工具都有报告的权利 ,但假如 这里存在一个嵌套组的话,就不是必须的了,比组成员的状况 更简单。
我很想说禁止对组成员进行嵌套处理,但只有在偶尔 的状况 下,这种做法才有意义。依据 个人对专业管理的认识,在限制嵌套组成员方面,我建议使用下面的指导规则:
1、禁止组成员进行超越 两级的嵌套。
2、一个安全组内的“成员”不能有超越 两种设置属性。
3、嵌套的安全组将不能包含具有 回绝 权限的指定群体。
4、嵌套的全局安全组不能是一个具有 高级权限的组。
这是基本原则,但并不意味着对嵌套全局安全组的一切 有效使用进行全面限制。这些指导的关键是权限最低原则,不增加问题 排除过程的担负 ,并且减少由于权限以外过度分配带来的风险。限制嵌套组的使用也将有助于避免 与令牌大小有关的问题出现。
关于偶尔 状况 下出现的问题,最好的例子就是,当你需要. 向全局安全组中添加一个计算机账户时,假如 用户帐户和计算机帐户在同一个安全组混合,状况 就会变得比较难办。另一种状况 会在内置组(来自本地计算机系统)在和域用户帐户相分离 以便进行单独处理的时间发作 。在这些状况 中,嵌套操作可以象其它工具 一样对特定配置进行有效的处理。
你是否使用过带各种等级的嵌套安全组?假如 答案是肯定的话,请告诉我们你是在何种状况 下以及什么时间使用它的。
|
|
|
|
|
|
|