安全筛选器创建与管理-白红宇

以下内容摘自笔者编著的一书：

7.3.2 安全筛选器创建与管理

安全筛选用于精确定义哪些用户和计算机将接收，并应用

GPO

中的设置，也就是

GPO

的应用对象更进一步细化。因为

GPO

无法直接链接到用户、计算机或安全组，只能将其链接到站点、域和部门。但是，通过使用安全筛选，您可以缩小

GPO

的作用域，使其只应用于单个组、用户或计算机。使用安全筛选，您可以指定只有

GPO

链接到的“

Active Directory

用户和计算机”管理单元

某个容器中的特定安全主体才可应用该

GPO

。安全组筛选确定该

GPO

是否作为一个整体应用到组、用户或计算机，但它仍无法选择性地应用于

GPO

中的不同设置。

为了使GPO

应用于给定的用户或计算机，该用户或计算机必须具有该GPO

上的“只读”和“应用组策略（AGP

）”权限（这些权限可以是显式定义的，也可以是通过组成员关系有效继承的）。默认情况下，对于所有GPO

的“只读”和“AGP

”权限，经过身份验证的用户组（Authenticated Users

）

的设置都是“允许”。Authenticated Users

包括用户和计算机。这就是说当新GPO

应用到部门、域或站点时，所有经过身份验证的用户接收该新GPO

设置的方式。但是，您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。GPMC

将这些权限作为单个单元进行管理，并在GPO

的“作用域”选项卡上显示该GPO

的安全筛选，如图7-13

所示。使用GPMC

，您可以添加和删除要用做各个GPO

的安全筛选器的组、用户和计算机。此外，用于安全筛选的安全主体也会在GPO

的“委派”选项卡上显示为具有“只读（来自安全筛选）”权限，因为它们具有对该GPO

的只读权限，如图7-14

所示。

要修改安全筛选，可以在GPO

的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中，您不必设置那两个访问控制项（ACE

），因为在设置安全筛选时，GPMC

将为您设置这两项。修改安全筛选的方法是在如图7-13

所示窗口中单击

【

添加

】

按钮，打开如图7-15

所示对话框。在其中输入要添加的安全组对象，可以是用户、组、计算机或其他内置安全主体，然后单击

【

确定

】

按钮完成安全筛选对象的添加。但因为系统默认添加的Authenticated Users

已包括了所有的用户、组和安全主体，所以一般情况下无须在不删除默认添加的Authenticated Users

组情况下，另外添加新的对象。如果确实要使GPO

仅应用于所添加的对象，则一定要删除Authenticated Users

组。

图 7-13

“作用域”选项卡中的“安全筛选”选项

图 7-14

“委派”选项卡中显示的“安全筛选”用户或计算机

此外，“只读”和“AGP

”权限是分别可见的，可以通过访问控制列表（ACL

）编辑器分别加以设置。在GPMC

中，GPO

的“作用域”选项卡上的“安全筛选”部分只显示该GPO

是否会应用。如果您想分别查看这些权限，那么可以通过单击该GPO

的“委派”选项卡（参见图7-14

）上的

【

高级

】

按钮来打开ACL

编辑器，如图7-16

所示。在其中就可以对所有已委派的对象的权限进行重新设置。

图 7-15

“选择用户、计算机或组”对话框

图 7-16 GPO

安全设置对话框“安全”选项卡

GPO

中的设置只应用于包含在链接GPO

的域或部门中的用户和计算机，“安全筛选”中指定的用户和计算机，或作为“安全筛选”指定的组成员的用户和计算机。可以在单个GPO

的安全筛选中指定多个组、用户或计算机。

注意	要确保为某个用户或计算机处理 GPO ，仅授予“只读”和“ AGP ”权限是不够的。 GPO 还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“ AGP ”的 GPO 不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到 GPO 的容器或子容器中时，该 GPO 才应用到它们。但 Active Directory 中安全组的位置与安全组筛选无关，更一般地讲，是与组策略处理无关。

本文转自王达博客51CTO博客，原文链接http://blog.51cto.com/winda/44495如需转载请自行联系原作者

茶乡浪子