Active Directory 权限管理

2026-03-19 5 纸飞机账号购买

查看的时候，权限是在ADUC里对象的安全标签之下来进行的，然而呢，配置以及审查用户权限，却是在组策略里进行的，具体是计算机配置大于Windows设置大于安全设置大于本地策略大于用户权限分配那里。

五、权限如何在AD中继承

AD之中的权限可不是孤立孤单的，它们是从父OU朝着子OU以及子OU里头的对象延伸拓展的，这就被称作继承，在给顶层OU赋予权限之际，所有嵌套着的OU以及对象都会自然而然地获取到这些权限，除非存在某些事物对这个流程进行了阻碍阻拦。

这便是为何用户偶尔会具备你压根未曾明确给予的访问权限，认知到这一点有益于防范访问权扩散，甚而减小无意间权限提升的概率。

要是打算阻挡继承权限的话，能够将对象的继承予以禁用，通过开启对象的属性，挑选高级选项卡，再选安全标签，还要选择把继承禁用才能够达成，如此操作完了之后，能够把继承而来的权限变革为显式权限，亦或是彻底去除。

禁用继承应当慎重予以使用，这是由于它会在结构里产生异常情况，然而当存在严格控制敏感账户或者组织对象的需求时，继承十分具有效用。

如何在 AD 中管理权限

可使用以下工具：

-PowerShell

如何在ADUC中查看和编辑权限

开启，活动目录，用户，以及，计算机，（ADUC）。

从顶部菜单选择“查看”。

启用高级功能。

右键点击你想检查的对象，然后选择属性。

去安全标签查看权限。

点击添加，选择你想分配权限的用户或组。

挑选需用的权限，比如，进行读取，开展写入，执行重置密码，去创建计算机对象。

如果你需要细致或特殊权限，请点击高级。

点击应用，然后选择确定来保存更改。

如何使用PowerShell查看或更新权限

为你提供大规模可视化与控制的是PowerShell，它于管理多个组织单元之际，在设置一致权限之时，以及自动化日常任务的进程当中，均具备显著的辅助作用。

查看权限：

授权：

ou等于双引号括起来的ou等于工作站者单位，dc等于示例，dc等于域名后缀，且整个内容也是双引号括起来的。

$User = “example\UserA”

$acl = Get-ACL “AD：$OU”

新建一个对象，这个对象呢是系统下边的目录服务的活动目录访问规则，然后把它赋值给变量$rule。

把（New-Object System.Security.Principal.NTAccount（$User），拆分成：把New-Object，System.Security.Principal.NTAccount（包含$User）。

“CreateChild， WriteProperty”，

“Allow”，

如何在ADAC中管理权限

开启的、处于可操作状态的、具备动态交互特性的交互式活动目录管理中心，也就是ADAC。

导航到目标容器或物体。

右键点击对象，选择属性。

如果安全标签不可见，请滚动到底部，点击“查看高级功能”。

进入高级>安全标签。

选择添加，选择用户或组，分配权限。

保存更改，并可选择对子对象应用继承。

点击确定>申请>确定。

如何使用组策略管理控制台（GPMC）分配安全权限

这种方法，对于文件夹的访问而言，用处极大，并且，借助策略来设置注册表，同时，进行安全设置，也是极具效用的。

开放组策略管理控制台（GPMC）。

右键点击目标域名或OU。

选择在此域创建GPO，并链接此处......

打开GPO的计算机配置或用户配置>。

进入 Windows 设置>策略>安全设置。

分配文件夹ACL时运用文件系统，配置特定的注册表ACL时借助注册表。

定义所需权限，点击确定保存。

于客户端的机器那儿，去运行 gpupdate /force ，或者等待策略进行刷新。

如何使用 Ical 分配权限

以管理员身份打开命令提示符并执行以下命令：

为“C：\Path\To\Folder”这个路径，授予Domain\Group这个组，具有读取权限，使用icacls命令。

获取“C：\绝对路径这儿\指向特定文件夹”的访问控制权列表，给予“域\组”：（修改权限）

在“C：\路径\至\文件夹”这个位置，对其执行icacls操作，执行的是授予“域\组”具有（OI）（CI）（M）这些权限的操作。

将icacls应用于叫做“C：\Path\To\Folder”的路径，以把其权限设置列表保存成C：\backup_acl.txt，并对该路径下的所有子对象包括文件和文件夹执行此操作。

让icacls这个工具，对“C：\”进行操作，操作内容是恢复，恢复所依据的是C：\backup_acl.txt这个文件。

六、管理 AD 权限的最佳实践

做到让 Active Directory 权限维持规范状态、具备安全性，重点在于培育以下核心管理方面的习惯，这些行为方式能够防止权限出现混乱状况、减小访问所存在的风险，并且能使目录在持续进行扩展的情形下仍然便于开展管理工作。

第一步，按照需求来进行委派，第二步，最小权限进行授权，第三，仅仅授予团队完成工作所需要的精确权限，第四步，像重置密码、加入计算机等这样的权限，第五步，不随便赋予完整的管理员权限。

通过运用用户组分配共享文件夹权限，把 NTFS 权限以及共享权限赋予域本地组，并且将全局组添加成为成员，要防止直接针对个人用户给予文件夹权限。

3. 对特权组予以保护，要定期去审查域管理员、企业管理员这类高权限组的成员，只有在确实有必要的情况下，才去添加用户。

4.通过定期检查来定期审计用户访问权限，及时发现继承权限、嵌套组、闲置账户以及拒绝权限，不致使这些问题造成排障困难。

防止直接对个人账户予以授权，要统一经由用户组来分配访问权限。直接进行授权容易出现遗漏情况，并且难以做出审计追溯。

6.借助预设模板来进行用户开户操作，通过该模板去创建账户，此账户的权限、组成员关系是被统一规范的，继而达成一致性之保证。

检查用户，因岗位变动、嵌套组等原因，是否保留了不再需要的权限，针对7.监控权限累积（权限蠕变）。

8. 对特权组成员中的跟踪权限的变更情况进行重点监控，针对文件夹访问权限的变更予以重点监控，对权限继承方面的变更进行重点监控，还要对 OU 级权限的变更着重展开重点监控。

9. 借助自动化，去达成 AD 自动化管理，完成账户开通工作，完成离职销户工作，完成定期权限审查工作，完成清理无效权限等工作，尽可能实现这些。

第10点，按照合规要求去开展权限审查，NIST CSF、SOX、HIPAA、GDPR等这些标准，均要求组织定期对敏感数据的访问人员以及访问理由进行审核。要让AD权限保持结构化，并且能够被文档化，如此才可以加快审计流程，进而降低合规违规风险。

七、运用ADManager Plus，将活动目录权限管理予以简化，使其变得更简便。

提供简化的活动目录权限管理这一解决方案的是ADManager Plus，它能够有效地去保持活动目录权限的整洁状态，着重强化权限的结构化管理以及可见性，借助统一管理控制台后，管理员不必在用户和计算机管理工具、自动化命令行、文件服务器还有Excel之间频繁地进行切换，从而大幅提升管理效率。

有一种组模板管理功能，这个功能能够确保，用户组在命名规范方面，在范围设定方面，以及在默认成员配置方面，都保持统一，如此一来，就能从根源上避免权限出现无序扩散的情况。针对用户入职这种场景，还有用户离职这种场景，系统能够自动完成组成员分配，能够自动完成账户属性设置，能够自动完成组织单位也就是 OU 的归属，还能自动完成限制策略配置，最终实现标准化的账户全生命周期管理。

因要保障权限定期审查能够落地实施，所以系统会自动给对应的经理发送权限审批请求，并且会完整记录下所有的权限撤销操作。活动目录自动化功能将审批工作流与自动化任务相结合，这样能够有效地防止权限出现漂移的情况，从而确保组织的权限一直能够符合合规的相关要求。

在组织架构出现变更的情况下，系统的编排功能会把用户原来的无效权限自动予以删除，并且分配新岗位所需要的权限，这样做既能切实降低权限暴露的风险，又能够迅速识别特权账户以及异常权限。与此同时，系统还对文件权限全流程管提供支持，当中涵盖了有效权限报告生成功能，批量权限修改功能，文件夹权限克隆功能以及权限撤销功能等手段，以此助力企业能够轻松地满足文件服务器审计以及合规要求。

在权限报表这块地域，ADManager Plus 内部设置了超出200种专业类工作报告，它全方位涵盖嵌套组的剖析细节，用户登录时的各种活动状况，合规方面的审计等关键场景。通过借助基于角色的委派功能手段，管理员就算不授予域管理员权限，也能够针对指定的组织单位也就是OU或者用户展开管理工作，并且所有的委派方面操作环节都能够达成全过程的审计工作，做到有相关依据可以进行查询。