為了提供更安全的環境,DRA 可讓您限制給予 Microsoft Windows 內建安全性群組的權限。修改群組成員資格、內建安全性群組內容或群組成員內容的能力,可能會產生重要的安全性影響。例如,如果您可以變更「伺服器操作人員」群組中使用者的密碼,則您可以該使用者的身分登入並且行使委託給此內建安全性群組的權限。
DRA 會藉由提供規則,檢查您對於原生內建安全性群組及其成員所具備的能力,來防止此安全性問題。此驗證會確保您要求的動作不會擴張這些權限。在您啟用此規則之後,身為內建安全性群組 (例如「伺服器操作人員」群組) 成員的助理管理員只能管理相同群組的其他成員。
您可以使用 DRA 規則,限制下列 Microsoft Windows 內建安全性群組的權限:
帳戶操作人員
管理員
備份操作人員
Cert Publishers (憑證發行者)
DNS 管理員
網域管理員
企業管理員
群組規則建立者擁有者
列印操作人員
Schema Admins (架構管理員)
附註:DRA 會根據內建安全性群組的內部識別碼進行參考。因此,即使這些群組重新命名,DRA 也支援這些群組。此功能會確保 DRA 支援在不同國家、具有不同名稱的內建安全性群組。例如,DRA 會參考具有相同內部識別碼的「管理員」群組和 Administratoren 群組。
DRA 會使用規則來限制原生內建安全性群組及其成員可以行使的權限。此規則稱為 $SpecialGroupsPolicy,會限制原生內建安全性群組的成員對於其它成員或其它原生內建安全性群組可以執行的動作。DRA 依預設會啟用此規則。如果您不想要限制對於原生內建安全性群組及其成員的動作,則可以停用此規則。
當此規則啟用時,DRA 會使用下列驗證測試來判斷是否允許對原生內建安全性群組或其成員執行某個動作:
如果您是 Microsoft Windows 管理員,則可以對您具有適當權限的原生內建安全性群組及其成員執行動作。
如果您是內建安全性群組的成員,只要您具有適當權限,就可以對相同內建安全性群組及其成員執行動作。
如果您不是內建安全性群組的成員,您無法修改內建安全性群組或其成員。
例如,如果您是「伺服器操作人員」和「帳戶操作人員」群組的成員且具有適當權限,您可以對「伺服器操作人員」群組的成員、「帳戶操作人員」群組的成員或這兩個群組的成員執行動作。但是,如果某個使用者帳戶同時是 Print Operators (列印操作員) 群組和 Account Operators (帳戶操作員) 群組的成員,您就無法對其執行動作。
DRA 會限制您對原生內建安全性群組執行下列動作:
複製群組
建立群組
刪除群組
新增成員至群組
從群組移除成員
將群組移至 OU
修改群組的內容
複製信箱
移除信箱
複製使用者帳戶
建立使用者帳戶
刪除使用者帳戶
將使用者帳戶移至 OU
修改使用者帳戶內容
DRA 也會限制動作以確保您無法透過物件獲得其權限。例如,當您將使用者帳戶新增至群組時,DRA 會檢查以確保您不會因為這個使用者帳戶是該群組的成員而另外獲得其權限。這個驗證有助於防止能力擴張。