最近很忙,Blog没有刷新,最近遇到一位用户,对信息安全要求严格,提出了两个安全要求:
1、活动目录各大部门OU成员由部门秘书来管理,且不允许此秘书在通过ADUC管理过程中不可查看其他部门OU人员信息,
2、秘书在管理部门OU成员时,不允许登录至DC上进行对OU管理。
3、各大部门用户在访问文件服务器上共享资源时,针对自己没有权限访问的共享文件夹,不允许访问(正常要求),且此共享文件夹不可以让没有权限的用户看到(有点苛刻)。
问题1实现办法:
在默认情况下,在域中只要是域用户,本就具备对活动目录有读取权限。也就是说,任何域用户都可以读取域内所有用户信息。才导致当某部门秘书用自己帐户登录DC时(可交互时登录情况下),可以查看其他OU中用户信息。为了让秘书帐户不能查看其他OU信息,那就是对其他OU进行权限设置。下图:
首先:1、在ADUC中,点击“查看------高级功能”
2、在针对不同的OU进行权限设置,右击"OU-----属性"
3、如果你不希望此OU所有用户可以看到,那可取消"Authenticated Users"的"读取"权限。
4、让IT部门所有用户可读此OU信息,在此也可以对其他用户进行授权。
5、让IT部秘书用户对IT部OU进行”完全控制“
问题2实现方法:
如果部门秘书使用的操作系统为Windows Server 2003/2003,可使用MMC控制台进行对ADUC工具进行加载。而一般秘书所使用系统为Windows XP/7,此时你需要在部门秘书计算机中安装基于Windows Server服务管理工具。当前微软服务管理工具分为以下几个版本:
1、针对Windows Server 2003/SP1/SP2/R2/2008/R2 For Windows XP/Vista SP1/7服务管理工具
您可以到以下地址下载:
http://www.microsoft.com/downloads/details.aspx?familyid=e487f885-f0c7-436a-a392-25793a25bad7&displaylang=en For Windows XP
http://www.microsoft.com/downloads/details.aspx?familyid=7D2F6AD7-656B-4313-A005-4E344E43997D&displaylang=en For Windows Vista SP1/7
例:在Windows XP上安装Windows Server 2003 SP1服务器管理工具:
我们以财务部OU中的tom用户登录Windows XP客户端,并打开ADUC工具。
在此,会发现在ADUC中,你根本查看不到IT部门OU,而只会看到tom所在财务部OU中用户信息。
而实际域中是有两个部门OU
问题3实现方法:
在Windows Server 2008后,就可以对共享文件夹进行无权限用户者,屏蔽显示。
首先:在文件服务器上,打开"共享和存储管理"
2、针对共享的文件夹"share"右击”属性“
3、点击”高级“
4、选中”启用基于访问权限的枚举“功能,即可。
例:share文件夹,可以被财务部用户tom可读,不能让IT部用户user1读取。
以tom登录客户端,共享文件夹"share"可正常显示。
更换IT部OU用户user1登录,此时看不到“share”共享文件夹。
你的权限,决定你对资源的可见度,进一步提高了安全性。