在Windows安全组中如何取舍嵌套处理

安全 网站安全
目前,对于使用活动目录的系统管理员来说,对于全局安全组是否应该进行嵌套处理存在着不同的意见。本文将对这种做法的优缺点进行综合分析。

如果在排除权限问题导致的故障时,发现嵌套的全局安全组是罪魁祸首。嵌套的全局安全组会导致很多问题,特别是在拒绝权限开始生效的时间上。考虑到大量基于组策略拒绝权限的存在,整个追查过程可能会相当繁琐。

对于活动目录域来说,你是否应该容许嵌套全局安全组的操作?乍看起来,对于大多数工具来说,对组成员进行故障排除相当复杂。很多工具都有报告的权力,但如果这里存在一个嵌套组的话,就不是必须的了,比组成员的情况更简单。

我很想说禁止对组成员进行嵌套处理,但只有在偶然的情况下,这种做法才有意义。根据个人对专业管理的认识,在限制嵌套组成员方面,我建议使用下面的指导规则:

1、禁止组成员进行超过两级的嵌套。

2、一个安全组内的“成员”不能有超过两种设置属性。

3、嵌套的安全组将不能包含拥有拒绝权限的指定群体。

4、嵌套的全局安全组不能是一个拥有高级权限的组。

这是基本原则,但并不意味着对嵌套全局安全组的所有有效使用进行全面限制。这些指导的关键是权限***原则,不增加故障排除过程的负担,并且减少由于权限以外过度分配带来的风险。限制嵌套组的使用也将有助于防止与令牌大小有关的问题出现。

关于偶然情况下出现的问题,***的例子就是,当你需要向全局安全组中添加一个计算机账户时,如果用户帐户和计算机帐户在同一个安全组混合,情况就会变得比较难办。另一种情况会在内置组(来自本地计算机系统)在和域用户帐户相结合以便进行单独处理的时间发生。在这些情况中,嵌套操作可以象其它工具一样对特定配置进行有效的处理。

【编辑推荐】

  1. 系统安全之windows xp net命令祥解
  2. 15款***的Windows安全检测工具
责任编辑:许凤丽 来源: 至顶网
相关推荐

2017-06-19 09:44:15

OpenStack安全组规则

2011-09-05 16:37:48

2010-03-16 14:32:51

Java系统线程组

2009-07-29 16:52:40

2015-09-23 17:07:38

2023-02-21 08:01:20

AWSTerraform管理

2016-06-16 17:22:49

云计算公有云

2011-06-23 14:11:26

2019-05-16 14:33:35

Windows 10游戏安全违规

2018-09-19 13:56:46

2020-05-26 09:05:29

工控安全加密网络攻击

2018-03-09 12:02:22

多云取舍安全

2021-02-22 11:48:19

Windows 10Windows微软

2022-07-27 12:20:14

云原生应用安全DevOps

2023-01-18 10:41:43

JavaScrip获取网络数据

2021-09-30 08:00:00

Kubernetes容器工具

2024-04-25 09:24:19

系统设计开发

2013-12-25 10:08:42

ember.js异步处理

2011-08-18 10:48:19

2010-06-04 14:12:57

Hadoop开发环境
点赞
收藏

51CTO技术栈公众号