Windows Server 2022活動(dòng)目錄管理實(shí)踐( 第2版 微課版)-課件項(xiàng)目12 組的管理與AGUDLP原則

項(xiàng)目12組的管理與AGUDLP原則組的類型組的作用域AGUDLP原則目錄組的類型組的類型在活動(dòng)目錄中，有兩種不同類型的組：通訊組和安全組。通訊組存儲(chǔ)著用戶的聯(lián)系方式，用于進(jìn)行批量用戶之間的通信，如群發(fā)郵件、開視頻會(huì)議等，它沒有安全特性，不可用于進(jìn)行授權(quán)。安全組具備通訊組的全部功能，用于為用戶和計(jì)算機(jī)分配權(quán)限，是WindowsServer2022標(biāo)準(zhǔn)的安全主體。通訊組的特點(diǎn)郵件通訊通訊組的核心功能是作為郵件的收件人群組，方便群發(fā)郵件。當(dāng)需要向一組人發(fā)送相同內(nèi)容的郵件時(shí)，只需將郵件發(fā)送給通訊組，即可實(shí)現(xiàn)批量發(fā)送。無安全特性通訊組沒有安全標(biāo)識(shí)（SID），因此不能用于授權(quán)訪問網(wǎng)絡(luò)資源或本地資源。它僅用于郵件通訊，不涉及權(quán)限管理。靈活性通訊組的成員可以靈活添加和刪除，以適應(yīng)不同的通訊需求。管理員可以根據(jù)實(shí)際情況調(diào)整組成員，確保郵件能夠準(zhǔn)確發(fā)送給需要的人。易于管理通訊組簡(jiǎn)化了郵件通訊的管理過程，減少了重復(fù)發(fā)送郵件的工作量。通過管理通訊組，可以更有效地控制郵件的發(fā)送對(duì)象和發(fā)送內(nèi)容。安全組特點(diǎn)安全標(biāo)識(shí)（SID）：安全組擁有唯一的SID，使其能作為授權(quán)資源訪問的對(duì)象，SID是Windows系統(tǒng)中用來唯一識(shí)別用戶、組等安全主體的標(biāo)識(shí)符。權(quán)限管理：安全組管理訪問權(quán)限，確保只有授權(quán)用戶和設(shè)備能訪問特定資源，增強(qiáng)網(wǎng)絡(luò)安全，防止非法訪問。繼承性：安全組成員自動(dòng)繼承組權(quán)限，管理員可批量管理用戶訪問權(quán)限，簡(jiǎn)化權(quán)限分配。

安全組特點(diǎn)靈活性：安全組成員可靈活調(diào)整，管理員根據(jù)需求增減成員，確保訪問權(quán)限的精確控制。

支持多種資源：安全組廣泛用于控制網(wǎng)絡(luò)資源訪問權(quán)限，包括文件、文件夾、打印機(jī)及共享目錄等，增強(qiáng)網(wǎng)絡(luò)安全管理。支持角色分配：活動(dòng)目錄利用安全組分配角色，明確用戶/計(jì)算機(jī)操作權(quán)限與資源訪問范圍，實(shí)現(xiàn)更精細(xì)的權(quán)限控制。

組的作用域組的作用域組的作用域是是組的工作范圍。在域中，根據(jù)組的作用域，可以將組分為3種：本地域組（DL）、全局組（G）和通用組（U）。組的作用域與管理者如圖所示。組的作用域與管理者組的作用域（1）本地域組（DL）。作用域：本域及子域。管理者：域管理員或、內(nèi)的服務(wù)器管理員。成員：所有用戶/組賬戶。組的作用域與管理者組的作用域（2）全局組（G）。作用域：所有域。管理者：域管理員。成員：本域中的所有用戶/組賬戶。組的作用域與管理者組的作用域（3）通用組（U）。作用域：所有域和域目錄林。管理者：域目錄林管理員。成員：相同林中的所有用戶/組賬戶。組的作用域與管理者AGUDLP原則AGUDLP原則A（Account）：用戶賬戶，代表網(wǎng)絡(luò)中的個(gè)體用戶。G（GlobalGroup）：全局組，可以包含來自同一個(gè)域的用戶賬戶或其他全局組。全局組的成員身份是域全局的，但權(quán)限分配是局部的。U（UniversalGroup）：通用組，是跨域的，可以包含來自任何域的用戶賬戶、全局組或通用組。通用組的成員身份和權(quán)限分配都是全局的。DL（DomainLocalGroup）：域本地組，只能包含來自同一個(gè)域的用戶賬戶、全局組或通用組。域本地組的成員身份是局部的，但權(quán)限分配可以是跨域的。P（Permission）：權(quán)限，指對(duì)特定資源（如文件、文件夾、打印機(jī)等）的訪問權(quán)限。AGUDLP原則AGDLP原則的結(jié)構(gòu)如圖所示。AGUDLP原則的結(jié)構(gòu)AGUDLP原則的實(shí)施步驟假設(shè)公司中有兩個(gè)域，分別為B域和C域，它們都隸屬于A林，B域中的5個(gè)財(cái)務(wù)人員和C域中的3個(gè)財(cái)務(wù)人員都需要訪問C域文件共享服務(wù)器中的“FINA”文件夾。在這種情況下，可以在C域中創(chuàng)建一個(gè)組DL。因?yàn)镈L組中的成員可以來自所有的域，所以將8個(gè)財(cái)務(wù)人員的用戶賬戶都加入DL組，并且將“FINA”文件夾的訪問權(quán)賦予DL組。C域B域A林本地域組財(cái)務(wù)人員財(cái)務(wù)人員財(cái)務(wù)人員服務(wù)器AGUDLP原則的實(shí)施步驟這樣做的壞處是什么呢？因?yàn)镈L組在C域中，所以管理權(quán)屬于C域，如果B域中要增加一個(gè)財(cái)務(wù)人員，那么只能通知C域管理員，由其對(duì)DL組中的成員進(jìn)行修改。事實(shí)上事情遠(yuǎn)沒有這么簡(jiǎn)單，這需要兩個(gè)域中的工作人員相互協(xié)調(diào)，落實(shí)到具體操作還需要有具體的申請(qǐng)和審批流程，完成這件事情的效率較低。C域B域A林本地域組財(cái)務(wù)人員財(cái)務(wù)人員財(cái)務(wù)人員服務(wù)器AGUDLP原則的實(shí)施步驟這時(shí)候，我們改變一下，在B域和C域中都各創(chuàng)建一個(gè)全局組，分別為Gb組和Gc組，然后在C域中創(chuàng)建一個(gè)本地域組DL，將Gb組和Gc組都加入C域中的DL組，然后將“FINA”文件夾的訪問權(quán)賦給DL組。這樣，Gb組和Gc組就都有權(quán)訪問“FINA”文件夾了（組嵌套與權(quán)限繼承）。服務(wù)器C域本地域DL財(cái)務(wù)人員GcB域財(cái)務(wù)人員GbAGUDLP原則的實(shí)施步驟這時(shí)，Gb組由B域管理員管理，Gc組由C域管理員管理，B域管理員將B域中5個(gè)財(cái)務(wù)人員的用戶賬戶加入Gb組，C域管理員將C域中3個(gè)財(cái)務(wù)人員的用戶賬號(hào)加入Gc組，就完成了。后續(xù)如果有人員調(diào)整，那么B域管理員和C域管理員直接對(duì)自己的組成員用戶賬戶進(jìn)行管理即可，這就是AGDLP原則。服務(wù)器C域本地域DL財(cái)務(wù)人員GcB域財(cái)務(wù)人員GbAGUDLP原則的實(shí)施步驟如果共享資源與訪問的用戶不在同一個(gè)域目錄林中，那么因?yàn)槿纸M無法跨域加入本地域組，所以需要先將全局組加入域目錄林中的通用組，再將通用組跨域加入共享資源所在的本地域組，這就是AGUDLP原則。AGUDLP原則的操作和位置總結(jié)AGDLP原則首先將用戶賬戶添加到全局組中，然后將全局組添加到本地域組中，最后為本地域組分配資源權(quán)限。AGDLP原則適用于單林環(huán)境，通過為為本地域組授權(quán)，實(shí)現(xiàn)對(duì)全域用戶的授權(quán)。AGUDLP原則首先將用戶賬戶添加到全局組中，然后將全局組添加到通用組中，再將通用組添加到本地域組中，最后為本地域組分配資源權(quán)限。AGUDLP原則適用于多林環(huán)境，通