用户组
组是一批具有相同管理任务的用户账户、计算机账户或者其他域对象的集合,例如学校有英语教研组、数学教研组等,可以把教研组认为是AD DS域服务里的组,而老师可以认为是AD DS域服务里的一个对象。学校可以通过划分教研组管理各个科目老师的教学,AD DS域服务根据划分好的组,对于对象进行统一管理。
组基本知识
同一个组可以包含用户、计算机和其他嵌套组。使用组可以控制和管理用户、计算机等活动目录对象,及其属性、网络共享位置、文件、目录、打印机等共享资源的访问权限,还可以向一组用户发送电子邮件。为组命名时,组名在域中必须是唯一的。
组的作用
为什么要使用组?答案:方便管理。
1.设置计算机文件或者文件夹的访问权限
计算机文件或者文件夹的访问权限,在文件或者文件夹属性对话框的“安全”选项卡中设置。“组或用户名”中可以添加对此文件夹具备管理、访问权限的用户或者组。
2.访问实例
文件服务器中创建一个共享文件夹“Software”,要批量设置N个用户的访问权限。有两个设置方法:
- 通过计算机文件或者文件夹属性对话框的“安全”属性选项卡,单个添加用户并配置每个用户相应的权限。
- 域控制器中创建访问组,将相关人员添加到该组。
域管理员在做管理时:
- 选择第一种方案,需要在“安全”选项卡中添加并配置N位用户。
- 选择第二种方案,只需要在域控制器上创建用户账户时,添加到相关组即可,无须修改安全属性中的角色列表。
结果显而易见,应该选择第二种方式。尤其是有很多共享文件夹进行管理时,使用组管理的效率更高。使用组就是为了管理方便,用最少的工作获得最好的效果。
组类型
Windows Server 2012 R2的AD DS域服务中的组类型,分为安全组(Security Group)和通信组(Distribution Group)。
1.安全组
顾名思义,安全组是用来设置有安全权限相关任务的用户或者计算机账户集合。安全组的成员会自动继承其所属安全组的所有权限。使用安全组可以执行以下操作。
将用户权限分配给AD DS域服务中的安全组
将用户权限分配给安全组,以确定该组成员在作用域内可执行的操作。在安装AD DS域服务时会自动将用户权限分配给某些安全组,并定义用户在域中的管理角色。例如,添加到“备份操作员”组的用户能够备份和还原域控制器上的文件和目录。
将资源权限分配给安全组
资源权限确定可以访问共享资源的对象,并确定访问级别,例如“完全控制”权限,建议使用安全组来管理对共享资源的访问和权限。
发送电子邮件
安全组具有通信组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。
2.通信组
顾名思义,通信组是用于用户之间通信的组,使用通信组可以向一组用户发送电子邮件,通信组典型应用是Microsoft Exchange Server中的用户组,可以向一组用户发送电子邮件。在AD DS域服务应用中,很少用到通信组。
组作用域
组根据其类型可以分为安全组(Security Group)和通信组(Distribution Group),根据其范围又可以分为全局组(Global Group)、域本地组(
Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组的作用域。1.域本地组
域本地组主要用来设置访问权限,只能讲同一个域内的资源指派给域本地组。
域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。域本地组只能访问本域内的资源,无法访问其他域内的资源。
微软建议域本地组使用规则:基于资源(共享文件夹、打印机等资源)规划。
2.全局组
全局组用来组织用户,即将多个将被赋予相同权限的用户账户加入同一个全局组内。
全局组成员来自同一域的用户账户和全局组,在林范围内可用。例如,如果在book.local域中创建的全局组,能添加到全局组中的用户账户只能是book.local域中的对象或者是其他科信任域中的全局组。
全局组可在本域和可信任关系的其他域中使用,体现的是全局性。微软建议使用规则:基于组织结构、行政结构规划。
3.通用组
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。通用组可以从任何域中添加用户和组,可以嵌套于其他域组中。通用组不属于任何与,通常用于域间访问。通用组的成员可以访问在森林任何域里的资源。
通用组成员不是保存在各自的域控制器上,而是保存在全局编录服务器中,当发生变化时能够全林复制。因此,全局组适于林中跨域访问。
通用组可以访问林中任何一个域的资源,可以在任何一个域内设置通用组的权限。域中的用户在登录时,需要向全局编录服务器查询用户的通用组成员身份,所以在全局编录服务器不可用时,活动目录中的用户有可能不能正常访问网络资源。
域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用“AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global Group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后对于本地组进行授权(Permissions)。
常用组
域控制器提升完成后,默认创建多种类型的组,应用到不同的环境。常见组分为内置组(Builtin)、域组(Users)以及部分特殊账户组。
1.内置组(Builtin)
内置组位于“Builtin”容器中,主要包括如表所示的组。
详细的组介绍可以查看:http://blog.51cto.com/rainy0426/17488722.内置域组
域组位于“Users”容器中,主要包括如表所示的组。
详细的组介绍可以查看:http://blog.51cto.com/rainy0426/17488723.特殊用户组
详细的组介绍可以查看:http://blog.51cto.com/rainy0426/1748872组日常管理
组可以包含用户、计算机、联系人、组以及其他对象,就像一个小的仓库,仅存储需要的事物。既然是一个小仓库,就需要进行管理。
创建组
创建“本地域组”、“安全组”以及“通用组”操作过程完全相同,以创建“全局组”为例说明。注意,全局组和域本地组在当前域中必须是唯一的;通用组,必须在整个林里是唯一的。由于全局编录服务器(GC)中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员的增加、删除、修改)都会引发域复制流量。所以通用组的成员不要经常频繁地发生变化,否则会带来大量的复制流量。
2.DS命令组
使用“Dsadd group”命令组在“Users”容器中创建全局组。在命令行提示符下,键入如下命令。
dsadd group cn=HRR,cn=users,dc=local
命令执行后,在“Users”容器中创建名称为“Hrr”的全局安全组。
键入以下命令创建名称为“HRR”通用组。
dsadd group cn=users,dc=book,dc=local =scope u
Scope参数说明如下。
- ·L:本地域组
- ·g:全局组
- ·u:通用组
3.PowerShell命令组
使用“New-ADGroup”命令在“Users”容器中创建全局组。键入命令:
New-ADGroup -GrouopCategory:"Security" -GroupScope:"Global" -Name:"HRR" -Path:"CN=Users,DC=book,DC=local" -SamAccountName:"HRR"
命令执行后,在“Users”容器中创建名称为“Hrr”的全局安全组。
组成员添加
2.DS命令组
使用“dsmod group”命令给目标组添加组成员。在命令行提示符下,键入如下命令:
dsmod group"ND=HRR,CN=Users,DC=book,DC=local"-addmbr"addmbr""CN=王淑江,CN=Users,DC=book,DC=local"
命令执行后,将用户“王淑江”从“HRR”组中删除。
3.PowerShell命令组
使用“Set-ADGroup”命令给目标组添加成员。键入命令:
Set-ADGroup-Identity HRR-Add:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local}
命令执行后,将用户“王淑江”添加到“HRR”组中。
删除组的成员,使用“-Remove”参数。
Set-ADGroup-Identity HRR -remove:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local"}
命令执行后,将用户“王淑江”从“HRR”组中删除。
删除组
在删除组之前,确认组是否真的需要删除,是否在其他应用中使用该组。
2.DS命令组
使用“dsrm”命令删除目标组。在命令行提示符下,键入如下命令。
dsmr CN=hrr,CN=Users,DC=book,DC=local
命令执行后,根据提示信息确认是否要删除目标组。选择“是”回车后,删除目标组。
3.PowerShell命令组
使用“Remove-ADGroup”命令删除目标组。键入命令:
Remove-ADGroup-Identity hrr
命令执行后,根据提示信息确认是否要删除目标组。选择“是”回车后,删除目标组。
重命名组
更新组的名称。
1.Active Directory用户和计算机(略)
2.DS命令组
使用“dsmove”命令重命名已有组。在命令行提示符下,键入如下命令。
dsmove CN=hrr,CN=Users,DC=book,DC=local -newname TestHRR
命令执行后,重命名组“hrr”为“TestHRR”。
3.PowerShell命令组
使用“Rename-ADObject”命令重命名已有组。键入以下命令。
Rename-ADObject-Identity:"CN=HRR,CN=Users,DC=book,DC=local"-NewName:"TestHRR"
命令执行后,重命名组“hrr”为“TestHRR”。
移动组
移动组,将组从一个组织单位移动到其他的组织单位。
2.DS命令组
使用“dsmove”命令将“HRR”组从一个组织单位移动到其他组织单位,在命令行提示符下,键入如下命令。
dsmove CN=HRR,OU=demo,DC=book,DC=local-newparent cn=users,dc=book,dc=local
命令执行后,将组“HRR”移动到“Users”容器中。
3.PowerShell命令组
使用“Move-ADObject”命令将用户移动到新组织单位。键入命令:
Move-ADObject-Identity:"CN=HRR,CN=demo,DC=book,DC=local" -TargetPath:"OU=Users,DC=book,DC=local"
命令执行后,将组“HRR”移动到“Users”容器中。
嵌套组
组嵌套,一个组是另外一个组的子集,即一个组包容其他的组。嵌套组可以包容多个组,如果包容的组包含其他组,则权限继承到包含的组中。本例中已经创建名称为“HR”、“Office”的组,将“HR”组嵌套到“Office”组中。
2.DS命令组
使用“dsmod group”命令完成嵌套组设置。在命令行提示符下,键入如下命令。
dsmod group "CN=office,CN=Users,DC=book,DC=local"-addmbr"CN=hr,CN=Users,DC=book,DC=local"
命令执行后,将“HR”组添加到“Office”组中。如果要删除“HR”组,参数设置为“-remove”。
3.PowerShell命令组
使用“Add-ADPrincipalGrouopMembership”命令完成嵌套组设置。键入如下命令。
Add-ADPrincipalGroupMembership -Identity:"CN=Office,CN=Users,DC=book,DC=local" -MemberOf:"CN=HR,CN=Users,DC=book,DC=local"
命令执行后,将“HR”组添加到“Office”组中。
更改组作用域
组作用域包含本地域组、全局组以及安全组,组作用域之间可以相互转换。如果要更改组作用域,必须是“Account Operators”组、“Domain Admins”组或“Enterprise Admins”组成员,或者被委派适当的权限。Windows Server 2012域功能级别设置为Windows Server 2003或者更高。
本例以Windows Server 2012域功能级别下的全局组转换为通用组为例说明作用域之间的转换,转换关系如下。
- 全局组-通信组
- 通信组-全局组
- 通信组-本地域组
- 本地域组-通用组
2.DS命令组
使用“dsmod group”命令将“HR”组(全局组)更改为“通用组”。在命令行提示符下,键入如下命令。
dsmod group CN=HR,CN=Users,DC=book,DC=local-scope u
命令执行后,将组更改为“通用组”。
3.PowerShell命令组
使用“Set-ADGroup”命令将“HR”组(全局组)更改为“通用组”。键入命令:
Set-ADGroup-GroupScope:"Universal"-Identity:"CN=HR,CN=Users,DC=book,DC=local"
命令执行后,将组更改为“通用组”。
确认组成员关系
当组之间形成嵌套关系之后,由于继承关系,组织间的关系变得十分复杂,清晰地了解组之间的关系对管理十分有益。
2.DS命令组
使用DS命令组查询组之间嵌套关系。
在命令行提示符下,键入如下命令,查询“Office”组中所有成员。
dsget group cn=office,cn=users,dc=book,dc=local-members
键入如下命令,查询“test”组属于哪个组
dsget group cn=office ,cn=users,dc=book,dc=local-memberof
命令执行后,显示组之间的关系。
组AGDLP应用
组应用原则
域目录林中实现对于资源(可以是文件夹或打印机)打访问授权,推荐使用“AGDLP”规则。
1.AGDLP原则
如果全局组在同一个域内,首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。
2.AGGDLP原则
如果全局组在同一个域内,首先把用户账户加入到全局组,再将全局组加入到另外一个全局组,然后把全局组加入到域本地组,最后,对于域本地组进行授权。
3.AGUDLP原则
如果全局组不在同一个域内,首先把用户账户加入到全局组,再将全局组加入到通用组,然后把全局组加入到域本地组,最后,对于域本地组进行授权。
4.AGFGUDLP原则
如果全局组不在同一个域内,首先把用户账户加入到全局组,再将全局组加入到另外一个全局组,再将全局组加入到通用组,然后把全局组加入到域本地组,最后,对于域本地组进行授权。
应用场景规划
根据“AGDLP”原则,规划如下。
- 创建“全局组”:全局域文件服务器共享组。
- 用户账户加入到“全局组”:用户“demo”添加到“全局域文件服务器共享组”。
- 创建“本地域组”:本地用户授权组。
- “全局组”加入到“本地域组”:“全局域文件服务器共享组”加入到“本地用户授权组”。
- 授予“本地用户授权组”访问“Software”文件夹的权限。
全局组操作
1.创建全局组
2.用户添加到全局组
域本地组操作
1.创建本地域组
2.全局组添加到本地域组
授予“本地用户授权组”访问“Software”文件夹的权限。
閱讀更多 心欲無痕 的文章
