<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US">以下內(nèi)容摘自筆者編著的<a target="_blank"><font color="#0000ff" size="2">《網(wǎng)管員必讀——網(wǎng)絡(luò)管理》(第2版)</font></a>一書。</span></chsdate>
<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US"></span></chsdate>
<chsdate isrocdate="False" islunardate="False" day="30" month="12" year="1899" w:st="on"><span lang="EN-US">6.1.4 <span style="mso-spacerun: yes"></span>A</span></chsdate>
ctive Directory
中的訪問控制
為達(dá)到安全目的,管理員可使用訪問控制來管理對(duì)共享資源的用戶訪問權(quán)。在
Active Directory
中,訪問控制是通過為對(duì)象設(shè)置不同的訪問級(jí)別或權(quán)限(如“完全控制”、“寫入”、“讀取”或“拒絕訪問”),在對(duì)象級(jí)別進(jìn)行管理的。
Active Directory
中的訪問控制定義了不同的用戶可如何使用
Active Directory
對(duì)象。在默認(rèn)情況下,
Active Directory
中對(duì)象的權(quán)限被設(shè)置為最安全的設(shè)置。在
Active Directory
對(duì)象上定義訪問控制權(quán)限的元素包括安全描述符、對(duì)象繼承和用戶身份驗(yàn)證。
1
.安全描述符
安全描述符是一種數(shù)據(jù)結(jié)構(gòu),包含與受保護(hù)的對(duì)象相關(guān)聯(lián)的安全信息。安全描述符包括有關(guān)對(duì)象所有者、能訪問對(duì)象的人員及其訪問方式,以及受審核的訪問類型等方面的信息。
訪問控制權(quán)限被指派給共享資源和
Active Directory
對(duì)象,以控制不同的用戶如何訪問每個(gè)對(duì)
象。共享對(duì)象(或稱共享資源)是為了讓一個(gè)或多個(gè)用戶通過網(wǎng)絡(luò)使用的對(duì)象,包括文件、打印機(jī)、文件夾和服務(wù)。共享對(duì)象和
Active Directory
對(duì)象都在安全描述符中存儲(chǔ)訪問控制權(quán)
限。
安全描述符包含兩個(gè)訪問控制列表(
ACL
),用于指派和跟蹤每個(gè)對(duì)象的安全信息,它們是:隨機(jī)訪問控制列表(
DACL
)和系統(tǒng)訪問控制列表(
SACL
)。
1
)隨機(jī)訪問控制列表(
DACL
)
隨機(jī)訪問控制列表(
DACL
)是對(duì)象的安全描述符的一部分,它能賦予或拒絕特定用戶和組對(duì)該對(duì)象的訪問權(quán)。只有對(duì)象的所有者才能更改在
DACL
中賦予或拒絕的權(quán)限,這就表示此對(duì)象的所有者可以自由訪問該對(duì)象。
DACL
標(biāo)識(shí)已被指派或拒絕對(duì)某個(gè)對(duì)象的訪問權(quán)限的用戶和組。如果
DACL
未明確標(biāo)識(shí)某個(gè)用戶或用戶所屬的任何組,則該用戶將被拒絕訪問此對(duì)象。在默認(rèn)情況下,
DACL
由對(duì)象的所有者或創(chuàng)建此對(duì)象的人控制,它包含決定此對(duì)象的用戶訪問權(quán)的訪問控制項(xiàng)(
ACE
)。
2
)系統(tǒng)訪問控制列表(
SACL
)
系統(tǒng)訪問控制列表(
SACL
)也是對(duì)象的安全描述符的一部分,指定了每個(gè)用戶或組中要審核的事件。審核事件的例子是文件訪問、登錄嘗試和系統(tǒng)關(guān)閉。
SACL
標(biāo)識(shí)當(dāng)其成功訪問或未能訪問某個(gè)對(duì)象時(shí)要審核的用戶和組。審核可用來監(jiān)視與系統(tǒng)或網(wǎng)絡(luò)安全相關(guān)的事件、標(biāo)識(shí)違反安全情況,以及確定任何損害的范圍和位置。在默認(rèn)
情況下,
SACL
由對(duì)象的所有者或創(chuàng)建此對(duì)象的人控制。
SACL
包含訪問控制項(xiàng)(
ACE
),決
定是否記錄用戶使用給定權(quán)限(例如,“完全控制”和“讀取”)訪問對(duì)象時(shí)的成功或失敗嘗試。
要使用“
Active Directory
用戶和計(jì)算機(jī)”管理工具查看
Active Directory
對(duì)象的
DACL
和
SACL
,可執(zhí)行【查看】
→
【高級(jí)功能】菜單操作,然后在對(duì)象屬性對(duì)話框中選擇“安全”選項(xiàng)卡,如圖
6-1
所示。在這里就可以查看對(duì)象的
DACL
了。
SACL
的查看可通過在圖
6-1
所示對(duì)話框中單擊
【
高級(jí)
】
按鈕,在打開的對(duì)話框選擇“審核”選項(xiàng)卡進(jìn)行,如圖
6-2
所示。還可以使用
DSACLS
支持工具來管理
Active Directory
中的訪問控制列表。詳細(xì)信息,請(qǐng)參閱本章后面的“
Active Directory
支持工具”。
圖
6-1
Active Directory
對(duì)象屬性對(duì)話框“安全”選項(xiàng)卡
圖
6-2
對(duì)象的高級(jí)安全設(shè)置“審核”選項(xiàng)卡
默認(rèn)情況下,
DACL
和
SACL
與每個(gè)
Active Directory
對(duì)象關(guān)聯(lián),這樣可減少惡意用戶對(duì)網(wǎng)絡(luò)的攻擊或域用戶的任何意外錯(cuò)誤對(duì)網(wǎng)絡(luò)的影響。但是,如果惡意用戶獲得了具有管理憑據(jù)的任何賬戶的用戶名和密碼,他的林就會(huì)受到攻擊的威脅。因此,可考慮重命名或禁用默認(rèn)管理員賬戶,并遵循最佳操作中所描述的最佳操作來執(zhí)行。
2
.對(duì)象繼承
默認(rèn)情況下,
Active Directory
對(duì)象從位于其父容器對(duì)象中的安全描述符繼承
ACE
。繼承
可以使
Active Directory
中某個(gè)容器對(duì)象中定義的訪問控制信息應(yīng)用到任何次對(duì)象(包括其他容器及其對(duì)象)的安全描述符。這樣就消除了每次創(chuàng)建子對(duì)象時(shí)都要應(yīng)用權(quán)限的需要,必要時(shí),可以更改繼承的權(quán)限。然而,作為最佳操作,應(yīng)避免更改
Active Directory
對(duì)象的默認(rèn)權(quán)限或繼承設(shè)置。更改權(quán)限繼承的方法就是不要選擇“允許父項(xiàng)的繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象。包括那些在此明確定義的項(xiàng)目。”復(fù)選框,這與
NTFS
訪問權(quán)限的繼承類
似。
3
.用戶身份驗(yàn)證
Active Directory
還驗(yàn)證和授權(quán)用戶、組和計(jì)算機(jī)訪問網(wǎng)絡(luò)上的對(duì)象。本地安全機(jī)構(gòu)(
LSA
)是負(fù)責(zé)本地計(jì)算機(jī)上所有交互式用戶身份驗(yàn)證和授權(quán)服務(wù)的安全子系統(tǒng)。
LSA
還可用于處理在
Active Directory
中通過
KerberosV5
協(xié)議或
NTLM
協(xié)議提出的身份驗(yàn)證請(qǐng)求。
一旦在
Active Directory
中確認(rèn)某個(gè)用戶的標(biāo)識(shí)之后,進(jìn)行身份驗(yàn)證的域控制器上的
LSA
將生成一個(gè)用戶訪問令牌,并使某個(gè)安全
ID
(
SID
)與該用戶相關(guān)聯(lián)。
1
)訪問令牌
當(dāng)用戶進(jìn)行身份驗(yàn)證時(shí),
LSA
為該用戶創(chuàng)建一個(gè)安全訪問令牌。訪問令牌包含用戶的名稱、用戶所屬的組、用戶的
SID
,以及用戶所屬組的所有
SID
。如果在已發(fā)出用戶存取令牌之后將某個(gè)用戶添加到組中,則用戶必須注銷并再次登錄之后才能更新訪問令牌。
2
)安全
ID
(
SID
)
Active Directory
在創(chuàng)建
SID
時(shí)自動(dòng)將其指派為安全主體對(duì)象。安全主體是
Active Directory
中的賬戶,可為其指派權(quán)限,如計(jì)算機(jī)、組或用戶賬戶。當(dāng)
SID
頒發(fā)給經(jīng)過身份驗(yàn)證的用戶之后,它就附加在該用戶的訪問令牌上。
訪問令牌中的信息用于確定用戶在試圖訪問對(duì)象時(shí)的訪問級(jí)別。訪問令牌中的
SID
將與組成該對(duì)象的
DACL
的
SID
列表相比較,以確保用戶有足夠的權(quán)限訪問該對(duì)象。這是因?yàn)樵L問控制過程按
SID
而不是按名稱來標(biāo)識(shí)用戶賬戶。
|
<shape id="_x0000_i1027" style="WIDTH: 42pt; HEIGHT: 31.5pt" type="#_x0000_t75"><imagedata src="file:///D:%5CDOCUME~1%5Cwinda%5CLOCALS~1%5CTemp%5Cmsohtml1%5C01%5Cclip_image005.jpg" o:title="注意"></imagedata></shape>
|
當(dāng)域控制器為用戶提供訪問令牌時(shí),如果本地域組對(duì)于域控制器的域是本地的,那么該訪問令牌只包含有關(guān)本地域組中成員身份的信息。對(duì)于復(fù)制到全局編錄中的域目錄對(duì)象,這種情況需要特定的安全考慮。
全局編錄的復(fù)制可確保整個(gè)林中的用戶能夠快速訪問有關(guān)林中每個(gè)對(duì)象的信息。構(gòu)成全局編錄的默認(rèn)屬性提供了最常搜索的屬性的基線,這些屬性作為正常
Active Directory
復(fù)制的一部分被復(fù)制到全局編錄中。
全局編錄的復(fù)制拓?fù)涫怯尚畔⒁恢滦詸z查器(
KCC
)自動(dòng)生成的。但是,全局編錄僅復(fù)制到已被指派為全局編錄的其他域控制器。全局編錄復(fù)制既受標(biāo)記為包含到全局編錄中的屬性的影響,又受通用組成員身份的影響。
|
Active Directory中的訪問控制