查看域内分组的方法:
- Dos命令:net group /domain
- Powershell:Get-ADGroup
- ADSI 图形界面
- LDAP API 接口
一般来说,一个普通的域会有许多分组,对于大型的森林域来说会更多,其中许多分组没有成员,有些分组的成员重叠。为了理解划分这么多分组的意义,以一个例子开始。
假设1个公司有5个部门,每个部门都有自己的门禁卡,公司有30个员工,因为公司业务需求,需要赋予这30个员工不同的门禁权限,以根据员工的岗位决定是否可以进出指定的部门。
如果不分组,则必须在5个门禁上分别为30个用户设定权限以决定用户是否允许进出本门禁,不管是权限设置还是未来因为人员流动带来的取消设置,都非常麻烦。如果对员工进行分组,例如分作5个组,则每个部门最多需要配置这5个组的进出权限,远比30要方便,极大降低管理成本。
员工为了获取门禁权限,需要加入不同的组。当人员发送流动时,例如辞职入职等,需要对组进行不停的设置,也是消耗管理成本的一件事情。如果定义权限更精细化的分组,每个用户根据自己的职能需要,只加入指定的精细化分组,以获取开展工作所需的必要权限。
将这些精细化的分组,再加入不同的权限分组。当用户发生变动时,只需在所属的精细化分组中对用户进行调整即可,可极大简化管理成本。
通过比较,