AD组分类:
如上图所示:组作用域分为三类:Domain Local Group(本地域),Global Group(全局),Universal(通用)。这三类之间的区别,又要分为两种域模式Native Mode(本地模式)和Mixed Mode(混合模式);是两种域的操作模式,默认新建的域为混合模式。如可在 Active Directory 域和信任关系中查到当前域的操作模式。
只有全局组和通用组的类型是以用户自己所在域的权限为准,本地域组只能以资源所在域的权限为准。
注:Windows系统包含一个限制,限制用户的安全访问令牌不能超过1,000个安全标识符(SID)。当用户验证访问权限以与服务器建立新会话时,该用户不能是该域中超过1,000个组的成员,如果超出此限制,则拒绝访问服务器。
注:AGDLP原则:按照AGDLP的原则对用户进行组织和管理起来更容易;当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。其中:
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
执行思路:首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。
分类区别:
安全组,是用来分配权限的,比如说访问共享权限:
通用组的成员来可以来找整个森林,可以访问整个森林里的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);
全局组的成员只能来自本域(即组所在的域),但可以访问整个森林里的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);
本地组的成员可以来自整个森林,但只能访问本域(即组所在的域)的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);