配置AD对象的SACL

---

对于以下报表：

1. GPO/OU
2. 扩展属性变更
3. 权限变更
   

除了设置默认域控制器策略（"Default Domain Controllers Policy"）之外，还需要针对各种AD对象，分别配置不同的系统访问控制列表（ SACL）。本文档旨在指导您如何配置SACL。

要配置SACL，您必须是活动目录中 "Domain Admins" 或 "Enterprise Admins"组的成员，或者您必须获得相应的授权。  

本文档将介绍如何配置AD对象的SACL。

1. 使用"Active Directory 用户和计算机"(dsa.msc) 来配置以下对象：
   

1. OU

2. GPO

3. 用户

4. 组

5. 计算机

6. 联系人

2. 使用"ADSIEDIT"(adsiedit.msc)（您可能需要另行安装该工具）来配置以下对象：
   

1. 容器

2. 密码设置对象

3. 配置

4. 架构

5. DNS对象

---

1. 配置SACL的步骤 - OU/GPO/用户/组/计算机/联系人

1. 打开"Active Directory用户和计算机".  

1. (点击"开始" -> "控制面板" -> 双击 "管理工具"   -> 让后双击 "Active Directory 用户和计算机 ")

2. 确保查看菜单下的 -> "高级功能" 已被选中。它将显示AD对象的高级安全设置。

3. 在控制台树状结构中，右击 "域名"

4. 点击"属性", 然后点击对话框中的 "安全"页签。

5. 点击"高级" 打开域的"高级设置"窗口。

6. 点击 "审核"页签，然后点击"添加"添加要应用策略的新的安全主体 (我们这里是 "Everyone")  然后点击确定

7. 它将打开选择 "域的审核项目"的窗口。

配置groupPolicyContainer对象的SACL

返回顶部

正如上述 "groupPolicyContainer" 对象一样，请按照相同的步骤，设置其它对象。

下表列出了不同的AD对象所需要配置的"访问"动作和"应用到"的目标对象。

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
1. OU	创建组织单位对象 创建组织单位对象	这个对象及全部子对象	这个对象及全部后代
	写入全部属性 删除 修改权限	组织单位对象	后代组织单位对象
2. GPO	创建groupPolicyContainer 对象 删除groupPolicyContainer 对象	这个对象及全部子对象	这个对象及全部后代
	写入全部属性 删除 修改权限	groupPolicyContainer 对象	后代groupPolicyContainer  对象
3. 用户	写入全部属性 删除 修改权限 所有扩展权限	用户对象	后代用户对象
4. 组	写入全部属性 删除 修改权限 所有扩展权限	组对象	后代组对象
5. 计算机	写入全部属性 删除 修改权限 所有扩展权限	计算机对象	后代计算机对象
6. 联系人	写入全部属性 删除 修改权限 所有扩展权限	联系人对象	后代联系人对象

 

返回顶部

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
容器	写入全部属性 删除 修改权限 所有扩展权限	容器对象	后代容器对象

2. 所有密码设置对象的审核项目

 配置密码设置对象的SACL的步骤

1. 打开运行提示窗口 (按Windows+R)，输入 adsiedit.msc 回车（如果没有该工具，需要另行安置该工具）。

2. 右击ADSI编辑器节点，选择"连接到.."，打开连接设置对话框。

3. 在连接点中 -> 选中 已知命名上下文 -> 选择'默认命名上下文'点击确定关闭该对话框。

4. 点击编辑器中树状节点的 '默认命名上下文'，展开该节点。

5. 展开域名节点。

6. 展开系统（System）容器。

7. 右击密码设置容器（"Password Settings Container"），选择 "属性"，打开属性对话框。

8. 进入'安全' 页签，点击 "高级"，打开审核项目设置对话框。

9. 选择"审核" 页签，点击 "添加"按钮，然后按照下表的内容，配置审核项目。

设置 SACL 的对象	CN=Password Settings Container, CN=System,<Default Naming Context>
审核项目应用到	Everyone
类型	成功

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
密码设置容器	创建 msDS-PasswordSettings 对象 删除 msDS-PasswordSetting 对象	没有该内容，不用设置	这个对象及全部后代
	写入全部属性 删除 修改权限	没有该内容，不用设置	后代 msDS-PasswordSettings 对象

3. 配置/架构的审核条目

 配置/架构的SACL设置步骤

1. 打开运行提示窗口 (按Windows+R)，输入 adsiedit.msc 回车（如果没有该工具，需要另行安置该工具）。

2. 右击ADSI编辑器节点，选择"连接到.."，打开连接设置对话框。

3. 在连接点中 -> 选中 已知命名上下文 -> 选择'配置'（架构的情况下，选择架构）点击确定关闭该对话框。

4. 双击左边面板中的配置/架构。

5. 右击配置上下文/架构上下文，选择'属性' -> '安全'页签

6. 点击高级按钮，然后选择'审核'页签

7. 然后按照下表的内容，添加/编辑审核项目。

---

AD配置(Configuration)对象的审核项目

设置SACL的对象	Configuration Context
审核项目应用到	Everyone
类型	成功

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
配置（Configuration）	创建所有子对象 写入全部属性 删除所有子对象 删除 修改权限 所有扩展权限	这个对象及全部子对象	这个对象及全部后代

AD架构（Schema）对象的审核项目

设置SACL的对象	Schema Context
审核项目应用到	Everyone
类型	成功

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
架构（Schema）	创建所有子对象 写入全部属性 删除所有子对象 删除 修改权限 所有扩展权限	这个对象及全部子对象	这个对象及全部后代

---

4. AD的DNS对象的审核项目

配置DNS对象的SACL的步骤

1. 打开运行提示窗口 (按Windows+R)，输入 adsiedit.msc 回车（如果没有该工具，需要另行安置该工具）。

2. 右击ADSI编辑器节点，选择"连接到.."，打开连接设置对话框。

3. 在连接点中 -> 选中 "选择或输入可分辨名称或命名上下文"，输入相应的名称。这里要输入的名称依赖于您的域名，zone存储的分区。

1. 如果 zone 存储在默认的域分区，可直接输入 DC=您的域名,DC=com 作为可分辨名称。 (相当于ADSIEDIT默认加载的部分t)。

2. 如果 zone 存储在DomainDNSZones 分区，可直接输入 DC=DomainDNSZones,DC=您的域名,DC=com 作为可分辨名称。

3. 如果 zone 存储在ForestDNSZones  分区，可直接输入 DC=ForestDNSZones ,DC=您的域名,DC=com 作为可分辨名称。

4. 输入之后，点击确定，如果输入的名称正确，将会在ADSIEDIT的左边树状节点中添加新的您所输入的节点。

5. 双击添加的节点，展开该节点。

6. 右击MicrosoftDNS，选择 "属性" -> “安全”页签。

7. 点击”高级“按钮，选择”审核“页签。

8. 然后，按照下表的内容，配置审核项目。

   
   

设置SACL的对象	*Default Domain partition, DomainDNSZones partition, ForestDNSZones partition
审核项目应用到	Everyone
类型	成功

审核项目	访问	应用到
		Windows Server 2003	Windows Server 2008/Windows Server 2012
DNS Zones	创建DNS Zones 对象 删除DNS Zones 对象	这个对象及全部子对象	这个对象及全部后代
	写入全部属性 删除 修改权限	DNS Zone对象	后代DNS Zone对象
DNS Nodes	创建DNS Nodes 对象 删除DNS Nodes 对象	这个对象及全部子对象	这个对象及全部后代
	写入全部属性 删除 修改权限	DNS Node 对象	后代DNS Node对象

 注意: 设置必须按照您的域名及Zone存储的分区来加以应用。

---

返回顶部