Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目12 组的管理与AGUDLP原则.pptx

Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目12 组的管理与AGUDLP原则.pptx

  1. 1、本文档共23页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

项目12组的管理与AGUDLP原则

组的类型组的作用域AGUDLP原则目录

组的类型

组的类型在活动目录中,有两种不同类型的组:通讯组和安全组。通讯组存储着用户的联系方式,用于进行批量用户之间的通信,如群发邮件、开视频会议等,它没有安全特性,不可用于进行授权。安全组具备通讯组的全部功能,用于为用户和计算机分配权限,是WindowsServer2022标准的安全主体。

通讯组的特点邮件通讯通讯组的核心功能是作为邮件的收件人群组,方便群发邮件。当需要向一组人发送相同内容的邮件时,只需将邮件发送给通讯组,即可实现批量发送。无安全特性通讯组没有安全标识(SID),因此不能用于授权访问网络资源或本地资源。它仅用于邮件通讯,不涉及权限管理。灵活性通讯组的成员可以灵活添加和删除,以适应不同的通讯需求。管理员可以根据实际情况调整组成员,确保邮件能够准确发送给需要的人。易于管理通讯组简化了邮件通讯的管理过程,减少了重复发送邮件的工作量。通过管理通讯组,可以更有效地控制邮件的发送对象和发送内容。

安全组特点安全标识(SID):安全组拥有唯一的SID,使其能作为授权资源访问的对象,SID是Windows系统中用来唯一识别用户、组等安全主体的标识符。权限管理:安全组管理访问权限,确保只有授权用户和设备能访问特定资源,增强网络安全,防止非法访问。继承性:安全组成员自动继承组权限,管理员可批量管理用户访问权限,简化权限分配。

安全组特点灵活性:安全组成员可灵活调整,管理员根据需求增减成员,确保访问权限的精确控制。

支持多种资源:安全组广泛用于控制网络资源访问权限,包括文件、文件夹、打印机及共享目录等,增强网络安全管理。支持角色分配:活动目录利用安全组分配角色,明确用户/计算机操作权限与资源访问范围,实现更精细的权限控制。

组的作用域

组的作用域组的作用域是是组的工作范围。在域中,根据组的作用域,可以将组分为3种:本地域组(DL)、全局组(G)和通用组(U)。组的作用域与管理者如图所示。组的作用域与管理者

组的作用域(1)本地域组(DL)。作用域:本域及子域。管理者:域管理员或、内的服务器管理员。成员:所有用户/组账户。组的作用域与管理者

组的作用域(2)全局组(G)。作用域:所有域。管理者:域管理员。成员:本域中的所有用户/组账户。组的作用域与管理者

组的作用域(3)通用组(U)。作用域:所有域和域目录林。管理者:域目录林管理员。成员:相同林中的所有用户/组账户。组的作用域与管理者

AGUDLP原则

AGUDLP原则A(Account):用户账户,代表网络中的个体用户。G(GlobalGroup):全局组,可以包含来自同一个域的用户账户或其他全局组。全局组的成员身份是域全局的,但权限分配是局部的。U(UniversalGroup):通用组,是跨域的,可以包含来自任何域的用户账户、全局组或通用组。通用组的成员身份和权限分配都是全局的。DL(DomainLocalGroup):域本地组,只能包含来自同一个域的用户账户、全局组或通用组。域本地组的成员身份是局部的,但权限分配可以是跨域的。P(Permission):权限,指对特定资源(如文件、文件夹、打印机等)的访问权限。

AGUDLP原则AGDLP原则的结构如图所示。AGUDLP原则的结构

AGUDLP原则的实施步骤假设公司中有两个域,分别为B域和C域,它们都隶属于A林,B域中的5个财务人员和C域中的3个财务人员都需要访问C域文件共享服务器中的“FINA”文件夹。在这种情况下,可以在C域中创建一个组DL。因为DL组中的成员可以来自所有的域,所以将8个财务人员的用户账户都加入DL组,并且将“FINA”文件夹的访问权赋予DL组。C域B域A林本地域组财务人员财务人员财务人员服务器

AGUDLP原则的实施步骤这样做的坏处是什么呢?因为DL组在C域中,所以管理权属于C域,如果B域中要增加一个财务人员,那么只能通知C域管理员,由其对DL组中的成员进行修改。事实上事情远没有这么简单,这需要两个域中的工作人员相互协调,落实到具体操作还需要有具体的申请和审批流程,完成这件事情的效率较低。C域B域A林本地域组财务人员财务人员财务人员服务器

AGUDLP原则的实施步骤这时候,我们改变一下,在B域和C域中都各创建一个全局组,分别为Gb组和Gc组,然后在C域中创建一个本地域组DL,将Gb组和Gc组都加入C域中的DL组,然后将“FINA”文件夹的访问权赋给DL组。这样,Gb组和Gc组就都有权访问“FINA”文件夹了(组嵌套与权限继承)。服务器C域本地域DL财务人员GcB域财务人员Gb

AGUDLP原则的实施步骤这时,Gb组由B域管理员管理,Gc组由C域管理员管理,B域管理员将B域中5个财务人员的用户账户加入Gb组,C

您可能关注的文档

文档评论(0)

xiaobao + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档