<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US">以下內容摘自筆者編著的<a target="_blank"><font color="#0000ff" size="2">《網管員必讀——網絡管理》(第2版)</font></a>一書。</span></chsdate>
<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US"></span></chsdate>
<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US">6.1.4 <span style="mso-spacerun: yes"></span>A</span></chsdate>
ctive Directory
中的訪問控制
為達到安全目的,管理員可使用訪問控制來管理對共享資源的用戶訪問權。在
Active Directory
中,訪問控制是通過為對象設置不同的訪問級別或權限(如“完全控制”、“寫入”、“讀取”或“拒絕訪問”),在對象級別進行管理的。
Active Directory
中的訪問控制定義了不同的用戶可如何使用
Active Directory
對象。在默認情況下,
Active Directory
中對象的權限被設置為最安全的設置。在
Active Directory
對象上定義訪問控制權限的元素包括安全描述符、對象繼承和用戶身份驗證。
1
.安全描述符
安全描述符是一種數據結構,包含與受保護的對象相關聯的安全信息。安全描述符包括有關對象所有者、能訪問對象的人員及其訪問方式,以及受審核的訪問類型等方面的信息。
訪問控制權限被指派給共享資源和
Active Directory
對象,以控制不同的用戶如何訪問每個對
象。共享對象(或稱共享資源)是為了讓一個或多個用戶通過網絡使用的對象,包括文件、打印機、文件夾和服務。共享對象和
Active Directory
對象都在安全描述符中存儲訪問控制權
限。
安全描述符包含兩個訪問控制列表(
ACL
),用于指派和跟蹤每個對象的安全信息,它們是:隨機訪問控制列表(
DACL
)和系統訪問控制列表(
SACL
)。
1
)隨機訪問控制列表(
DACL
)
隨機訪問控制列表(
DACL
)是對象的安全描述符的一部分,它能賦予或拒絕特定用戶和組對該對象的訪問權。只有對象的所有者才能更改在
DACL
中賦予或拒絕的權限,這就表示此對象的所有者可以自由訪問該對象。
DACL
標識已被指派或拒絕對某個對象的訪問權限的用戶和組。如果
DACL
未明確標識某個用戶或用戶所屬的任何組,則該用戶將被拒絕訪問此對象。在默認情況下,
DACL
由對象的所有者或創建此對象的人控制,它包含決定此對象的用戶訪問權的訪問控制項(
ACE
)。
2
)系統訪問控制列表(
SACL
)
系統訪問控制列表(
SACL
)也是對象的安全描述符的一部分,指定了每個用戶或組中要審核的事件。審核事件的例子是文件訪問、登錄嘗試和系統關閉。
SACL
標識當其成功訪問或未能訪問某個對象時要審核的用戶和組。審核可用來監視與系統或網絡安全相關的事件、標識違反安全情況,以及確定任何損害的范圍和位置。在默認
情況下,
SACL
由對象的所有者或創建此對象的人控制。
SACL
包含訪問控制項(
ACE
),決
定是否記錄用戶使用給定權限(例如,“完全控制”和“讀取”)訪問對象時的成功或失敗嘗試。
要使用“
Active Directory
用戶和計算機”管理工具查看
Active Directory
對象的
DACL
和
SACL
,可執行【查看】
→
【高級功能】菜單操作,然后在對象屬性對話框中選擇“安全”選項卡,如圖
6-1
所示。在這里就可以查看對象的
DACL
了。
SACL
的查看可通過在圖
6-1
所示對話框中單擊
【
高級
】
按鈕,在打開的對話框選擇“審核”選項卡進行,如圖
6-2
所示。還可以使用
DSACLS
支持工具來管理
Active Directory
中的訪問控制列表。詳細信息,請參閱本章后面的“
Active Directory
支持工具”。
圖
6-1
Active Directory
對象屬性對話框“安全”選項卡
圖
6-2
對象的高級安全設置“審核”選項卡
默認情況下,
DACL
和
SACL
與每個
Active Directory
對象關聯,這樣可減少惡意用戶對網絡的攻擊或域用戶的任何意外錯誤對網絡的影響。但是,如果惡意用戶獲得了具有管理憑據的任何賬戶的用戶名和密碼,他的林就會受到攻擊的威脅。因此,可考慮重命名或禁用默認管理員賬戶,并遵循最佳操作中所描述的最佳操作來執行。
2
.對象繼承
默認情況下,
Active Directory
對象從位于其父容器對象中的安全描述符繼承
ACE
。繼承
可以使
Active Directory
中某個容器對象中定義的訪問控制信息應用到任何次對象(包括其他容器及其對象)的安全描述符。這樣就消除了每次創建子對象時都要應用權限的需要,必要時,可以更改繼承的權限。然而,作為最佳操作,應避免更改
Active Directory
對象的默認權限或繼承設置。更改權限繼承的方法就是不要選擇“允許父項的繼承權限傳播到該對象和所有子對象。包括那些在此明確定義的項目。”復選框,這與
NTFS
訪問權限的繼承類
似。
3
.用戶身份驗證
Active Directory
還驗證和授權用戶、組和計算機訪問網絡上的對象。本地安全機構(
LSA
)是負責本地計算機上所有交互式用戶身份驗證和授權服務的安全子系統。
LSA
還可用于處理在
Active Directory
中通過
KerberosV5
協議或
NTLM
協議提出的身份驗證請求。
一旦在
Active Directory
中確認某個用戶的標識之后,進行身份驗證的域控制器上的
LSA
將生成一個用戶訪問令牌,并使某個安全
ID
(
SID
)與該用戶相關聯。
1
)訪問令牌
當用戶進行身份驗證時,
LSA
為該用戶創建一個安全訪問令牌。訪問令牌包含用戶的名稱、用戶所屬的組、用戶的
SID
,以及用戶所屬組的所有
SID
。如果在已發出用戶存取令牌之后將某個用戶添加到組中,則用戶必須注銷并再次登錄之后才能更新訪問令牌。
2
)安全
ID
(
SID
)
Active Directory
在創建
SID
時自動將其指派為安全主體對象。安全主體是
Active Directory
中的賬戶,可為其指派權限,如計算機、組或用戶賬戶。當
SID
頒發給經過身份驗證的用戶之后,它就附加在該用戶的訪問令牌上。
訪問令牌中的信息用于確定用戶在試圖訪問對象時的訪問級別。訪問令牌中的
SID
將與組成該對象的
DACL
的
SID
列表相比較,以確保用戶有足夠的權限訪問該對象。這是因為訪問控制過程按
SID
而不是按名稱來標識用戶賬戶。
|
<shape id="_x0000_i1027" style="WIDTH: 42pt; HEIGHT: 31.5pt" type="#_x0000_t75"><imagedata src="file:///D:%5CDOCUME~1%5Cwinda%5CLOCALS~1%5CTemp%5Cmsohtml1%5C01%5Cclip_image005.jpg" o:title="注意"></imagedata></shape>
|
當域控制器為用戶提供訪問令牌時,如果本地域組對于域控制器的域是本地的,那么該訪問令牌只包含有關本地域組中成員身份的信息。對于復制到全局編錄中的域目錄對象,這種情況需要特定的安全考慮。
全局編錄的復制可確保整個林中的用戶能夠快速訪問有關林中每個對象的信息。構成全局編錄的默認屬性提供了最常搜索的屬性的基線,這些屬性作為正常
Active Directory
復制的一部分被復制到全局編錄中。
全局編錄的復制拓撲是由信息一致性檢查器(
KCC
)自動生成的。但是,全局編錄僅復制到已被指派為全局編錄的其他域控制器。全局編錄復制既受標記為包含到全局編錄中的屬性的影響,又受通用組成員身份的影響。
|
Active Directory中的訪問控制