最低权限

　　因为TMG是应对来自互联网和非受信的外部网络攻击的中央防护点，因此授权时应遵循最低权限原则。

　　限制来宾帐户

　　不建议使用内置的来宾帐户，因为来宾帐户有访问“所有验证用户”组的权限。如果启用来宾帐户(默认情况下停用)，来宾帐户将具备授予给“所有验证用户”组的所有权限。

　　AD-LDS中的TMG管理角色

　　如上所述，TMG将配置及管理角色保存在本地的AD-LDS或AD-LDS数据库的中心企业管理服务器。

　　如果要查看AD-LDS中的管理角色，必须要连接AD-LDS实例。启动Adsiedit.msc并连接到位于2171端口的AD-LDS实例，可以以通用名(Common Name，CN) FPC2打开TMG的AD-LDS配置，如下图所示。

　　图3：连接到TMG的AD-LDS实例

　　定位到“CN=Arrays”或“CN=Enterprise”，以查看存储于AD-LDS的TMG配置。在通用名“Admin Security”下，可以在“CN=DelegatedAdmins”部分看到预设的已授权管理角色。

　　图4：AD-LDS中的已授权管理角色

　　TMG企业的管理角色

　　如果TMG服务器已加入由企业管理服务器管理的企业级阵列，则可以授权管理整个TMG企业。

　　Forefront TMG在企业级有两个内置的管理角色：

　　·TMG企业管理员：该角色可以在企业及企业所属的TMG阵列内执行所有管理任务。

　　·TMG企业审计员：隶属于该管理角色的用户和组可以为TMG企业及每个TMG阵列执行TMG监控任务。

　　在企业级对用户和组分配管理角色的方式同TMG阵列级的分配方式相同。

　　结语

　　本文简要介绍了Forefront TMG标准版和企业版分配管理权限的方式。通过不同的TMG管理模式，用户可以使用一些预定义的角色来管理TMG的不同部分。