安全筛选器创建与管理

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />以下内容摘自笔者编著的《网管员必读——网络管理》（第2版）一书：

7.3.2 安全筛选器创建与管理

安全筛选用于精确定义哪些用户和计算机将接收，并应用GPO中的设置，也就是GPO的应用对象更进一步细化。因为GPO无法直接链接到用户、计算机或安全组，只能将其链接到站点、域和部门。但是，通过使用安全筛选，您可以缩小GPO的作用域，使其只应用于单个组、用户或计算机。使用安全筛选，您可以指定只有GPO链接到的“Active Directory用户和计算机”管理单元某个容器中的特定安全主体才可应用该GPO。安全组筛选确定该GPO是否作为一个整体应用到组、用户或计算机，但它仍无法选择性地应用于GPO中的不同设置。

为了使GPO应用于给定的用户或计算机，该用户或计算机必须具有该GPO上的“只读”和“应用组策略（AGP）”权限（这些权限可以是显式定义的，也可以是通过组成员关系有效继承的）。默认情况下，对于所有GPO的“只读”和“AGP”权限，经过身份验证的用户组（Authenticated Users）的设置都是“允许”。Authenticated Users包括用户和计算机。这就是说当新GPO应用到部门、域或站点时，所有经过身份验证的用户接收该新GPO设置的方式。但是，您可以更改这些权限以便将作用域限制为部门、域或站点内的用户、组或计算机的特定集合。GPMC将这些权限作为单个单元进行管理，并在GPO的“作用域”选项卡上显示该GPO的安全筛选，如图7-13所示。使用GPMC，您可以添加和删除要用做各个GPO的安全筛选器的组、用户和计算机。此外，用于安全筛选的安全主体也会在GPO的“委派”选项卡上显示为具有“只读（来自安全筛选）”权限，因为它们具有对该GPO的只读权限，如图7-14所示。

要修改安全筛选，可以在GPO的“作用域”选项卡上的“安全筛选”部分中添加或修改组。在实际操作中，您不必设置那两个访问控制项（ACE），因为在设置安全筛选时，GPMC将为您设置这两项。修改安全筛选的方法是在如图7-13所示窗口中单击【添加】按钮，打开如图7-15所示对话框。在其中输入要添加的安全组对象，可以是用户、组、计算机或其他内置安全主体，然后单击【确定】按钮完成安全筛选对象的添加。但因为系统默认添加的Authenticated Users已包括了所有的用户、组和安全主体，所以一般情况下无须在不删除默认添加的Authenticated Users组情况下，另外添加新的对象。如果确实要使GPO仅应用于所添加的对象，则一定要删除Authenticated Users组。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

图7-13 “作用域”选项卡中的“安全筛选”选项

图7-14 “委派”选项卡中显示的“安全筛选”用户或计算机

此外，“只读”和“AGP”权限是分别可见的，可以通过访问控制列表（ACL）编辑器分别加以设置。在GPMC中，GPO的“作用域”选项卡上的“安全筛选”部分只显示该GPO是否会应用。如果您想分别查看这些权限，那么可以通过单击该GPO的“委派”选项卡（参见图7-14）上的【高级】按钮来打开ACL编辑器，如图7-16所示。在其中就可以对所有已委派的对象的权限进行重新设置。

图7-15 “选择用户、计算机或组”对话框图7-16 GPO安全设置对话框“安全”选项卡

GPO中的设置只应用于包含在链接GPO的域或部门中的用户和计算机，“安全筛选”中指定的用户和计算机，或作为“安全筛选”指定的组成员的用户和计算机。可以在单个GPO的安全筛选中指定多个组、用户或计算机。

注意	要确保为某个用户或计算机处理GPO，仅授予“只读”和“AGP”权限是不够的。GPO还必须直接或通过继承方式链接到包含该用户或计算机的站点、域或部门。安全筛选已设置为“只读”和“AGP”的GPO不一定会应用到所有具有安全筛选的安全主体。只有当这些用户或计算机对象处于链接到GPO的容器或子容器中时，该GPO才应用到它们。但Active Directory中安全组的位置与安全组筛选无关，更一般地讲，是与组策略处理无关。