內建規則會在您安裝管理伺服器時執行。當您使用這些規則時,您可能會遇到下列字詞:
定義要套用 DRA 原則的物件或內容。例如,某些規則可讓您將規則套用至特定「ActiveViews」中的特定助理管理員。某些規則可讓您從不同的物件類別中選擇,例如使用者帳戶或群組。
在管理的網域中指定類別或類型的所有物件上強制執行規則。全域規則不會讓您限制要套用規則的物件範圍。
定義規則是共同套用還是自行套用。若要建立規則關係,請定義套用至相同動作之兩個以上的規則,然後選擇規則群組選項的成員。如果操作參數或內容符合任何規則,操作就會成功。
內建規則主題:
內建規則提供商務規則,以處理常見的安全性和資料完整性問題。這些規則屬於預設安全性模型,可讓您將 DRA 安全性功能整合至您現有的企業組態。
DRA 提供兩種方式來強制執行規則。您可以建立自定規則或是從數個內建規則中選擇。內建規則方便套用規則,不需要開發自定程序檔。如果您需要執行自定規則,可以將現有內建規則調適為符合您的需求。大部分規則可讓您修改錯誤訊息文字、重新命名規則、新增描述及指定如何套用規則。
一些內建規則會在您安裝 DRA 時啟用。依預設會執行下列規則。如果您不想要強制執行這些規則,可以停用或刪除它們。
|
規則名稱 |
預設值 |
描述 |
|---|---|---|
|
$ComputerNameLengthPolicy |
64 15 (Windows 2000 以前版本) |
限制電腦名稱或 Windows 2000 以前版本電腦名稱中的字元數 |
|
$GroupNameLengthPolicy |
64 20 (Windows 2000 以前版本) |
限制群組名稱或 Windows 2000 以前版本群組名稱中的字元數 |
|
$GroupSizePolicy |
5000 |
限制群組中的成員數 |
|
$NameUniquenessPolicy |
無 |
確保 Windows 2000 以前版本和 CN 名稱在所有管理的網域中都是唯一的。 |
|
$SpecialGroupsPolicy |
無 |
防止環境中有未檢查的權限擴張。 |
|
$UCPowerConflictPolicy |
無 |
藉由讓「使用者複製」與「使用者建立」能力互斥,來防止權限擴張 |
|
$UPNUniquenessPolicy |
無 |
確保 UPN 名稱在所有管理的網域中是唯一的 |
|
$UserNameLengthPolicy |
64 20 (舊版登入名稱) |
限制使用者登入名稱或舊版登入名稱中的字元數 |
DRA 提供數個規則,您可以針對您的安全性模型加以自定。
附註:您可以針對 DRA 使用者介面目前沒有顯示的內容,建立一個需要輸入內容資料的原則。如果原則需要某項資料,但是使用者介面未提供欄位以供輸入值,例如為新使用者帳戶輸入部門資料,則您將無法建立或管理該物件。若要避免這個問題,如果是設定需要輸入內容資料的原則,請僅使用那些可以從使用者介面存取的內容。
允許您將程序檔或可執行檔連結至 DRA 或 Exchange 操作。自定原則可讓您驗證您選擇的任何操作。
允許您全域地針對使用者帳戶、群組、OU、聯絡人或電腦強制執行名稱長度上限。
規則會檢查名稱容器 (通用名稱或 cn) 以及 Windows 2000 以前版本名稱 (使用者登入名稱)。
允許您全域地針對群組的成員數強制執行限制。
確認 Windows 2000 以前版本名稱在所有管理的網域之間是唯一的。在 Microsoft Windows 網域中,Windows 2000 以前版本名稱在網域內必須是唯一的。此全域規則會在所有管理的網域之間強制執行此規則。
確認使用者主體名稱 (UPN) 在所有管理的網域之間是唯一的。在 Microsoft Windows 網域中,UPS 在網域內必須是唯一的。此規則會在所有管理的網域之間強制執行此規則。因為這是全域規則,所以 DRA 會提供規則名稱、描述及規則關係。
防止您管理管理員群組的成員,除非您是該管理員群組的成員。此全域規則預設為啟用。
當您限制對於管理員群組成員的動作時,「建立規則精靈」不需要額外資訊。您可以指定自定錯誤訊息。因為這是全域規則,所以 DRA 會提供規則名稱、描述及規則關係。
防止可能的權限擴張。當此規則啟用時,您可以建立使用者帳戶或複製使用者帳戶,但是您無法同時具有這兩項權限。此全域規則會確保您無法在相同 ActiveView 中建立及複製使用者帳戶。
此規則不需要額外資訊。
允許您建立命名慣例,套用至特定助理管理員、ActiveViews 及物件類別,例如使用者帳戶或群組。
您也可以指定此規則監控的確切名稱。
允許您建立規則以驗證 OU 或帳戶物件的任何內容。您可以指定預設值、內容格式遮罩及有效值和範圍。
使用此規則,藉由在您建立、複製或修改特定物件的內容時驗證特定項目欄位,以強制執行資料完整性。此規則提供相當大的彈性和權限來驗證項目、提供預設項目及限制各種內容欄位的項目選項。藉由使用此規則,您可以在任務完成之前要求製作正確的項目,進而維護管理的網域之間的資料完整性。
例如,假設您有三個部門:製造、銷售和管理。您可以將 DRA 接受的項目限制為只有這三個值。您也可以使用此規則來強制執行適當電話號碼格式、提供有效資料範圍或要求電子郵件地址欄位的項目。若要為電話號碼指定多個格式遮罩,例如 (123)456 7890 以及 456 7890,請將內容格式遮罩定義為 (###)### ####,### ####。
允許您建立規則以根據 Active Directory 群組成員資格來指定 Office 365 授權。當成員從相關 Active Directory 群組中移除時,此規則也會強制執行 Office 365 授權的移除。
如果將未同步至雲端的使用者新增至 Active Directory 群組,使用者會在 Office 365 授權指定給該使用者之前進行同步化。
在建立規則期間,您可以指定數個內容和設定,例如規則名稱和助理管理員嘗試的動作違反此規則時所顯示之錯誤訊息的用字。
確保帳戶上僅啟用 DRA 規則指定的授權。將移除所有其他授權。設定會包含在「租用戶內容」頁面中,這可根據每個租用戶設定。此設定會用於 DRA Office 365 授權規則,以設定將強制執行授權指定的方式:
啟用此設定時,DRA 授權強制執行將確保只有透過 DRA 規則指定的授權會佈建到帳戶 (在 DRA 外部指定的授權將從指定給授權規則的帳戶中移除)。停用此設定時 (預設值),DRA 授權強制執行將只能確保會將您包含在 Office 365 規則中的特定授權佈建至帳戶 (從授權規則取消指定帳戶時,則只會取消佈建該規則指定的授權)。
因為內建規則屬於預設安全性模型,所以您可以使用這些規則來強制執行您目前的安全性模型,或修改它們以更加符合您的需求。您可以變更數個內建規則的名稱、規則設定、範圍、規則關係及錯誤訊息。您可以啟用或停用每個內建規則。
您也可以輕易地建立新規則。