如果在排除权限问题导致的故障时,发现嵌套的全局安全组是罪魁祸首。嵌套的全局安全组会导致很多问题,特别是在拒绝权限开始生效的时间上。考虑到大量基于组策略拒绝权限的存在,整个追查过程可能会相当繁琐。
对于活动目录域来说,你是否应该容许嵌套全局安全组的操作?乍看起来,对于大多数工具来说,对组成员进行故障排除相当复杂。很多工具都有报告的权力,但如果这里存在一个嵌套组的话,就不是必须的了,比组成员的情况更简单。
我很想说禁止对组成员进行嵌套处理,但只有在偶然的情况下,这种做法才有意义。根据个人对专业管理的认识,在限制嵌套组成员方面,我建议使用下面的指导规则:
1、禁止组成员进行超过两级的嵌套。
2、一个安全组内的“成员”不能有超过两种设置属性。
3、嵌套的安全组将不能包含拥有拒绝权限的指定群体。
4、嵌套的全局安全组不能是一个拥有高级权限的组。
这是基本原则,但并不意味着对嵌套全局安全组的所有有效使用进行全面限制。这些指导的关键是权限***原则,不增加故障排除过程的负担,并且减少由于权限以外过度分配带来的风险。限制嵌套组的使用也将有助于防止与令牌大小有关的问题出现。
关于偶然情况下出现的问题,***的例子就是,当你需要向全局安全组中添加一个计算机账户时,如果用户帐户和计算机帐户在同一个安全组混合,情况就会变得比较难办。另一种情况会在内置组(来自本地计算机系统)在和域用户帐户相结合以便进行单独处理的时间发生。在这些情况中,嵌套操作可以象其它工具一样对特定配置进行有效的处理。
【编辑推荐】
电脑硬盘系统格式fat32和NTFS有什么区别
FAT32与NTFS的区别在推出FAT32文件系统之前,通常PC机使用的文件系统是FAT16。 像基于MS-DOS,win 95等系统都采用了FAT16文件系统。 在Win 9X下,FAT16支持的分区最大为2GB。 我们知道计算机将信息保存在硬盘上称为“簇”的区域内。 使用的簇越小,保存信息的效率就越高。 在FAT16的情况下,分区越大簇就相应的要增大,存储效率就越低,势必造成存储空间的浪费。 并且随着计算机硬件和应用的不断提高,FAT16文件系统已不能很好地适应系统的要求。 在这种情况下,推出了增强的文件系统FAT32。 同FAT16相比,FAT32主要具有以下特点:1. 同FAT16相比FAT32最大的优点是可以支持的磁盘大小达到2TB(2047GB),但是不能支持小于512MB的分区。 基于FAT32的Win 2000可以支持分区最大为32GB;而基于 FAT16的Win 2000支持的分区最大为4GB。 2. 由于采用了更小的簇,FAT32文件系统可以更有效率地保存信息。 如两个分区大小都为2GB,一个分区采用了FAT16文件系统,另一个分区采用了FAT32文件系统。 采用FAT16的分区的簇大小为32KB,而FAT32分区的簇只有4KB的大小。 这样FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%。 3. FAT32文件系统可以重新定位根目录和使用FAT的备份副本。 另外FAT32分区的启动记录被包含在一个含有关键数据的结构中,减少了计算机系统崩溃的可能性。 NTFS文件系统NTFS文件系统是一个基于安全性的文件系统,是Windows NT所采用的独特的文件系统结构,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。 使用非常广泛的Windows NT 4.0采用的就是NTFS 4.0文件系统,相信它所带来的强大的系统安全性一定给广大用户留下了深刻的印象。 Win 2000采用了更新版本的NTFS文件系统??NTFS 5.0,它的推出使得用户不但可以像Win 9X那样方便快捷地操作和管理计算机,同时也可享受到NTFS所带来的系统安全性。 NTFS 5.0的特点主要体现在以下几个方面:1. NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。 而Win 2000中的FAT32支持分区的大小最大为32GB。 2. NTFS是一个可恢复的文件系统。 在NTFS分区上用户很少需要运行磁盘修复程序。 NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。 发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。 3. NTFS支持对分区、文件夹和文件的压缩。 任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩,当对文件进行读取时,文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩。 4. NTFS采用了更小的簇,可以更有效率地管理磁盘空间。 在Win 2000的FAT32文件系统的情况下,分区大小在2GB~8GB时簇的大小为4KB;分区大小在8GB~16GB时簇的大小为8KB;分区大小在16GB~32GB时,簇的大小则达到了16KB。 而Win 2000的NTFS文件系统,当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小;当分区的大小在2GB以上时(2GB~2TB),簇的大小都为4KB。 相比之下,NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。 5. 在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。 许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。 访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。 与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。 另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。 这些在FAT32文件系统下,是不能实现的。 6. 在Win 2000的NTFS文件系统下可以进行磁盘配额管理。 磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。 设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。 磁盘配额管理功能的提供,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统的安全性。
guest账户在哪设置不禁用?
我的电脑——右键——管理——本地用户和组——用户——在右边的方框里guest按右键——属性——将帐户已停用的钩取消。
XP里的来宾账户是什么意思
如果您在本地计算机上不具有实际的用户帐户,则可以使用来宾帐户登录到该计算机上。假定您需要临时访问某台计算机,但管理员并不希望为您创建一个用户帐户。在这种情况下,您便可以使用来宾帐户访问该计算机。如果您的帐户被禁用但尚未删除,则也可以使用来宾帐户进行临时访问。
默认情况下,Windows XP Home EDITION 和 Windows XP Professional 中会禁用来宾帐户。在 Windows XP Professional 中,如果您以 Administrator 身份登录,就可以启用或禁用来宾帐户。在 Windows XP Home Edition 中,您必须在安全模式下访问管理员帐户。
您可以像处理任何其他用户帐户一样为来宾帐户设置权限。默认情况下,来宾帐户是内置来宾组的成员。来宾组允许用户登录到工作站或成员服务器上。只有 Administrators 组的成员才能向来宾组授予其他任何权限。
当您使用来宾帐户登录时,将应用以下活动:
不需要密码。
无法安装软件或硬件。
无法更改来宾帐户的类型。
无法为帐户创建密码。
无法更改来宾帐户的图片。
无法访问已安装在计算机上的应用程序。
无法访问“共享文档”文件夹中的文件。
无法访问来宾配置文件中的文件。
发表评论