组是用户账号的集合,域组的主要作用就是用于分配权限,可以通过向一组用户分配权限而不是向每个用户分配权限来简化管理。例如,如果几个用户需要读取同一文件,应该添加这些用户账户到组中,然后赋予这个组相应的权限。
1 域组的类型
Active Directory内的域组主要分为两种类型:安全组和通讯组。
-
安全组:安全组主要用来设置用户权限,也可用于电子邮件通讯。
-
通讯组:通讯组只能用于电子邮件的通讯。
一般情况下,管理Active Directory时使用的都是安全组,本课程后面所有和域组相关的内容都指的是安全组。
2. 域组的作用范围
在创建安全组时,有3种作用域:本地域、全局和通用,作用域用来确定组的作用范围。
组的作用范围涉及到多域结构,一个典型的多域结构如下图所示,由主域(根域)和子域构成了域树,多个域树又构成了域林。
作用域的区别主要在于域组在一个多域结构中的使用范围,以及域组成员的来源范围。
-
本地域,本地域组的成员可以是来自整个域林范围内任何域中的用户账户以及全局组,但只能在本域范围内使用。
-
全局组,全局组的成员只能是来自于同一域内的用户账户或全局组,但却可以在整个域林范围内所有的域中使用。
-
通用组,通用组的成员可以是来自任何域中的用户账户、全局组或其他的通用组,并在所有的域内都可以使用。
通用组由于在实践中很少用到,所以在我们的课程里一般不采用通用组。
3. AGDLP规则
当在一个多域环境中为用户分配权限时,一般都采用AGDLP规则。即先将部门中的用户加入全局组,再将全局组加入本地域组,最后给本地域组赋予权限。A表示账户、G表示全局组、DL表示本地域组、P表示权限。
使用AGDLP规则的好处是可以尽量减少用户变动对权限设置的影响,尤其适用于用户数量众多的大型网络。
比如在根域beijing.com中有个共享文件夹share,两个子域haidian.com和chaoyang.com中的用户对share文件夹都要有访问权限。按照AGDLP规则可以这样来设置权限:首先在两个子域中各创建一个全局组:haidian和chaoyang,然后将两个子域中的用户分别加入到相应的全局组中去。再在根域中创建一个本地域组beijing,将子域中的全局组haidian和chaoyang加入到本地域组beijing中去。最后为本地域组beijing设置对share文件夹的访问权限。
权限设置好之后,假设张三原先是海淀分部中的一名员工,后从公司辞职,那他使用的账号就不能对share文件夹有访问权限了。这时只需要由海淀分部的管理员将其从全局组haidian中删除即可,而对于其他组或权限无需做任何改动。
由于在我们的课程中不涉及到多域结构,因而对于AGDLP规则大家能理解即可。
4. 域组的创建与管理
同管理域用户一样,域组***也是放置在相应的OU中。
比如在“人事部”OU上点击右键,执行“新建\组”。创建一个名为“renshi”、组作用域为“全局”、组类型为“安全组”的域组。
刚创建的域组内默认没有任何成员,可以将要设置相同权限的域用户添加到域组中。
向域组内添加用户有两种方法:对域组进行操作、对域用户进行操作。
对域组进行操作
在域组上点击右键,打开属性设置界面,点击“添加”按钮,然后向其中添加成员。
对域用户进行操作
打开域用户的属性设置界面,切换到“隶属于”选项卡,点击“添加”按钮,设置该用户的所属组。所有的域用户默认都属于“Domain Users”组。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1155029
