用戶組
組是一批具有相同管理任務的用戶賬戶、計算機賬戶或者其他域對象的集合,例如學校有英語教研組、數學教研組等,可以把教研組認為是AD DS域服務裡的組,而老師可以認為是AD DS域服務裡的一個對象。學校可以通過劃分教研組管理各個科目老師的教學,AD DS域服務根據劃分好的組,對於對象進行統一管理。
組基本知識
同一個組可以包含用戶、計算機和其他嵌套組。使用組可以控制和管理用戶、計算機等活動目錄對象,及其屬性、網絡共享位置、文件、目錄、打印機等共享資源的訪問權限,還可以向一組用戶發送電子郵件。為組命名時,組名在域中必須是唯一的。
組的作用
為什麼要使用組?答案:方便管理。
1.設置計算機文件或者文件夾的訪問權限
計算機文件或者文件夾的訪問權限,在文件或者文件夾屬性對話框的“安全”選項卡中設置。“組或用戶名”中可以添加對此文件夾具備管理、訪問權限的用戶或者組。
2.訪問實例
文件服務器中創建一個共享文件夾“Software”,要批量設置N個用戶的訪問權限。有兩個設置方法:
- 通過計算機文件或者文件夾屬性對話框的“安全”屬性選項卡,單個添加用戶並配置每個用戶相應的權限。
- 域控制器中創建訪問組,將相關人員添加到該組。
域管理員在做管理時:
- 選擇第一種方案,需要在“安全”選項卡中添加並配置N位用戶。
- 選擇第二種方案,只需要在域控制器上創建用戶賬戶時,添加到相關組即可,無須修改安全屬性中的角色列表。
結果顯而易見,應該選擇第二種方式。尤其是有很多共享文件夾進行管理時,使用組管理的效率更高。使用組就是為了管理方便,用最少的工作獲得最好的效果。
組類型
Windows Server 2012 R2的AD DS域服務中的組類型,分為安全組(Security Group)和通信組(Distribution Group)。
1.安全組
顧名思義,安全組是用來設置有安全權限相關任務的用戶或者計算機賬戶集合。安全組的成員會自動繼承其所屬安全組的所有權限。使用安全組可以執行以下操作。
將用戶權限分配給AD DS域服務中的安全組
將用戶權限分配給安全組,以確定該組成員在作用域內可執行的操作。在安裝AD DS域服務時會自動將用戶權限分配給某些安全組,並定義用戶在域中的管理角色。例如,添加到“備份操作員”組的用戶能夠備份和還原域控制器上的文件和目錄。
將資源權限分配給安全組
資源權限確定可以訪問共享資源的對象,並確定訪問級別,例如“完全控制”權限,建議使用安全組來管理對共享資源的訪問和權限。
發送電子郵件
安全組具有通信組的全部功能,也可用作電子郵件實體。當向安全組發送電子郵件時,會將郵件發給安全組的所有成員。
2.通信組
顧名思義,通信組是用於用戶之間通信的組,使用通信組可以向一組用戶發送電子郵件,通信組典型應用是Microsoft Exchange Server中的用戶組,可以向一組用戶發送電子郵件。在AD DS域服務應用中,很少用到通信組。
組作用域
組根據其類型可以分為安全組(Security Group)和通信組(Distribution Group),根據其範圍又可以分為全局組(Global Group)、域本地組(
Domain Local Group)和通用組(Universal Group)。組的類型決定組可以管理哪些類型的任務,組的範圍決定組的作用域。1.域本地組
域本地組主要用來設置訪問權限,只能講同一個域內的資源指派給域本地組。
域本地組成員來自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組,在本域範圍內可用。域本地組只能訪問本域內的資源,無法訪問其他域內的資源。
微軟建議域本地組使用規則:基於資源(共享文件夾、打印機等資源)規劃。
2.全局組
全局組用來組織用戶,即將多個將被賦予相同權限的用戶賬戶加入同一個全局組內。
全局組成員來自同一域的用戶賬戶和全局組,在林範圍內可用。例如,如果在book.local域中創建的全局組,能添加到全局組中的用戶賬戶只能是book.local域中的對象或者是其他科信任域中的全局組。
全局組可在本域和可信任關係的其他域中使用,體現的是全局性。微軟建議使用規則:基於組織結構、行政結構規劃。
3.通用組
通用組成員來自林中任何域中的用戶賬戶、全局組和其他的通用組,在全林範圍內可用。通用組可以從任何域中添加用戶和組,可以嵌套於其他域組中。通用組不屬於任何與,通常用於域間訪問。通用組的成員可以訪問在森林任何域裡的資源。
通用組成員不是保存在各自的域控制器上,而是保存在全局編錄服務器中,當發生變化時能夠全林複製。因此,全局組適於林中跨域訪問。
通用組可以訪問林中任何一個域的資源,可以在任何一個域內設置通用組的權限。域中的用戶在登錄時,需要向全局編錄服務器查詢用戶的通用組成員身份,所以在全局編錄服務器不可用時,活動目錄中的用戶有可能不能正常訪問網絡資源。
域目錄林中實現對於資源(可以是文件夾或打印機)的訪問授權,推薦使用“AGDLP”規則。即首先把用戶賬戶(Account)加入到全局組(Global Group),然後把全局組加入到域本地組(Domain Local group,可以是本域或其他域的域本地組),最後對於本地組進行授權(Permissions)。
常用組
域控制器提升完成後,默認創建多種類型的組,應用到不同的環境。常見組分為內置組(Builtin)、域組(Users)以及部分特殊賬戶組。
1.內置組(Builtin)
內置組位於“Builtin”容器中,主要包括如表所示的組。
詳細的組介紹可以查看:http://blog.51cto.com/rainy0426/17488722.內置域組
域組位於“Users”容器中,主要包括如表所示的組。
詳細的組介紹可以查看:http://blog.51cto.com/rainy0426/17488723.特殊用戶組
詳細的組介紹可以查看:http://blog.51cto.com/rainy0426/1748872組日常管理
組可以包含用戶、計算機、聯繫人、組以及其他對象,就像一個小的倉庫,僅存儲需要的事物。既然是一個小倉庫,就需要進行管理。
創建組
創建“本地域組”、“安全組”以及“通用組”操作過程完全相同,以創建“全局組”為例說明。注意,全局組和域本地組在當前域中必須是唯一的;通用組,必須在整個林裡是唯一的。由於全局編錄服務器(GC)中不僅包含通用組,還包含有通用組的成員信息,因此每次對通用的修改(成員的增加、刪除、修改)都會引發域複製流量。所以通用組的成員不要經常頻繁地發生變化,否則會帶來大量的複製流量。
2.DS命令組
使用“Dsadd group”命令組在“Users”容器中創建全局組。在命令行提示符下,鍵入如下命令。
dsadd group cn=HRR,cn=users,dc=local
命令執行後,在“Users”容器中創建名稱為“Hrr”的全局安全組。
鍵入以下命令創建名稱為“HRR”通用組。
dsadd group cn=users,dc=book,dc=local =scope u
Scope參數說明如下。
- ·L:本地域組
- ·g:全局組
- ·u:通用組
3.PowerShell命令組
使用“New-ADGroup”命令在“Users”容器中創建全局組。鍵入命令:
New-ADGroup -GrouopCategory:"Security" -GroupScope:"Global" -Name:"HRR" -Path:"CN=Users,DC=book,DC=local" -SamAccountName:"HRR"
命令執行後,在“Users”容器中創建名稱為“Hrr”的全局安全組。
組成員添加
2.DS命令組
使用“dsmod group”命令給目標組添加組成員。在命令行提示符下,鍵入如下命令:
dsmod group"ND=HRR,CN=Users,DC=book,DC=local"-addmbr"addmbr""CN=王淑江,CN=Users,DC=book,DC=local"
命令執行後,將用戶“王淑江”從“HRR”組中刪除。
3.PowerShell命令組
使用“Set-ADGroup”命令給目標組添加成員。鍵入命令:
Set-ADGroup-Identity HRR-Add:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local}
命令執行後,將用戶“王淑江”添加到“HRR”組中。
刪除組的成員,使用“-Remove”參數。
Set-ADGroup-Identity HRR -remove:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local"}
命令執行後,將用戶“王淑江”從“HRR”組中刪除。
刪除組
在刪除組之前,確認組是否真的需要刪除,是否在其他應用中使用該組。
2.DS命令組
使用“dsrm”命令刪除目標組。在命令行提示符下,鍵入如下命令。
dsmr CN=hrr,CN=Users,DC=book,DC=local
命令執行後,根據提示信息確認是否要刪除目標組。選擇“是”回車後,刪除目標組。
3.PowerShell命令組
使用“Remove-ADGroup”命令刪除目標組。鍵入命令:
Remove-ADGroup-Identity hrr
命令執行後,根據提示信息確認是否要刪除目標組。選擇“是”回車後,刪除目標組。
重命名組
更新組的名稱。
1.Active Directory用戶和計算機(略)
2.DS命令組
使用“dsmove”命令重命名已有組。在命令行提示符下,鍵入如下命令。
dsmove CN=hrr,CN=Users,DC=book,DC=local -newname TestHRR
命令執行後,重命名組“hrr”為“TestHRR”。
3.PowerShell命令組
使用“Rename-ADObject”命令重命名已有組。鍵入以下命令。
Rename-ADObject-Identity:"CN=HRR,CN=Users,DC=book,DC=local"-NewName:"TestHRR"
命令執行後,重命名組“hrr”為“TestHRR”。
移動組
移動組,將組從一個組織單位移動到其他的組織單位。
2.DS命令組
使用“dsmove”命令將“HRR”組從一個組織單位移動到其他組織單位,在命令行提示符下,鍵入如下命令。
dsmove CN=HRR,OU=demo,DC=book,DC=local-newparent cn=users,dc=book,dc=local
命令執行後,將組“HRR”移動到“Users”容器中。
3.PowerShell命令組
使用“Move-ADObject”命令將用戶移動到新組織單位。鍵入命令:
Move-ADObject-Identity:"CN=HRR,CN=demo,DC=book,DC=local" -TargetPath:"OU=Users,DC=book,DC=local"
命令執行後,將組“HRR”移動到“Users”容器中。
嵌套組
組嵌套,一個組是另外一個組的子集,即一個組包容其他的組。嵌套組可以包容多個組,如果包容的組包含其他組,則權限繼承到包含的組中。本例中已經創建名稱為“HR”、“Office”的組,將“HR”組嵌套到“Office”組中。
2.DS命令組
使用“dsmod group”命令完成嵌套組設置。在命令行提示符下,鍵入如下命令。
dsmod group "CN=office,CN=Users,DC=book,DC=local"-addmbr"CN=hr,CN=Users,DC=book,DC=local"
命令執行後,將“HR”組添加到“Office”組中。如果要刪除“HR”組,參數設置為“-remove”。
3.PowerShell命令組
使用“Add-ADPrincipalGrouopMembership”命令完成嵌套組設置。鍵入如下命令。
Add-ADPrincipalGroupMembership -Identity:"CN=Office,CN=Users,DC=book,DC=local" -MemberOf:"CN=HR,CN=Users,DC=book,DC=local"
命令執行後,將“HR”組添加到“Office”組中。
更改組作用域
組作用域包含本地域組、全局組以及安全組,組作用域之間可以相互轉換。如果要更改組作用域,必須是“Account Operators”組、“Domain Admins”組或“Enterprise Admins”組成員,或者被委派適當的權限。Windows Server 2012域功能級別設置為Windows Server 2003或者更高。
本例以Windows Server 2012域功能級別下的全局組轉換為通用組為例說明作用域之間的轉換,轉換關係如下。
- 全局組-通信組
- 通信組-全局組
- 通信組-本地域組
- 本地域組-通用組
2.DS命令組
使用“dsmod group”命令將“HR”組(全局組)更改為“通用組”。在命令行提示符下,鍵入如下命令。
dsmod group CN=HR,CN=Users,DC=book,DC=local-scope u
命令執行後,將組更改為“通用組”。
3.PowerShell命令組
使用“Set-ADGroup”命令將“HR”組(全局組)更改為“通用組”。鍵入命令:
Set-ADGroup-GroupScope:"Universal"-Identity:"CN=HR,CN=Users,DC=book,DC=local"
命令執行後,將組更改為“通用組”。
確認組成員關係
當組之間形成嵌套關係之後,由於繼承關係,組織間的關係變得十分複雜,清晰地瞭解組之間的關係對管理十分有益。
2.DS命令組
使用DS命令組查詢組之間嵌套關係。
在命令行提示符下,鍵入如下命令,查詢“Office”組中所有成員。
dsget group cn=office,cn=users,dc=book,dc=local-members
鍵入如下命令,查詢“test”組屬於哪個組
dsget group cn=office ,cn=users,dc=book,dc=local-memberof
命令執行後,顯示組之間的關係。
組AGDLP應用
組應用原則
域目錄林中實現對於資源(可以是文件夾或打印機)打訪問授權,推薦使用“AGDLP”規則。
1.AGDLP原則
如果全局組在同一個域內,首先把用戶賬戶(Account)加入到全局組(Global group),然後把全局組加入到域本地組(Domain Local group,可以是本域或其他域的域本地組),最後,對於域本地組進行授權(Permissions)。
2.AGGDLP原則
如果全局組在同一個域內,首先把用戶賬戶加入到全局組,再將全局組加入到另外一個全局組,然後把全局組加入到域本地組,最後,對於域本地組進行授權。
3.AGUDLP原則
如果全局組不在同一個域內,首先把用戶賬戶加入到全局組,再將全局組加入到通用組,然後把全局組加入到域本地組,最後,對於域本地組進行授權。
4.AGFGUDLP原則
如果全局組不在同一個域內,首先把用戶賬戶加入到全局組,再將全局組加入到另外一個全局組,再將全局組加入到通用組,然後把全局組加入到域本地組,最後,對於域本地組進行授權。
應用場景規劃
根據“AGDLP”原則,規劃如下。
- 創建“全局組”:全局域文件服務器共享組。
- 用戶賬戶加入到“全局組”:用戶“demo”添加到“全局域文件服務器共享組”。
- 創建“本地域組”:本地用戶授權組。
- “全局組”加入到“本地域組”:“全局域文件服務器共享組”加入到“本地用戶授權組”。
- 授予“本地用戶授權組”訪問“Software”文件夾的權限。
全局組操作
1.創建全局組
2.用戶添加到全局組
域本地組操作
1.創建本地域組
2.全局組添加到本地域組
授予“本地用戶授權組”訪問“Software”文件夾的權限。
閱讀更多 心欲無痕 的文章
