如果在排除權(quán)限問題導(dǎo)致的故障時，發(fā)現(xiàn)嵌套的全局安全組是罪魁禍?zhǔn)?。嵌套的全局安全組會導(dǎo)致很多問題，特別是在拒絕權(quán)限開始生效的時間上。考慮到大量基于組策略拒絕權(quán)限的存在，整個追查過程可能會相當(dāng)繁瑣。

對于活動目錄域來說，你是否應(yīng)該容許嵌套全局安全組的操作？乍看起來，對于大多數(shù)工具來說，對組成員進行故障排除相當(dāng)復(fù)雜。很多工具都有報告的權(quán)力，但如果這里存在一個嵌套組的話，就不是必須的了，比組成員的情況更簡單。

我很想說禁止對組成員進行嵌套處理，但只有在偶然的情況下，這種做法才有意義。根據(jù)個人對專業(yè)管理的認(rèn)識，在限制嵌套組成員方面，我建議使用下面的指導(dǎo)規(guī)則：

1、禁止組成員進行超過兩級的嵌套。

2、一個安全組內(nèi)的“成員”不能有超過兩種設(shè)置屬性。

3、嵌套的安全組將不能包含擁有拒絕權(quán)限的指定群體。

4、嵌套的全局安全組不能是一個擁有高級權(quán)限的組。

這是基本原則，但并不意味著對嵌套全局安全組的所有有效使用進行全面限制。這些指導(dǎo)的關(guān)鍵是權(quán)限***原則，不增加故障排除過程的負(fù)擔(dān)，并且減少由于權(quán)限以外過度分配帶來的風(fēng)險。限制嵌套組的使用也將有助于防止與令牌大小有關(guān)的問題出現(xiàn)。

關(guān)于偶然情況下出現(xiàn)的問題，***的例子就是，當(dāng)你需要向全局安全組中添加一個計算機賬戶時，如果用戶帳戶和計算機帳戶在同一個安全組混合，情況就會變得比較難辦。另一種情況會在內(nèi)置組（來自本地計算機系統(tǒng)）在和域用戶帳戶相結(jié)合以便進行單獨處理的時間發(fā)生。在這些情況中，嵌套操作可以象其它工具一樣對特定配置進行有效的處理。

【編輯推薦】

1. 系統(tǒng)安全之windows xp net命令祥解
2. 15款***的Windows安全檢測工具