一.活动目录中组(Group)的分类<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.       根据组的用途,分为安全组(Security Group)和分发组(Distribution Group)。分发组主要用于作为邮件的收件人群组,无法对分发组进行AD中资源的授权。安全组也可用于作为邮件的收件人群组,同时安全组也能够成为AD中资源的授权对象赋予其权限。因此,在企业实际应用中,安全组的应用会比分发组要多,有使用安全组来替代分发组的趋势。

2.       根据组的作用域,分为本地域组(Domain Local Group)、全局组(Global Group)和通用组(Universal Group)。三种组的区别,主要在于其各自的成员范围和作用域不相同。下面将以表格的形式对比这三种组(表中为Windows 2000 Native及以上域功能级别的数据,Windows 2000 Mixed的域功能级别会稍有差异,这里不展开做介绍):

 
成员范围

作用域

本地域组(DL

本域中的本地域组( DL );

信任域中的全局组( G )和通用组( U )和账号( A

只能够成为本域中的本地域组( DL )的成员;

只能够授予本地域组( DL )本域的资源的权限

全局组(G

本域中的全局组( G )和账号( A

能够成为受信任域中的本地域组( DL )、全局组( G )和通用组( U )的成员;

能够授予受信任域中的资源的权限

通用组(U

信任域中的全局组( G )、通用组( U )和账号( A

能够成为受信任域中的本地域组( DL )、通用组( U )的成员;

能够授予受信任域中的资源的权限

 

     

 

二.组嵌套策略

1.       在单域环境中的组嵌套策略:A G DL P

1.1. 策略具体实现:将账号(A)加到全局组(G)中,再将全局组(G)加入到本地域组(DL)中。所有的权限授予,都只对本地域组(DL)进行。该策略较多用于单域,或者只存在一个账号域和一个资源域的环境中。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

1.2. 策略的优势:

a.       减少了直接授权操作的次数。因为具有相同权限的用户,都加到同一个本地域组中。因此,相同的权限只需要对一个本地域组进行一次授权即可,剩下的只需要维护该本地域组的成员即可实现对用户的授权。

b.       减少了拥有相同权限的用户在权限发生变更时所需要进行的更改权限的操作。由于相同权限的用户都在同一个本地域组中,因此该类用户的权限如果需要更改,则不需要对所有用户进行权限的变更,只需要修改相应的域本地组即可。

c.       方便NTFS权限的迁移。在NTFS文件系统中,将文件复制或剪贴到其他服务器或者分区是不会保留原有权限的。在文件迁移后,只需要对相应的域本地组进行权限的设置即可,而不需要再去单独的对每一个具有权限的用户各设置一次。

1.3. 策略的劣势:

a.       组的分层结构在初始化的时候会比较繁琐,但这样有利于日后的维护。
 
2.       在多域环境中的组嵌套策略:A G U DL P

2.1. 策略具体实现:将账号(A)加到本域的全局组(G)中,再将全局组(G)加到资源域的通用组(U)中,将资源域的通用组(U)加到资源域的本地域组(DL)中。所有资源域中的权限授予,都只对资源域的本地域组(DL)进行。该策略多用于有多个资源域的环境中。

2.2. 策略的优势:

a.       本策略包含A G DL P策略的所有优势。

b.       当需要对多个域中的固定一群用户,在不同的资源域中授予相同的权限时,此策略比A G DL P减少了组嵌套的次数。例如,需要将A域中的a授权给A域中的GroupAB域中的GroupBC域中的GroupC,将B域中的b授权给A域中的GroupAB域中的GroupBC域中的GroupC,将C域中的c授权给A域中的GroupAB域中的GroupBC域中的GroupC。则采用A G DL P的策略,首先需要为abc创建三个本地域组DL_aDL_bDL_c。然后分别将GroupAGroupBGroupC依次加入到DL_aDL_bDL_c中,也就是一共需要加9次。如果采用A G U DL P的策略,则只需要新增一个通用组U,将GroupAGroupBGroupC加到U中,同时把U依次加到DL_aDL_bDL_c中,一共需要加6次。对于组成员的操作次数减少了,同时结构关系也更加的简单明了了。

2.3. 策略的劣势:

a.       通用组的组成员关系存储在全局编录(GC)当中,此策略可能需要多台GC同时提供服务。但是GC本身只是非常轻量化的一个服务,因此建议将所有域控制器(DC)都提升为全局编录服务器。

b.       全局编录服务器之间的复制存在着间隔,当通用组的组成员关系发生变化时,不能够立即同步到所有GC。因此,应该尽量少的更改通用组的成员,只加全局组作为通用组的成员。

      

 

三.NTFS文件系统下组嵌套策略的应用

1.       根据对数据访问的需要,将用户分为三类:管理者、修改者、读者。

2.       根据组嵌套策略,为此三类用户创建对应的本地域组,并赋予相应的权限:完全控制、修改、读取和执行。

3.       将需要访问权限的用户群加到其所需权限的本地域组中。例如,人力资源部的员工需要对员工绩效考核文件夹具有修改者权限,则可将g_HR这个包含所有人力资源部员工的全局组加到对员工绩效考核文件夹具有修改权限的本地域组dl_score_modify中。
 
四.总结

前面介绍了AD中组的分类:安全组和分发组,全局组、本地域组和通用组,以及不同类型的组的在成员范围和作用域中的区别。

微软推荐的两种组嵌套策略:A G DL PA G U DL PDouble个人感觉是个非常棒的策略。NTFS文件系统下的一个简单应用比较浅显的展现出了它们的优势。
 
 
原文由本作者出自于Macro-Hope IT Supports技术论坛:http://www.mh-its.com/winSrv/thread-404-1-1.html