AD的组问题（转）

http://www.winmag.com.cn/forum/itemdisplay.asp?boardid=5&id=563452

AUserGroupisalogicalgroupingofuseraccountsunderoneentity,the
entity(group)representsallusersthatareincludedinitassuchitcanbe
grantedrightsandpermissionsthatallmemberswillinherit.
GroupsunderWindows2000areclassifiedundertwomainclassesthatdetermine
thegroupsabilitytoreceiveresponsibilities(type)andthegroupsscope.

The recommended procedure of using groups in a single domain based environment
is:
1. Add user accounts to Domain Global groups based on logical groupings
(departments, job description ect.).
2. Add Domain Global groups to Domain local groups created to represent
different resources (shares, printers ect.).
3. Grant permission to the Domain Local groups.
4. In a multi domain environment use Universal groups for problems that can’t
be solved with the former solution such as consolidating multiple Global
groups from different domains under one group.

需要注意的是：
按类型：分为安全组和分布组；
按范围：分为全局组、域本地组（DomainLocalGroup）和通用组。

组的类型决定组可以管理哪些类型的任务，组的范围决定组可以作用的范围。

1。安全组：顾名思义用户安全设置（授权）方面（每个安全组都有SID），安全组的成员能继承安全组的权限（这一点最重要）

2。通讯（分布）组：通讯组不具备安全相关的功能（没有SID），不能用于设置访问控制，通常用于发送电子邮件。

注意：安全组具备分布组的功能，你可以理解分布组是安全组的子集。

下面按照范围划分的组就要引出混合模式和本机模式了（建议楼主先具备区分两者的概念，可以看看帮助）

3。全局组：全局组的范围（指派权限的范围）是整个林（可以把域的资源权限指派给同林其他域的全局组『跨林应该不行』），但是只能内涵本域的帐号和组（本机模式下可以包含同域的其他全局组）。

4。域本地组：范围是本域。内含是任何域的用户帐户，任何域的全局组，本机模式下可以包含林内任何域的通用组和同域的域本地组。

5。通用组：范围是整个林，内含是任何域的用户帐户，任何域的全局组，任何域的通用组。

补充：在计算机加入域前就只有本地组（localgroup）：应用范围是本机（只有本机资源可以指派）。

加入域后本地组除了可包含本地用户和内置组外还可以包含同域用户帐户，同域的域本地组，整个林的全局组，通用组。

最好设置管理域资源的时候把权限设定在域本地组上（如果直接设定给用户帐号，一旦改帐号将来删除，会带来错误）

通常的做法是：把用户组织为全局组，把全局组加入域本地组，把访问权限指派给域本地组。这就是所谓“AGDLP”规则。

注意：由于GC中不仅包含通用组，还包含有通用组的成员信息，因此每次对通用的修改（成员增加/删除），都会引发GC复制流量。所以，通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外，WIN2000在登录时系统需要向GC查询用户的通用组成员身份，以生成访问令牌，所以在GC不可用时，WIN2000用户有可能不能正常访问网络资源。

楼主，你没仔细看我写的，或者我写的太乱。

1。使用通用组的目的是为了简化管理（减少管理工作量），如果不使用通用组，就要将各个全局组加入到域本地组，最后将权限指派给该组。因为全局组使用范围虽然大，但是其成员只能是本域的。而使用通用组就简化了操作步骤－－－如有一个新的资源要指派权限。我们只需要把该通用组指派到域本地组就可以了，而不需要把N个全局组添加到域本地组。尤其是资源越分散的林内，优点就越明显。

我不是jzlld那样的老师，我暂时想不出形象的例子来说明使用通用组的好处，值得注意的是，在多域环境，分散于多域的多种资源需要指派给分散于多域的多个用户，而该用户具有相似的特征（例如分属各个分公司的同一部门）。这时使用通用组能有效减少管理员的工作量，并保持较“干净”的分组环境（这不是官方的名词），但是有些朋友的DC经常报错，请我去帮忙的时候，我常常会看到剪不断理还乱的分组环境（简单的说是乱分，分到最后很多用户都有莫名其妙的权限），很头痛的。


另外，单域单站点的环境下，我们可以使用通用组替代全局组，但是在多域多站点环境下，这样做效率太低。我认为使用全局组的目的是避免频繁修改通用组带来的全局编录复制的负担。

2。说明你还没有认真看，在概念上没有理解全局组和通用组的区别。

3。加入全局组的目的主要还是简化操作。避免把管理员累死以及保持纯洁。

4。二楼哥们写的也是这几种组的概念

我刚才找了一下，江小帅过去举过类似的例子，下面我改编了一下。

全局组：中国世界贸易部门（中国范围内的全局组）－－－－应用范围是全世界的，单成员不管是单位（组）还是个人（帐户）都是中国的。

通用组：国际世界贸易组织－－－－这范围和成员就大了。

因为国际世界贸易组织（通用组）地位的重要（小布什觊觎已久），一旦其中发生人事变动就必须要通知到其范围内的所有国家的（全局组）－－－在各个站点的GC因为要同步开始复制数据会造成网络的负担，一些比较偏远的国家（网络连接不太好，导致数据同步出现问题）可能无法及时发现这些人事变动，就会产生错误“怎么换人了？我还不知道。”

当然各个国家的世界贸易部门（全局组）发生人事变动就不用这么大费周章了。

如果各个国家想要了解互相鸡蛋市场的价格（分散在各个国家（域）的资源），那么直接问对方要就要对方把权限指派给自己本国的贸易部门（全局组），上百个国家来要就要指派上百次。如果对方是以世贸组织的名义来得，我们只需要指派给世贸组织（通用组）就行了。关你张三李四英国人美国人，只要你是世贸的就可以了。

值得注意的是：因为鸡蛋市场上的老板们不认识外国人，这就必须要给外国人一个名义也好介绍信也好，暂时加入中国农村信用合作社（域本地组）吧。

本来我在看关于Kerberos的书，因为这也牵涉到组的访问控制及权限继承。所以我才有兴趣回答这方面的问题－－当然我也在论坛上搜索了过去的很多帖子。

说实话看你的问题像看文字游戏。呵呵，其实你之所以会有这么多问题是因为你还没有真正从概念上理解组的意义。或者说没明白组的好处。

建议你动手配置一个环境测试一下各个组之间的关系。立刻就能明白为什么不能乱划分组。

我不知道你是准备靠网络认证还是要找工作。我觉得你在问问题上花了太多的时间。网管是一项以实践为基础的工作。他不像哲学，不像数学。单纯的思考不能帮助你有效的理解这些概念。我打赌你动手配置一下几个小时就明白了。与其抱着书本反复思考概念和考试中出题人有可能怎么换个说法来问，不如动动手。你会发现其实这都是简单的概念，不需要死记硬背的。

我给你一个例子，你配置一下，两个电脑就行（虚拟机也行）。

1。先创建一个简单的林环境：第一个域（林根域）的DC是GC，第二个域的是个标准DC。

2。升级为本机模式。

3。在每个域中都创建一个通用组。

4。分别把两个域的administrator帐号放到对方的这个通用组中。

5。在第二个域的DC上我们打开该域administrator帐号的属性，点击成员。我们可以发现在此不会显示其是根域的通用组成员（当前DC不是GC）

6。在根域的DC上查看administrator帐号的属性的时候，我们在其成员选项中可以看到他是第二个域通用组成员。（默认根域是GC，你可以用nlterst/dsgetdc:域名/gc来看看）


你可以思考一下，或者你自己按照自己的想法试验一下，看看能不能得出“意外”的结果


上面的例子目的还是帮你区分全局组和通用组。这也就是你问的第一个问题和第二个问题的回答。看啊，你两个问题甚至一样长。

对于第三个问题，用户加入组和组加入组权限上没什么区别，我不明白“那他的权限与全局组的区别”指的是什么，看你的使用方式，好像域本地组和全局组与通用组的区别并不大。我建议你在使用域本地组和全局组的时候最好表述清楚－－哪个域的域本地组？哪个域的全局组？


域本地组和全局组成员身份存储在本地域中（这个说法可能不太“官方”），不存储在GC中。通用组存在GC中。看起来似乎差别不大，但是应用起来却差很多。

1。因为在分支的DC上执行LDAP（如果你不知道为什么要执行也暂时没关系，你可以想象成为一种检索）只能返回该DC所在域的域本地组和全局组。

2。在GC上LDAP能返回GC所在域的域本地组和全局组还有林中的全局组（可以在WIN2003的DC上缓存通用组成员，2000可能不行我没试过）。

我建议你不要考虑太多的能与不能。你应该多考虑怎么做好－－效率更高，更容易修改，更不容易出错（想想之前说的“AGDLP”规则）。

之前我们讨论的都是能与不能的。而且也举了不少例子，概念也是反复前调（可以再看看3楼，基本上3楼的概念也是总结过去的帖子）。

举个具体的例子在单域的情况下：一个公司内市场部和行政部的员工需要使用打印机（老板考虑到成本问题要求限制使用打印机），作为网管你把市场部员工帐号加入到A组（全局组－－－－如果将来和总公司域合并了你就明白好处了），把行政部的员工帐号加入B组（全局组）；创建一个可以使用该打印机的域本地组C（创建一个域本地组把该打印机的使用权赋予该组）；把A，B组都加入到C组。

下面来说明一下，如果将来市场部不需要使用该打印机了，只需要把A组从C组里删掉就可以了。如果我们没有设置A组，直接就把市场部成员帐号一个一个加到C组里，那么此时我们要一个一个从里面删除（删到一般领导又后悔的可能性还是有的）；如果将来需要市场部所有员工使用另一资源时，我们就不用再创建A组了（节省了工作量）；尤其该资源位于另一信任域内时这优点就更加明显（在这里就暂不讨论了）。

如果又有新的部门暂时需要使用打印机，我们把他们加入C组就可以－－－如果C组内不是一个一个的组而是一个一个的帐号，那么将来他们不需要的时候从C组中删除的时候我们就有可能误删市场部和行政部内需要经常使用打印机的帐户，如果使用组就排除了这种可能性（这难道不好吗）。

为什么要创建C组呢？想象一下如果没有C组打印机的访问控制列表会有多复杂。直接把权限指派给全局组效率太低。

怎么样？现在是不是对于域本地组和全局组的概念清晰很多了？

再举一个例子帮助你理解全局组和通用组。

如果是在多域的林环境，例如一个大公司的几个分公司范围内每个分公司都是林内不同的域（假设是甲，乙，丙三个域），领导要求三个域的市场部员工都能相互访问对方的市场部业绩报表。

我们如果不使用通用组看看会怎么实现。把三个域的市场部设置为三个全局组，把三个全局组的权限分别设置在三个域的报表上（最好也不要直接在报表的ACL上设置全局组，还是把全局组加入域本地组，原因看上面的例子）。

如果用通用组，把三个域的市场部设置为全局组，把三个全局组设置为通用组，把三个域的报表上设置相同的权限－－给通用组（也是把通用组加入域本地组，原因看上面）。
你可以想想哪种更简便。在这个例子里，域越多使用通用组优点越明显。

值得注意的是，因为通用组需要在GC上复制，如果通用组的成员变更就需要做数据同步的操作。所以我们把组加入通用组而不是帐户。一旦有人事变更我们只需要修改其所在的全局组就好了。不用管通用组。

如果你不想日志里满是莫名其妙的错误就最好避免把本地域资源权限直接指派给别的域的全局组和通用组。

尽量把域内权限相同的帐号总结在全局组内，再把全局组加入实现功能的各个域本地组。

在多域环境把权限相同的全局组加入通用组。

组的嵌套不要太过于复杂，尽管有时候这很难把握。

我很希望你看到这里的时候能高兴的说，哇，我完全懂了。尽管我也知道这不太显示，老实说这难点不在概念上，而在应用上。

其实除了这些组之外还有系统的内置组，除了内置的域本地组还有内置全局组，通用组。除此之外还有内置的系统组（BuiltinSecurityPrincipal）

据个例子，论坛里有个老兄面试的时候就遇到过－－－－－－－－－－“EXCHDOMAINSERVERS和EXCHENTERPRISESERVERS只见的区别和作用？是否可以移动到其他的容器？”

怎么样？这两个组是安装Exchange之后自动产生的。EXCHDOMAINSERVERS是全局组,而EXCHENTERPRISESERVERS是本地域.而且EXCHDOMAINSERVERS属于EXCHENTERPRISESERVERS.AD是不允许移动这两个组和重命名的。－－当然我第一次看到这个问题也吓了一跳，这也是听高手解答的。当然我并不是给了你一个钻牛角尖的方向。你还是理清楚前面的概念吧。有问题你还可以问，有高手愿意指点也欢迎。大家共同进步。

说句题外话，如果想搞得很透彻最好还是多看看原理性的书，当然也要多实践。我在看Kerberos这本书之前对KDC，SID，SPN什么票证票据的非常莫名其妙，也奇怪为什么总要认证而且会过期之类，因为在查找微软的KB的时候常常会看到类似的解释，包括各种认证都觉得难以理解。从原理入手就能理解很多东西都是必要的。当然我看的这个书也还是很浅，我也没有足够的精力和智慧深入研究。呵呵。不过学习确实是令人愉快的一件事。

其中作者举了一个很生动的例子来演示Kerberos事务处理的过程：一个间谍需要和他的间谍组织联系并交换情报，间谍发出了一个信号，组织决定派一个信使和他见面交换情报，当然间谍和信使互相都不认识他们都只认识组织的头子。以下是他们联系的过程

1。信使先联系组织头子，发消息说“告诉一个只有你和那个间谍才知道的秘密”，
2。间谍头子为了证明信使的身份是否真实会先验证该消息的真实性，他检验的结果－-该消息使用信使的加密密钥（secreteneryptionkey）来加密的。
3。头子给信使回信，这封信分为两个部分：第一部分是一个随机数，他是头子随便决定的并用信使的密钥加密，第二部分包含相同的随机数，信使的姓名，起草信的时间和日期以及信的有效期，这部分用间谍的密钥来加密。
4。信使收到头子回信后用自己的密钥成功解出前半部分中的随机数。－－－当然如果解出的结果是乱码那说明这个头子是假的。信使把信收好去和间谍接头。

5。两人见面后互通了姓名，信使把回信的后半部分交给间谍（原作者建议大家去看一下昆汀。塔伦迪诺拍的《水库狗》『ReservirDogs』）

5.1如果间谍用自己的密钥无法对后半部信件解码，他就知道信使是假的，所以开枪射信使。

5.2如果能解码但是得到乱码，他就知道信被篡改了，他还会开枪射他。

5.3如果能解码但是得到的信使姓名与刚才通报的不同，他依然开枪。

5.4如果得到的随机数过去得到过，他还射他，

5.5如果得到的有效期过期了，他会扔掉信走掉。

6。很幸运没出现上述的情况，间谍会交给信使一封信，其中包含了间谍的姓名，当前时间以及信件中字母总数并用刚才那封信理头子的随机数编码－－该随机数成了密钥。

7。信使用随机数解码，如果解除不对他就会对间谍开枪。如果时间过期他也会。

8。最后信使成功解码，内容可以接受，认证过程结束。两人开始交流情报。

当然这个例子是用来理解身份验证的，并不是对Kerberos的解释。我很难找到类似的例子帮助楼主理解组。当然前面也有不错的例子了。剩下的只是动手了。

问题描述：AGDLP策略是什么?

问题回答：

这个实际上就是在域中使用组的策略，它指将域用户的账号（A）添加到全局组（G）中，将全局组添加到域本地组（DL），然后给域本地组分配资源的权限（P）。这种策略提供了比较大的灵活性