你的权限等于你的可见度
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章
原始出处 、作者信息和本声明。否则将追究法律责任。
http://zhxhua.blog.51cto.com/41003/379442
|
最近很忙,Blog没有刷新,最近遇到一位用户,对信息安全要求严格,提出了两个安全要求:
1、活动目录各大部门OU成员由部门秘书来管理,且不允许此秘书在通过ADUC管理过程中不可查看其他部门OU人员信息, 2、秘书在管理部门OU成员时,不允许登录至DC上进行对OU管理。 3、各大部门用户在访问文件服务器上共享资源时,针对自己没有权限访问的共享文件夹,不允许访问(正常要求),且此共享文件夹不可以让没有权限的用户看到(有点苛刻)。
问题1实现办法:
在默认情况下,在域中只要是域用户,本就具备对活动目录有读取权限。也就是说,任何域用户都可以读取域内所有用户信息。才导致当某部门秘书用自己帐户登录DC时(可交互时登录情况下),可以查看其他OU中用户信息。为了让秘书帐户不能查看其他OU信息,那就是对其他OU进行权限设置。下图: 首先:1、在ADUC中,点击“查看------高级功能”
2、在针对不同的OU进行权限设置,右击"OU-----属性"
问题2实现方法:
如果部门秘书使用的操作系统为Windows Server 2003/2003,可使用MMC控制台进行对ADUC工具进行加载。而一般秘书所使用系统为Windows XP/7,此时你需要在部门秘书计算机中安装基于Windows Server服务管理工具。当前微软服务管理工具分为以下几个版本: 1、针对Windows Server 2003/SP1/SP2/R2/2008/R2 For Windows XP/Vista SP1/7服务管理工具 您可以到以下地址下载: http://www.microsoft.com/downloads/details.aspx?familyid=e487f885-f0c7-436a-a392-25793a25bad7&displaylang=en For Windows XP
http://www.microsoft.com/downloads/details.aspx?familyid=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en For Windows Vista SP1/7
例:在Windows XP上安装Windows Server 2003 SP1服务器管理工具:
我们以财务部OU中的tom用户登录Windows XP客户端,并打开ADUC工具。
在此,会发现在ADUC中,你根本查看不到IT部门OU,而只会看到tom所在财务部OU中用户信息。
而实际域中是有两个部门OU
问题3实现方法:
在Windows Server 2008后,就可以对共享文件夹进行无权限用户者,屏蔽显示。 首先:在文件服务器上,打开"共享和存储管理"
2、针对共享的文件夹"share"右击”属性“
更换IT部OU用户user1登录,此时看不到“share”共享文件夹。
你的权限,决定你对资源的可见度,进一步提高了安全性。
本文出自 “
张湘华的博客” 博客,请务必保留此出处
http://zhxhua.blog.51cto.com/41003/379442
|
转载于:https://blog.51cto.com/2189440bop58/395720