29、活动目录安全管理全解析

活动目录安全管理全解析

在多域环境中，确保网络资源的安全是一项至关重要的任务。本文将深入探讨活动目录安全管理的各个方面，包括外部安全主体、安全权限管理、安全策略实施以及相关工具的使用。

1. 外部安全主体

在包含多个域的环境中，有时需要向多个域中的用户授予权限。通常，这可以通过活动目录树和林来管理。但在某些情况下，可能需要为不属于同一林的域中的用户提供资源。活动目录引入了外部安全主体的概念，允许将权限分配给不属于同一活动目录林的用户。这一过程是自动的，无需系统管理员干预。外部安全主体可以添加到域本地组中，而域本地组可以被授予对域内资源的权限。

2. 安全和权限管理

管理安全的一般做法是将用户分配到组中，然后为组授予访问特定资源的权限。为了便于管理和实现层次结构，可以将组放置在组织单位（OU）中，还可以为OU内的所有对象分配组策略设置。这样可以结合层次结构（通过OU）和安全主体的使用优势。

管理用户、组和计算机安全权限的主要工具是“活动目录用户和计算机”管理单元。使用该工具，系统管理员可以创建和管理活动目录对象，并根据业务需求进行组织。常见任务包括：
- 重置用户密码（例如，用户忘记密码时）
- 创建新用户账户（如新员工加入公司时）
- 根据工作要求和职能的变化修改组成员身份
- 禁用用户账户（例如，用户长时间不在办公室且不需要访问网络资源时）

3. 权限设置

将用户正确分组后，需要设置影响活动目录内对象的实际权限。可用的实际权限会根据对象类型而有所不同。以下是一些可以应用于各种活动目录对象的权限示例及其说明：
| 权限 | 说明 |