安装管理服务器时会实施内置策略。使用这些策略时,可能会遇到以下术语:
定义 DRA 应用策略的对象或属性。例如,一些策略允许您将策略应用于特定 ActiveView 中的特定助理管理员。一些策略允许您从不同类的对象中进行选择,例如用户帐户或组。
对受管域中指定类或类型的所有对象实施策略规则。全局策略不允许您限制策略适用的对象范围。
定义联合应用还是单独应用策略。要建立策略关系,请定义应用于同一操作的两个或多个规则,然后选择策略组选项中的成员。如果操作参数或属性与任何规则匹配,则操作成功。
内置策略主题:
内置策略提供业务规则以解决常见的安全性和数据完整性问题。这些策略是默认安全模型的一部分,允许您将 DRA 安全功能集成到现有企业配置中。
DRA 提供了两种实施策略的方法。您可以创建自定义策略或从多个内置策略中进行选择。内置策略使您可以轻松应用策略,而无需开发自定义脚本。如果您需要实施自定义策略,则可以调整现有的内置策略以满足您的需求。大多数策略允许您修改错误讯息文本、重命名策略、添加说明以及指定如何应用策略。
安装 DRA 时会启用许多内置策略。默认情况下会实施以下策略。如果您不想实施这些策略,可以禁用或删除它们。
|
策略名称 |
默认值 |
说明 |
|---|---|---|
|
$ComputerNameLengthPolicy |
64 15(Windows 2000 之前) |
限制计算机名称或 Windows 2000 之前的计算机名称中的字符数 |
|
$GroupNameLengthPolicy |
64 20(Windows 2000 之前) |
限制组名称或 Windows 2000 之前的组名称中的字符数 |
|
$GroupSizePolicy |
5000 |
限制组中的成员数 |
|
$NameUniquenessPolicy |
无 |
确保 Windows 2000 之前和 CN 的名称在所有受管域中都是唯一的 |
|
$SpecialGroupsPolicy |
无 |
防止环境中未经检查的权限升级。 |
|
$UCPowerConflictPolicy |
无 |
通过使用户克隆和用户创建权限相互排斥来防止权限升级 |
|
$UPNUniquenessPolicy |
无 |
确保 UPN 名称在所有受管域中都是唯一的 |
|
$UserNameLengthPolicy |
64 20(下层登录名) |
限制用户登录名或下层登录名中的字符数 |
DRA 提供了几种可以为您的安全模型自定义的策略。
注:您可以创建一个策略,该策略需要 DRA 用户界面中当前不可用的属性条目。如果策略需要条目,并且用户界面未提供输入值的字段(例如新用户帐户的部门),则您将无法创建或管理该对象。要避免此问题,请配置仅需要可从用户界面访问的属性的策略。
允许您将脚本或可执行文件链接到 DRA 或 Exchange 操作。自定义策略可让您验证您选择的任何操作。
允许您全局实施用户帐户、组、OU、联系人或计算机的最大名称长度。
策略将检查名称容器(常用名或 cn)和 Windows 2000 之前的名称(用户登录名)。
允许您对组中的成员数实施全局限制。
校验 Windows 2000 之前的名称在所有受管域中是否唯一。在 Microsoft Windows 域中,Windows 2000 之前的名称在域中必须是唯一的。此全局策略将在所有受管域中实施此规则。
校验用户主体名称 (UPN) 在所有受管域中是否唯一。在 Microsoft Windows 域中,UPN 在域中必须是唯一的。此策略将在所有受管域中实施此规则。由于这是一个全局策略,因此 DRA 会提供策略名称、说明和策略关系。
阻止您管理管理员组的成员,除非您是该管理员组的成员。默认情况下启用此全局策略。
当您限制对管理员组成员的操作时,Create Policy Wizard(创建策略向导)不需要其他信息。您可以指定自定义错误讯息。由于这是一个全局策略,因此 DRA 会提供策略名称、说明和策略关系。
防止可能的权限升级。启用此策略后,您可以创建用户帐户或克隆用户帐户,但不能同时拥有这两种权限。此全局策略可确保您无法在同一 ActiveView 中创建和克隆用户帐户。
此策略不需要其他信息。
允许您建立适用于特定助理管理员、ActiveView 和对象类(例如用户帐户或组)的命名约定。
您还可以指定此策略监控的确切名称。
允许您创建策略以验证 OU 或帐户对象的任何属性。您可以指定默认值、属性格式掩码以及有效值和范围。
使用此策略可在创建、克隆或修改特定对象的属性时,通过验证特定条目字段来实施数据完整性。此策略提供了极大的灵活性和强大的功能,可以验证条目、提供默认条目以及限制各种属性字段的条目选择。通过使用此策略,您可以要求在任务完成之前进行正确的输入,从而维护受管域中的数据完整性。
例如,假设您有三个部门:制造、销售和管理。您可以将 DRA 将接受的条目限制为这三个值。您还可以使用此策略实施正确的电话号码格式、提供有效数据的范围或要求输入电子邮件地址字段。要为电话号码指定多个格式掩码,例如 (123)456 7890 以及 456 7890,请将属性格式掩码定义为 (###)### ####,### ####。
允许您创建策略以根据 Active Directory 组成员资格指派 Office 365 许可证。当从相关 Active Directory 组中删除成员时,此策略还会强制去除 Office 365 许可证。
如果将未同步到云的用户添加到 Active Directory 组,则会在向该用户指派 Office 365 许可证之前同步该用户。
在创建策略时,您可以指定多个属性和设置,例如策略名称和助理管理员尝试执行违反此策略的操作时显示的错误讯息词句。
Ensure only licenses assigned by DRA policies are enabled on accounts. All other licenses will be removed.(确保只会对帐户启用 DRA 指派的许可证。将去除所有其他许可证。)设置包含在 Tenant Properties(租户属性)页面中,可以对每个租户配置。此设置用于针对 DRA Office 365 许可证策略,配置许可证指派的实施方式:
启用此设置时,DRA 许可证实施将确保只有通过 DRA 策略指派的许可证才能供应给帐户(在 DRA 之外指派的许可证将从指派给许可证策略的帐户去除)。禁用此设置时(默认),DRA 许可证实施将仅确保将 Office 365 策略中包含的特定许可证供应给帐户(帐户从许可证策略中取消指派时,将仅取消供应由该策略指派的许可证)。
由于内置策略是默认安全模型的一部分,因此您可以使用这些策略来实施当前的安全模型或修改它们以更好地满足您的需求。您可以更改多个内置策略的名称、规则设置、范围、策略关系和错误讯息。您可以启用或禁用每个内置策略。
您还可以轻松创建新策略。