返回
Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt

Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt

ID:59413788

大小:632.00 KB

页数:31页

时间:2020-09-19

Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt_第1页
Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt_第2页
Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt_第3页
Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt_第4页
Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt_第5页
资源描述:

《Windows网络服务器配置与管理-提高篇 第4章 委托管理ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第4章委托管理ActiveDirectory对象的安全控制对ActiveDirectory对象的访问ActiveDirectory对象的委托管理定制MMC控制台设置任务板最佳实践ActiveDirectory对象的安全ActiveDirectory安全组件任意访问控制列表和系统访问控制列表访问控制项继承登录过程访问令牌在Windows2003网络中授权访问资源4.1.1ActiveDirectory安全组件安全主体(SECURITYPRINCIPAL)指授予权限的账户对象,如用户对象、安全组对象、服务等安全标识符(SID)用来惟一标注每一个安全主体

2、,SID永远不会重复安全描述符(SECURITYDESCRIPTORS)用于描述一个对象的安全信息包含:任意访问控制列表(DACL)和系统访问控制列表(SACL)4.1.2任意访问控制列表和系统访问控制列表任意访问控制列表规定哪些安全主体可以访问、访问的权限如何系统访问控制列表规定哪些对象的访问要被审计安全描述符头部信息对象所有者SID所有者主要组的SID任意访问控制列表系统访问控制列表访问控制项访问控制项4.1.3访问控制项用在DACL中以拒绝访问用在DACL中以允许访问关于对象权限集成的一组标记DACL数据结构头部AccessMaskSIDUs

3、erSIDGroupACEAccessDeniedACEAccessAllowedACEAccessDeniedbyObjectACEAccessAllowedbyObject控制标志访问控制项(续)4.1.4继承继承是ACE从父对象安全描述符传递到子对象安全描述符的过程用户在父对象上被赋予权限父对象子对象DACLUser1读取Group1完全控制DACLUser1读取Group1完全控制DACL被继承到子对象上继承(续)继承权限的特点减少了在子对象上赋予权限的操作强制将父对象上的权限赋予到子对象上只要修改父对象上的权限,则子对象上的权限也将随之做

4、出修改当在子对象上直接赋予了权限,则将覆盖从父对象上继承的权限登录过程本地安全子系统域控制器全局编录服务器用户登录11本地安全子系统为用户获得一个票证2票证2本地安全子系统请求一个工作站票证3票证3Kerberos服务发送一个工作站票证4票证4访问令牌被捆绑在用户进程上6访问令牌6本地安全子系统生成访问令牌5生成访问令牌5Kerberos服务4.1.5访问令牌用户要访问资源必须拥有访问令牌令牌在用户的登录过程中产生包括用户在本机上的一系列的安全签证的信息访问令牌安全标示符:S-1-5-21-146...组标识符:EmployeesEVERYONEL

5、OCAL用户权限:SeChangeNotifyPrivilege-(attributes)3SeSecurityPrivilege-(attributes)04.2在Windows2003网络中授权访问资源用户DACL安全子系统域OU1OU2应用程序发送访问(读取)请求访问文件允许访问安全子系统为该文件在DACL中查找合适的ACE找到对应的ACESIDUserSIDGroupACEAccessAllowed用户1Read控制对ActiveDirectory对象的访问ActiveDirectory的权限控制权限的继承设置ActiveDirectory

6、的权限对象所有者改变对象所有者4.2.1ActiveDirectory的权限权限允许和拒绝的权限隐式和显式授权标准和特殊的权限4.2.2控制权限的继承对象创建的时候从父对象上继承权限继承的权限可以被阻塞复制先前继承的权限到该对象上从该对象上移除先前继承的权限完全控制组织单位组织单位组织单位完全控制完全控制完全控制组织单位组织单位组织单位读取读取4.2.3设置ActiveDirectory的权限特殊权限标准权限对象所有者任何一个对象都有一个所有者所有者拥有对该对象控制的全权所有权是可以改变的,如果管理员组的成员抢夺了所有权,则该组成为该对象的所有者(

7、而不是单个的用户)高级(V)允许将来自父系的可继承权限传播确定CancelApplySystem1的访问控制设置权限审核所有者这个对象的所有者DomainAdmins(CONTOSODomainAdmins)改变所有者:Administrator(CONTOSOAdministrator)Administrators(CONTOSOAdministrators)用户名所有者在下列情况下可以改变对象的所有者当前对象的所有者授予某个用户可以改变该对象的所有权的权限DomainAdmins组的成员可以抢夺域内任何对象的所有权改变对象所有者Syss

8、em2的访问控制权限权限审核所有者但前对象的所有者:DomainAdmins(ASIA1DomainAdmins)改变

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。