Windows Server 2022活動目錄管理實踐( 第2版 微課版)-課件項目12 組的管理與AGUDLP原則

項目12組的管理與AGUDLP原則組的類型組的作用域AGUDLP原則目錄組的類型組的類型在活動目錄中，有兩種不同類型的組：通訊組和安全組。通訊組存儲著用戶的聯系方式，用于進行批量用戶之間的通信，如群發(fā)郵件、開視頻會議等，它沒有安全特性，不可用于進行授權。安全組具備通訊組的全部功能，用于為用戶和計算機分配權限，是WindowsServer2022標準的安全主體。通訊組的特點郵件通訊通訊組的核心功能是作為郵件的收件人群組，方便群發(fā)郵件。當需要向一組人發(fā)送相同內容的郵件時，只需將郵件發(fā)送給通訊組，即可實現批量發(fā)送。無安全特性通訊組沒有安全標識（SID），因此不能用于授權訪問網絡資源或本地資源。它僅用于郵件通訊，不涉及權限管理。靈活性通訊組的成員可以靈活添加和刪除，以適應不同的通訊需求。管理員可以根據實際情況調整組成員，確保郵件能夠準確發(fā)送給需要的人。易于管理通訊組簡化了郵件通訊的管理過程，減少了重復發(fā)送郵件的工作量。通過管理通訊組，可以更有效地控制郵件的發(fā)送對象和發(fā)送內容。安全組特點安全標識（SID）：安全組擁有唯一的SID，使其能作為授權資源訪問的對象，SID是Windows系統(tǒng)中用來唯一識別用戶、組等安全主體的標識符。權限管理：安全組管理訪問權限，確保只有授權用戶和設備能訪問特定資源，增強網絡安全，防止非法訪問。繼承性：安全組成員自動繼承組權限，管理員可批量管理用戶訪問權限，簡化權限分配。

安全組特點靈活性：安全組成員可靈活調整，管理員根據需求增減成員，確保訪問權限的精確控制。

支持多種資源：安全組廣泛用于控制網絡資源訪問權限，包括文件、文件夾、打印機及共享目錄等，增強網絡安全管理。支持角色分配：活動目錄利用安全組分配角色，明確用戶/計算機操作權限與資源訪問范圍，實現更精細的權限控制。

組的作用域組的作用域組的作用域是是組的工作范圍。在域中，根據組的作用域，可以將組分為3種：本地域組（DL）、全局組（G）和通用組（U）。組的作用域與管理者如圖所示。組的作用域與管理者組的作用域（1）本地域組（DL）。作用域：本域及子域。管理者：域管理員或、內的服務器管理員。成員：所有用戶/組賬戶。組的作用域與管理者組的作用域（2）全局組（G）。作用域：所有域。管理者：域管理員。成員：本域中的所有用戶/組賬戶。組的作用域與管理者組的作用域（3）通用組（U）。作用域：所有域和域目錄林。管理者：域目錄林管理員。成員：相同林中的所有用戶/組賬戶。組的作用域與管理者AGUDLP原則AGUDLP原則A（Account）：用戶賬戶，代表網絡中的個體用戶。G（GlobalGroup）：全局組，可以包含來自同一個域的用戶賬戶或其他全局組。全局組的成員身份是域全局的，但權限分配是局部的。U（UniversalGroup）：通用組，是跨域的，可以包含來自任何域的用戶賬戶、全局組或通用組。通用組的成員身份和權限分配都是全局的。DL（DomainLocalGroup）：域本地組，只能包含來自同一個域的用戶賬戶、全局組或通用組。域本地組的成員身份是局部的，但權限分配可以是跨域的。P（Permission）：權限，指對特定資源（如文件、文件夾、打印機等）的訪問權限。AGUDLP原則AGDLP原則的結構如圖所示。AGUDLP原則的結構AGUDLP原則的實施步驟假設公司中有兩個域，分別為B域和C域，它們都隸屬于A林，B域中的5個財務人員和C域中的3個財務人員都需要訪問C域文件共享服務器中的“FINA”文件夾。在這種情況下，可以在C域中創(chuàng)建一個組DL。因為DL組中的成員可以來自所有的域，所以將8個財務人員的用戶賬戶都加入DL組，并且將“FINA”文件夾的訪問權賦予DL組。C域B域A林本地域組財務人員財務人員財務人員服務器AGUDLP原則的實施步驟這樣做的壞處是什么呢？因為DL組在C域中，所以管理權屬于C域，如果B域中要增加一個財務人員，那么只能通知C域管理員，由其對DL組中的成員進行修改。事實上事情遠沒有這么簡單，這需要兩個域中的工作人員相互協調，落實到具體操作還需要有具體的申請和審批流程，完成這件事情的效率較低。C域B域A林本地域組財務人員財務人員財務人員服務器AGUDLP原則的實施步驟這時候，我們改變一下，在B域和C域中都各創(chuàng)建一個全局組，分別為Gb組和Gc組，然后在C域中創(chuàng)建一個本地域組DL，將Gb組和Gc組都加入C域中的DL組，然后將“FINA”文件夾的訪問權賦給DL組。這樣，Gb組和Gc組就都有權訪問“FINA”文件夾了（組嵌套與權限繼承）。服務器C域本地域DL財務人員GcB域財務人員GbAGUDLP原則的實施步驟這時，Gb組由B域管理員管理，Gc組由C域管理員管理，B域管理員將B域中5個財務人員的用戶賬戶加入Gb組，C域管理員將C域中3個財務人員的用戶賬號加入Gc組，就完成了。后續(xù)如果有人員調整，那么B域管理員和C域管理員直接對自己的組成員用戶賬戶進行管理即可，這就是AGDLP原則。服務器C域本地域DL財務人員GcB域財務人員GbAGUDLP原則的實施步驟如果共享資源與訪問的用戶不在同一個域目錄林中，那么因為全局組無法跨域加入本地域組，所以需要先將全局組加入域目錄林中的通用組，再將通用組跨域加入共享資源所在的本地域組，這就是AGUDLP原則。AGUDLP原則的操作和位置總結AGDLP原則首先將用戶賬戶添加到全局組中，然后將全局組添加到本地域組中，最后為本地域組分配資源權限。AGDLP原則適用于單林環(huán)境，通過為為本地域組授權，實現對全域用戶的授權。AGUDLP原則首先將用戶賬戶添加到全局組中，然后將全局組添加到通用組中，再將通用組添加到本地域組中，最后為本地域組分配資源權限。AGUDLP原則適用于多林環(huán)境，通