在Microsoft Active Directory中,AD組應該是屬於比較難理解概念之一。事實上,AD中有多種不同的組,比如通訊組、安全組、全局組、通用組等。那麼在AD中,對於組是如何定義和分類,各種組又適合什麼樣的場景下使用纔是最安全最合適的呢?本文給出相關的描述,希望給感興趣的朋友有所啓迪!
一、組的分類:
1、根據網絡環境可劃分爲:本機組和域組
2、根據能否分配權限可劃分爲通訊組和安全組
通訊組:通訊組沒有SID,不能用於權限分配。通訊組作用是用來將許多對象組織在一起,從而集中尋址,以實現統一管理。通訊組在郵件中使用最爲頻繁。在Exchange中可以向某個通訊組發送郵件,從而實現該通訊組下所有用戶都接收到同一份郵件。
安全組:安全組也可以用於電子郵件,但安全組有SID,它最主要功能是用於權限分配,從而實現權限集中化管理和分配。
二、安全組的細分
安全組故名思義,側重於安全和權限的分配。那麼根據可訪問資源權限的大小,安全組又可以細化爲:域本地組、全局組以及通用組。簡單來說,域本地組只能在該組所屬域中使用,全局組在整個AD林中使用,通用組也可以在整個AD林中使用。上述三個組詳細的定義和區別如下:
1、域本地組:
權限範圍:域本地組只能在創建該組的當前域中使用,只可以訪問當前域中資源。
成員範圍:成員可以來自任何域中用戶或任何組
可引用範圍:
存儲範圍:只在本地域中所有DC存儲和複製
2、全局組:
權限範圍:全局組可以在整個AD林中使用,可以訪問整個AD林中的資源。
成員範圍:成員只能來自創建該組的域中的用戶和全局組
可引用範圍:同域中的全局組、林中的通用組
存儲範圍:只在本地域中所有DC存儲和複製
3、通用組:
權限範圍:通用組可以在整個AD林中使用,可以訪問整個AD林中的資源。
成員範圍:所有域的用戶、全局組和通用組
可引用範圍:所有域中的全局組、通用組
存儲範圍:通用組存儲在全局編錄域控制器中,從而在整個林中複製。
三、用戶組權限分配規則
1、權限針對用戶組分配,儘量避免針對用戶分配權限。
2、刪除用戶之前,強烈建議先只是禁用用戶一段時間。經過一個月或兩個月真的不需要該帳號後再徹底刪除該對象
3、用戶組權限分配遵循AGDLP原則
說明:A、G、DL、P策略就是先將用戶賬戶(A)加入到全局組(G),再將全局組加入到本地域組(DL)內,然後設置本地域組的權限(P)。
應用:若A域的用戶需要訪問B域的資源,則A域管理員負責在A域創建全局組,將A域用戶帳戶加入到此組中。B域管理員負責在本域創建本地域組,設置此組權限,然後將A域創建的全局組加入到本地域組中。之後由A域管理員負責維護全局組成員,B域管理員負責維護本地域組權限。以實現管理上的分散。