AD组分类:
如上图所示:组作用域分为三类:Domain Local Group(本地域),Global Group(全局),Universal(通用)。这三类之间的区别,又要分为两种域模式Native Mode(本地模式)和Mixed Mode(混合模式);是两种域的操作模式,默认新建的域为混合模式。如可在 Active Directory 域和信任关系中查到当前域的操作模式。
只有全局组和通用组的类型是以用户自己所在域的权限为准,本地域组只能以资源所在域的权限为准。
注:Windows系统包含一个限制,限制用户的安全访问令牌不能超过1,000个安全标识符(SID)。当用户验证访问权限以与服务器建立新会话时,该用户不能是该域中超过1,000个组的成员,如果超出此限制,则拒绝访问服务器。
注:AGDLP原则:按照AGDLP的原则对用户进行组织和管理起来更容易;当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。其中:
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
执行思路:首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。
分类区别:
组分类 | 区别 |
---|---|
通用作用域 | 在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。在本机模式域中,不能创建有通用作用域的安全组。组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。不能转换为任何其他组作用域。 作用范围:森林中所有的域 ,来自全林用于全林,通用组和它的成员被列在全局编目里 (GC),每次对通用的修改(成员增加/删除),都会引发GC复制流量,切记谨慎选择和使用,一般通用组的成员不要经常频繁的发生变化 |
全局作用域 | 在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。在本机模式域中,可将其成员作为来自相同域的帐户。组可被放入其他组并且在任何域中指派权限。只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。 全局组:可以全局使用。即:可在本域和与其有信任关系的其它域中使用,体现的是全局性, 作用范围:本域和所有被信任的域,来自本域用于全林,单域环境下直接把用户账号加入全局组,给全局组赋予权限就可以。组在GC里,但成员并不列在GC中 |
域本地作用域 | 在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。在本机模式域中,可将其成员作为来自任何域的帐户和全局组。组可被放入其他域本地组并且仅在相同域中指派权限。只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。 本地域组:只能在本域的域控制器DC上使用 作用范围:本域,主要用于权限访问的ALP策略;来自全林用于本域,组在GC里,但成员并不列在GC中 |
安全组,是用来分配权限的,比如说访问共享权限:
通用组的成员来可以来找整个森林,可以访问整个森林里的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);
全局组的成员只能来自本域(即组所在的域),但可以访问整个森林里的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);
本地组的成员可以来自整个森林,但只能访问本域(即组所在的域)的共享文件夹。(需要指定相应的 NTFS 权限或共享权限);