安全筛选器创建与管理

 本文出自 “王达博客” 博客，转载请与作者联系！

作者已授权本博客转载

以下内容摘自笔者编著的《网管员必读——网络管理》（第2版）一书：

 

7.3.2   安全筛选器创建与管理

安全筛选用于精确定义哪些用户和计算机将接收，并应用 GPO 中的设置，也就是 GPO 的应用对象更进一步细化。因为 GPO 无法直接链接到用户、计算机或安全组，只能将其链接到站点、域和部门。但是，通过使用安全筛选，您可以缩小 GPO 的作用域，使其只应用于单个组、用户或计算机。使用安全筛选，您可以指定只有 GPO 链接到的“ Active Directory 用户和计算机”管理单元 某个容器中的特定安全主体才可应用该 GPO 。安全组筛选确定该 GPO 是否作为一个整体应用到组、用户或计算机，但它仍无法选择性地应用于 GPO 中的不同设置。

为了使 GPO 应用于给定的用户或计算机，该用户或计算机必须具有该 GPO 上的“只读”和“应用组策略（ AGP ）”权限（这些权限可以是显式定义的，也可以是通过组成员关系有效继承的）。默认情况下，对于所有 GPO 的“只读”和“ AGP ”权限，经过身份验证的用户组（ A uthenticated Users ） 的设置都是“允许”。 A uthenticated Users 包括用户和计算机。这就是说当新 GPO 应用到部门、域或站点时，所有经过身份验证的用户接收该新 GPO 设置的方式。但是，您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。 GPMC 将这些权限作为单个单元进行管理，并在 GPO 的“作用域”选项卡上显示该 GPO 的安全筛选，如图 7-13 所示。使用 GPMC ，您可以添加和删除要用做各个 GPO 的安全筛选器的组、用户和计算机。此外，用于安全筛选的安全主体也会在 GPO 的“委派”选项卡上显示为具有“只读（来自安全筛选）”权限，因为它们具有对该 GPO 的只读权限，如图 7-14 所示。

要修改安全筛选，可以在 GPO 的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中，您不必设置那两个访问控制项（ ACE ），因为在设置安全筛选时， GPMC 将为您设置这两项。修改安全筛选的方法是在如图 7-13 所示窗口中单击 【 添加 】 按钮，打开如图 7-15 所示对话框。在其中输入要添加的安全组对象，可以是用户、组、计算机或其他内置安全主体，然后单击 【 确定 】 按钮完成安全筛选对象的添加。但因为系统默认添加的 A uthenticated Users 已包括了所有的用户、组和安全主体，所以一般情况下无须在不删除默认添加的 A uthenticated Users 组情况下，另外添加新的对象。如果确实要使 GPO 仅应用于所添加的对象，则一定要删除 A uthenticated Users 组。

图 7-13  “作用域”选项卡中的“安全筛选”选项

 

图 7-14  “委派”选项卡中显示的“安全筛选”用户或计算机

此外，“只读”和“ AGP ”权限是分别可见的，可以通过访问控制列表（ ACL ）编辑器分别加以设置。在 GPMC 中， GPO 的“作用域”选项卡上的“安全筛选”部分只显示该 GPO 是否会应用。如果您想分别查看这些权限，那么可以通过单击该 GPO 的“委派”选项卡（参见图 7-14 ）上的 【 高级 】 按钮来打开 ACL 编辑器，如图 7-16 所示。在其中就可以对所有已委派的对象的权限进行重新设置。

                  

图 7-15  “选择用户、计算机或组”对话框         图 7-16  GPO 安全设置对话框“安全”选项卡

GPO 中的设置只应用于包含在链接 GPO 的域或部门中的用户和计算机，“安全筛选”中指定的用户和计算机，或作为“安全筛选”指定的组成员的用户和计算机。可以在单个 GPO 的安全筛选中指定多个组、用户或计算机。

注意	要确保为某个用户或计算机处理 GPO ，仅授予“只读”和“ AGP ”权限是不够的。 GPO 还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“ AGP ”的 GPO 不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到 GPO 的容器或子容器中时，该 GPO 才应用到它们。但 Active Directory 中安全组的位置与安全组筛选无关，更一般地讲，是与组策略处理无关。