这篇文章就不做深入的分析了,因为也没有分析的必要性,因为今天因为项目中需要用到Distribute Group,所以就想知道distribute group和security group的区别是什么,查了很多资料,最后终于把这两个理解清楚了,这里做一下笔记,有两个目的,其一是分享给那些还不清楚这两个区别的像我一样的新手看,其二,理解这些概念花费了很多时间查资料整理思路,记录起来以便以后重复利用,不用再花费过多的时间。
组类型:
什么是组?组是用来对用户账号、计算机账号和其他组账号进行集中管理的单元。使用组对这些对象进行集中管理可以使网络维护和管理的任务变得非常简单。在AD中有两种类型的组:分发组(distribution groups)和安全组(Security groups)管理员可以使用分发组来创建电子邮件的分发列表,使用安全组来给共享资源分配权限。
分发组(Distribution groups):
分发组只能在一种情况下使用,什么情况下呢?就是在电子邮件应用程序中对一组用户发送电子邮件的时候使用,比如微软的Exchange邮件系统。分发组不是安全启用的( Distribution groups are not security-enabled)什么意思呢,MSDN解释说这个的意思是说这些组(分发组)不会存在于随即控制访问列表里(DACLs),至于什么是随即控制访问列表,我们以后单独起一个话题来深入研究Windows 的权限访问系统的时候会专门解释控制访问列表。如果你需要一个组来对共享资源的访问控制进行管理,这个时候我们需要创建一个安全组(Security groups)。
安全组(Security groups):
安全组提供一种非常有效的方式来访问网络上的资源。安全组可以实现以下两个方面的功能:
给AD中的安全组分配用户权限(user rights)
分配网络上资源的权限给安全组(permissions)
先说第一点:
给安全组分配了用户权限以后,就可以决定词组中的用户可以在域或者林中做哪些操作。在AD安装的时候一些用户权限被自动授予一些安全组。这样做的目的可以帮助管理员定义一些自己的管理角色。例如:被添加到Backup Operators group中的用户可以对AD中每个域控制器中的文件和目录进行备份和还原。为什么这个操作是可以的呢?这是因为 Back up files and directories和 Restore files and directories两个用户权限被自动分配给了备份操作组(Backup Operators group.)因此这个组中的成员继承了分配给组的权限。对于上面的例子我们给几张图,验证下上面例子的正确性,例子中说AD安装的时候分配了两个权限给BOP组,我这里的实验环境是AD 2008 R2 我们打开用户权限分配的界面找到Back up files and direcories 用户权限。
从上图我们可以看到,确实此用户权限中存在Backup Operator 组。对于Restore files and direcotries 用户权限,大家可以自己验证一下。
如果组类型不是安全组的话,给用户权限添加组是找不到这些非安全的组的
下面说下安全组的第二个功能:
给网络上的资源非配权限给安全组,大家要清楚权限(permission)和用户权限(user rights)是两个不同的东西,不能混淆。权限(Permission)决定谁可以访问网络上的资源及访问级别,比如,完全控制。对象创建的时候会有一些默认的安全组被赋予一定的权限,比如:Account operator组,domain admins 组。如果给共享资源添加权限的时候,是无法搜索到分发组的,只能查找到安全组。
可以在定义了资源和对象的权限的DACLs中找到安全组。当给一个资源分配权限的时候,管理员应当分配权限给安全组,而不是分配给用户。如果分配权限给组的话,只需要分配一次,而不需要每次给用户分配权限,添加到组中的用户就可以继承这种权限享有对共享资源的权限。
注意:和分发组一样,安全组可以作为邮件分发组,发送邮件给安全组的话,会发送所有邮件给组中的所有成员
免责声明:整理文章为传播相关技术,版权归原作者所有,如有侵权,请联系删除
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
