Active Diretory 全攻略(五)--规划和建立组

简介:
  
    简单来说,将组看成一个逻辑单位,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,任何加入这个组的对象都会拥有这个组具有的权限。
   域内的组,和用户帐户一样,也具有一个独一无二的SID,这些能够被赋予权限的对象(帐户或组),我们称之为安全策略。注意一下:能够指派权限的组又称为安全组,另外还有一种不能指派权限的通讯组。
   下面来认识下组作用域:不管是哪一个组都有其作用域,即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。
   03一共有三种组作用域:
     1、本地域:使用范围是本域的组,叫做本地域组。
      本地域组可以包含三种成员:1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式,则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围,指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下:若组中包含其它的组(其它域区域、通用域通用组),称为组的嵌套。本地域组只限于访问同域的资源,无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组,然后再将全局组加入本地域组中。
     下面再来区分一下本地组与本地域组:WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域,它们只有本地组(LOCAL GROUP)。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中,则本地组除了可包含本地用户帐户外,还可以包含:1同域的域用户帐户,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,加入域后都使用权本地域组来进行管理域内的资源。
          2、全局:指派权限时使用范围可涉及林,但只能够含同域的其它帐户或组。叫做全局组。全局组可包含两种成员:1、同域的用户帐户,2、若域功能等级设为WINSOWS2000纯粹模式或WINDOWS SERVER 2003模式,则可包含同域的其它全局组。
   全局组的权限范围是整个林,也就是说,我们可以将A域资源的访问权限指派给B、C、D等域的全局组,但是在实际应用上,最好将全局组加入本地域组中而不要直接将权限指派给全局组。
      应用:利用本地域组与全局组来管理单一域。其规划方式称为“AGDLP”。下面举个例子:把需要相同权限的用户帐户加入同一个通用组,如将产品部门的员工加入PRODUCTS,会计部门的员工加入ACCOUNTINGS全局组中。把全局组加入本地域中,将PRODUCTS和ACCOUNTSINGS加入PRINTERS这个本地域组中。将域内资源的访问权限指派给本地域组。比如将打印机的访问权限指派给PRINTERS本地域组,则PROUDUCTS与ACCOUNTINGS就可以使用打印机了。使用删除和加入都是权限分配与否,非常方便。
         3、通用:使用范围涉及到整个林。叫做通用组。通用组包括三种成员:1、任何域的用户帐户,2、任何域的全局组。3、任何域的通用组。由于跨域访问资源时,会利用全局编录来查询资源所在的位置,所以不同域的全局编录彼此间需要相互复制数据,以确保数据的同步。通用组的特性会把组名称和包含的成员都发布到全局编录上,如果其成员变动,就会触发全局编录之间的复制动作,造成网络可观的负载。然而,全局组和本地域组则只有组名称会记录于全局编录,组包含的成员信息不会放在那里,所以无论其成员如何变动,都不会影响到全局编录的属性而触发复制机制。
   下面来看个 利用通用组管理多个域。通用组存在的目的就是为了简化多域(林)的管理工作。假如:旗标公司在广州总部和梅州与湛江两个分公司,总部和各个分公司的财务人员都要能够访问彼此的财务报表,在不使用通用组时如下图。
然后看下使用通用组的图:
对比两图:通用组中并没有直接包含用户帐户,而是包含各域的全局组,这样就可以有效降低因全局编录间彼此复制所造成的负载。不使用通用组则必须将各个全局组加到本地域组中,才能够让所有财务人员都能够访问到各分公司财务报表,显然比较麻烦。
  下面给也几个 利用组规划的策略:1、将资源的访问权限指派给本地域组,然后将林中的全局组或通用组加到本地域组中,以获得该项资源的访问权。2、将域内相同权限的用户帐户组织在全局中,再将全局组加入各个本地域组中。3、在多域的环境中,将相同权限的全局组组织到通用组中,然后把通用组加入各个本地域组中,尽量不要在通用组中包含用户帐户。4、组中包含其它组的嵌套不要太复杂,建议采用单层结构即可。
 
下面来进行实战: 利用组管理域
   新建组:
这里在USERS容器中来建。
 
填好资料。先建立一个本地域组。
 
再建立一个全局组
 
建好后看上面。
现在来将用户加入全局组,点击PRODUCTS,属性。
将李小龙这个用户加入,可以检查下名称,看输入的对不对。
这里便加入了全局组。
也可以在隶属于选项卡中加入组中。
 
点击李小龙的属性可以看到加入了全局组。
 
 
下面来将 全局组加入本地域组
点击PROUDUCTS属性。
点击添加。这里是输入加入到PRINTERS本地域组中。
点PRODUCTS属性可看到加入到了PRINTERS中。
点击PRINTERS属性也可看到其成员是PRODUCTS。
 
下面来看 将资源访问权限指派给本地域组
执行开始-打印机和传真。点击属性。
点添加。输入要加入的PRINTERS组。
可看见加入了组。PRINTERS组便会有了打印的权限。
下面来看 重新命名组
注意:更改组名后,其SID并不会变,所以此组属性对话框中的设置,和已经指派给这个组的权限都不会变。
输入后按回车便出现对话框。
下面来 认识下组类型:03支持安全组和通讯组这两种类型。
        安全组和用户帐户一样,每个安全组都会有个独一无二的SID,所以我们可以直接将资源的使用权限指派给安全组。但在客户端和非域控制器的服务器中的本地组,并没有安全组与通讯组的差别,本地组都是安全组。
       通讯组:并没有SID,因此不能够用它来指派对象的访问权限,它的功能是来组织其成员的电子邮件地址,注意邮件处理程序必须支持ACTIVE DIRECTORY才能够使用通讯组。如(EXCHANGE SERVER2000/2003。其实安全组也是通讯组来的。
       联系人:无论是安全组还是通讯组都可以包含联系人对象,联系人也没有SID,即使指把联系人加入安全组也不会具有该组的权限。
新建联系人。
 
 
下面来认识下 03内置组:有五种:内置本地组,内置的本地域组,内置的全局组,内置的通用组,内置的系统组。这些内置组都是事先设置好的用户权利。
非域控制器的内置本地组,安装WIN2003后,系统会自动建立内置本地组,但安装AD服务成为域控制器的计算机其中所有的本地组,包含内置的本地组都会被删除。所以我们只能够在独立服务器,成员服务器等非域控制器计算机上看到内置本地组。而且是无法将它们删除的。
下面看下 客户端的内置本地组
工作组模式才需要本地组。
下面看下 内置的本地域组。在域控制器上:BUILTIN容器中的都是内置本地域组。当独立服务器和客户端加入域后,系统自动把域控制器的DOMAIN ADMINS全局组加入这些计算机的ADMINISTRATORS本地组,并将DOMAIN USERS 全局组加入这些计算机的USERS本地组,所以域的ADMINISTRATOR可以管理这些计算机,而域中一般用户也可以登录使用这些计算机。除了内置的本地域组外,系统还会在USERS容器中产生内置的全局组与通用组,这些组本身并没有任何用户权利与权限,它们的用户权利与权限完全来自隶属的内置本地域组。所以可以直接把用户加入到这些组中,便具有内置的相应权限。
    内置的系统组:每台03服务器和客户端都还有一组特别的系统组,称为内置安全性主体。这些组只会在指派用户权利或设置权限时才会出现,平常看不见它。比如:
点“我的文档”
点添加。
点高级
点立即查找便可看见了。
 
下面来看指派用户权利。在域中利用组策略编辑器来指派用户权利给组,
域控制器默认会放在DOMAIN CONTROLLERS组织单位中。
按编辑。
双霹允许在本地登录。
按添加用户域组。
添加成功。
下面来看下 指派本地的用户权利
即是在工作组中的独立服务器,必须使用“本地安全设置”
双击在本地登录。
按“添加用户域组”
输入要添加的组。
按确实即可。完成。。。
 



  本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/94424 ,如需转载请自行联系原作者


相关文章
|
6月前
|
人工智能 自然语言处理 API
AI应用开发-003-Coze平台
智能体是具备感知、决策与行动能力的AI系统,由大语言模型、记忆、规划、工具使用和行动五大核心构成。通过Coze平台可零代码搭建智能体,结合插件、知识库与工作流,实现个性化AI应用,广泛应用于客服、助理、开发等场景。
899 2
AI应用开发-003-Coze平台
|
数据挖掘 定位技术
男性多项身体维度数据探索
男性多项身体维度数据探索
722 0
|
9月前
|
监控 安全 算法
137_安全强化:输入过滤与水印 - 实现输出水印的检测算法与LLM安全防护最佳实践
随着大语言模型(LLM)在各行业的广泛应用,安全问题日益凸显。从提示注入攻击到恶意输出生成,从知识产权保护到内容溯源,LLM安全已成为部署和应用过程中不可忽视的关键环节。在2025年的LLM技术生态中,输入过滤和输出水印已成为两大核心安全技术,它们共同构建了LLM服务的安全防护体系。
834 148
|
3月前
|
人工智能 弹性计算 机器人
Hermes Agent怎样部署?阿里云推出三种一键快速部署方案,总有一种适合你!
Hermes Agent是由Nous Research开发的开源自主AI智能体,部署于本地服务器,具备持久记忆与自我学习闭环(自主建技、持续优化、跨会话召回),真正“越用越聪明”。阿里云提供计算巢、无影云电脑、轻量应用服务器三种一键部署方案,开箱即用。
1168 9
|
人工智能 NoSQL 数据可视化
n8n:16万Star超明星项目的架构解读
n8n从单体架构逐步演进为企业级集成平台,具备AI集成能力,适用于自动化场景,成为iPaaS领域的优选方案。
700 0
n8n:16万Star超明星项目的架构解读
|
6月前
|
人工智能 运维 API
火爆全网的Skill自己怎么做?老金来教你!(含避坑指南)
本文深度解析Anthropic官方Skills开发指南(anthropics/skills),揭秘“渐进式展示”三层架构:100词元数据决定触发、5000词主体承载核心逻辑、资源按需加载。老金亲测踩坑,提炼6步实操流程与避坑公式,助你零基础打造高效、可维护的专业Skill。(239字)
11795 4
|
10月前
|
人工智能 物联网 BI
诊断设备企业必看!垂直医疗行业的CRM软件有哪些?
2025年,诊断设备企业竞争核心转向精细化服务。传统CRM难堪重任,垂直医疗CRM成破局关键。本文深度解析八骏医疗云等五大解决方案,揭秘如何通过设备全周期管理、代理商管控、智能耗材预警与私有化部署,构建以客户为中心的服务体系,抢占增长制高点。
510 124
|
9月前
|
CDN
如何切换阿里云CDN的加速区域?
本文介绍如何通过阿里云CDN控制台切换加速区域,涵盖登录、域名管理、修改加速范围及注意事项,助企业轻松实现从中国大陆到全球的CDN加速调整,优化海外用户访问体验。
|
8月前
|
机器学习/深度学习 人工智能 自然语言处理
多模态交互+大模型赋能:2025AI数字人十大技术突破全景解析
AI数字人2025迎十大突破:超拟真语音、高精度表情、多模态交互、大模型赋能、实时渲染优化、跨语言翻译、情感计算、虚实融合、隐私安全与自主学习,广泛应用于政务、医疗、金融等领域。世优科技推出“世优波塔”,实现全栈式落地,助力企业数字化转型。
751 0
多模态交互+大模型赋能:2025AI数字人十大技术突破全景解析
|
9月前
|
缓存 JSON 自然语言处理
跨国采购 item_search 接口对接全攻略:从入门到精通
本文详解跨境电商多平台商品搜索接口(item_search)的标准化对接方案,覆盖Amazon、eBay、Lazada、速卖通等平台。从业务场景出发,剖析选品、比价、供应商筛选等核心需求,提出“统一接口+差异化适配”框架,实现关键词搜索、多条件筛选与数据标准化。通过抽象基类封装认证、参数映射、响应解析等共性流程,结合多语言处理、汇率转换与重试机制,构建高效稳定的全球采购搜索系统,助力企业提升决策效率与市场竞争力。(238字)