管理提示
.gif "重要事項") 重要事項 |
|---|
在 .NET Framework 4 版 中,Common Language Runtime (CLR) 不會為電腦提供安全性原則。Microsoft 建議您使用 Windows 軟體限制原則做為 CLR 安全性原則的取代項目。本主題中的資訊適用於 .NET Framework 3.5 (含) 以前版本,而不適用於 4 (含) 以後版本。如需這項變更和其他變更的詳細資訊,請參閱 .NET Framework 4 中的安全性變更。 |
本章節中所描述的常規適用於每一個管理案例。 當您設定和管理安全性原則時,請將這些常規謹記在心。
原則管理的長期策略
定義可用來管理原則的適當信任類別。 定義幾個程式碼群組,以便區分可能會在您的環境中執行的程式碼,並定義每一個群組應該收到的使用權限。 依情況建立原則並進行部署。 您應該在初次設定環境時建立整體的原則,而不是在需要執行不同的應用程式時再逐一建立。
管理層級
您選擇管理的原則層級是根據所要影響的範圍來決定。 對於影響最少使用者,但仍然滿足管理案例的最低原則層級,一定要管理它的安全性原則。 例如:
如果您是要管理會影響企業中每一部工作站和每一位使用者的原則,請在企業層級加入原則。 如果並不是要影響企業中的每一部電腦,請不要在企業層級加入原則。
如果您是要管理會影響某部電腦上所有使用者的原則,請在電腦層級加入原則。
如果您是要管理特定使用者或使用者群組的原則,請在使用者層級加入原則。
檔案系統
請盡可能使用 NTFS 檔案系統來儲存安全性原則檔案。 NTFS 會根據使用者和群組來協助提供檔案保護,而且只允許具有特定層級管理權限的使用者可以直接編輯安全性設定檔。 不使用 NTFS 檔案系統的系統允許未經授權的使用者修改安全性原則,因而造成安全上的弱點。