很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。
定义: 组(Group)是用户帐号的集合。
作用: 通过向一组用户分配权限从而不必向每个用户分配权限,简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。
类型: 1)安全组,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权 限就可以了,这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便,简化网络的维护和管理工作。
2)通讯组,只能用在电子邮件通讯。
提示:在windows server 2000的域中,通讯组的名称是:“分布组”和通讯组功能想似。
注意:一般情况下,管理Active Directory使用的都是安全组。安全组和通讯组在有些时候是可以互转的,这要取决于Active Directory中域 的模式。
组的作用域:
安全组下可创建3种作用域组:如下图所示。
1、本地域组:多域用户访问单域资源(访问同一个域)
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
2、全局组: 单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的 通用组和域本地组中(注意这里不能把它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权 限,但一般不直接用它来进行权限管理。
3、通用组: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。组的成员情况,记录在全局目录GC(全局编录)中,非常适于林中的跨域访问使用,集成了全局组和本地域组的优处。
注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。
注意:通用组和全局组的权限范围是相似的。那么通用组和全局组有什么差别之处呢?
主要在于创建和查询性能方面有差别。以下是通用组不同处的详细说明:
1) 通用组的创建。
如果域功能级别是windows 2000混合模式,则不能创建通用安全组。(如上图所示,选择组类型为安全组,则组作用域不能选择通用组)。如果要创建通用组,第一,就是先要提升域功能 级别。域功能级别有3种:“windows 2000混合模式‘ “windows 2000纯模式和windows server 2003 。
当域功能级别从windows 2000 混合模式提升为windows 2000纯模式或windows server 2003. 这样就可以创建安全的通用组了。
2) 通用组的全局身份在全局编录中。
在多域环境下,通用组的成员身份信息在全局编录中。而全局组成员身份存储在每个域中,
在多域环境下,通用组成员登录或者查询速度较快。
注意:具有通用组成员身份不应频繁更改,因为对这些组成员身份的任何更改都会引起整个组的成员身份复制到树林中的每个全局编录中,增加了复制的流量。
重点:全局编录(Global Catalog,简称GC)是域林中所有对象的集合,是一台特殊的域控制器。默认情况下,在林中的初始域控制器上,会自动创建全局编录,其他域控制器也可 以被指派为全局编录服务器,用于实现网络负载平衡和冗余。全局编录服务器负责响应网络中所有的全局编录查询,一旦出现问题,用户将无法查询和登录。建议网 络安全要求较高的用户,配置多台全局编录服务器,以提高系统的可用性和可靠性。但需要注意的是,网络中GC之间的复制可能会增加一定的网络带宽开销。
在一个目录林是可以有多台全局编录服务器的。默认情况下,每个域林中只有一台全局编录服务器,即根域控制器。全局编录由目录林中的初始域控制器自动创建, 并且每个目录林必须有至少一个全局编录。如果使用多个站点,希望在每个站点都将一个域控制器指定为全局编录,因为需要全局编(决定了帐户的组成员身份) 完成登录身份验证进程
全局编录中包含所有活动目录对像常用的属性,其主要目的是加快活动目录查询速度。
说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。
注:
A(account)表示用户账号
G(Global group)表示全局组
U(Universal group)表示通用组
DL(Domain local group)表示域本地组
P(Permission 许可)表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
按照AGDLP的原则对用户进行组织和管理起来更容易。
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。
全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.这个时候就应该先在domainB上建一个全 局组GlobalB,然后将UseB加入GlobalB,然后到DomainA域中建立一个域本地组 LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。
通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL(域本地组),因为DL的成 员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如 果A域中的5 个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。这时候,我们改变一下,在A和B域中都各建立一个全局组 (G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给 DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管 理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。
----------------------------------------------
4. 林中和域中资源互访所应用的规则“AGDLP/AGUDLP”详解。
1)“AGDLP“规则:应用于windows 2000 混合模式(在其它两种模式下也是可以用的)
注意:在混合模式下,只能将全局组加入本地域组。也就是“AGDLP”
2)“AGUDLP”规则:只能应用于windows 2000纯模式和windows server 2003 下。
注意: DC安装时默认U组不可用,其选项为灰色,这时此DC的域处于混合模式(MIX),表示当前域内可能还有基于WIN-NT操作系统的域控制器在使用。如果 域内没有基于WIN-NT操作系统的域,并且森林内有多域共存时就可将DC转换到本地模式(Native),U组才能使用。这样做是为了保持操作系统版本 的兼容性。须知,就是在有了windows server 2003的今天,全球还有很多大中型企业的网络平稳地运行在WIN-NT的平台上。
当U组可用时,已建的G组和DL组可以有条件的转换为U组,根据“AGUDLP”。G组转换为U组的前提是此G组不是另一个G组的成员;和此相反,将DL组转换成U组的前提条件是此DL组内没有另一个DL组作为它的成员。
多域环境中(称为森林),为保持各个域之间的用户信息共享,U组和它的全部成员都被写入了一个名为全局编录(Global Caltalog,GC)的数据库中,保存于森林内第一台DC之中,此GC 会在森林内各个域的DC之间进行复制,虽然G组和DL组也被写入了GC,但是有组名,没有成员。由此可见,如果将所有成员都加入U组的话,会使得GC在森 林内进行域间复制时的网络流量剧增,造成网速下降;而通过建立适当的G组和DL组,并且在U组内避免直接添加用户,就能够显著降低了GC容量的大小,从而 降低GC复制时带来的网络流量。
虽然可以对每个用户单独授权,但是优秀的系统管理员通常是将用户添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授予权。
从组的使用范围来分,可以分为三种:全局组、本地域组和通用组。
全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。本地域组具有所属域的访问权限,以便访问本域的 资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。通用组可以访问 任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。安装域控制器时,系统会自动生成一些 组,称为内置组。这些组都定义了一些常用权限,通过将用户加入到这些内置组中,可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中,内 置的全局组在“Users”组织单元中。
1、内建组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Builtin”文件夹,Windows2000建立了内建组。
Account Operators(账户操作员):该组的成员能操作用户管理员所属域的账号和组,并可设置其权限。但是该组成员无法修改Administrators及Operators组及权限。
Administrators(管理员):该组的成员可以完全不受限制地存取计算机/域的资源,是最具权力的一个组。通常,Administrators账户与Domain Admins组都是它的成员。
Backup Operators:该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests:该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常,Guest账户与Domain Guest都是该组的成员。
Printer Operators:该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
Server Operators:该组的成员可以管理域服务器,包括:建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users:该组的成员只可以执行得到授权的应用程序,而且不可执行大部分的继承应用程序。
2、通用组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Users”文件夹,Windows2000建立了内建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guests)。
Domain Admins:该组可以代表具有操作域权力的用户,通常,Domain Admins会属于Administrators组,因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中,而内建的Administrator账户是其唯一的成员。因此,如果您希望某一用户成为域系统管理器,则我们建议您将该用户加至Domain Admins组中,而不要直接加至Administrators组中。
Domain Guests:所有域来宾,Windows2000会自动将Guest用户账户加至该组,并将该组加至内建域Guests组中。
Domain Users:所 有域的成员,在预设的情况下,任何我们所建立的用户账户都会是Domain Users组的成员,而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有某种资源存取权限,则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域Users组的成员。
Enterprise Admins:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
Schema Admins:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
本地用户和组
Everyone:任何用户,如果给这个用户的权限是完全控制,那么连接你计算机的所有用户都能对此文件夹操作。一般情况下这个用户给只读权限。
Guest(来宾):这个帐户没有修改系统设置和进行安装程序的权限,也没有创建修改任何文档的权限,只能是读取计算机系统信息和文件。由于黑客和病毒的原因,一般情况下是不推荐使用此帐户。
IUSR_ComputerName(Internet来宾):此帐户与Guest相似,可以匿名访问IIS(Internet信息服务)
IWAM_ComputerName(启动IIS进程):用于启动进程外应用程序的Internet信息服务。
1、管理员组(Administrators):赋予组内的成员对系统完全控制的最高权力。Administrator是默认的组成员。本组是唯一被自动授予所有内置权利和能力的组。
2、备份操作员组(Backup Operators):可以备份和恢复计算机上的文件,而不受保护文件权限的限制,成员也可以登录计算机上关闭系统。然而该组成员无法改变系统安全配置。默认权限:网络访问计算机、允许本地登录、备份还原文件和目录、忽略遍历检查、关闭系统。
3、高级用户(Power Users):其成员的权限和administrator仅一步之遥,除了修改系统文件之外,它已经可以写文件、写注册表,增加、修改服务了。Power Users 不能访问 NTFS 卷上的其他用户数据,除非他们获得了这些用户的授权。可以执行以下操作:
运行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中属于 Windows Logo program for Software 的应用程序和以前的应用程序。
安装不修改操作系统文件的程序或安装系统服务。
自定义整个系统的资源,包括打印机、日期/时间、文件共享和其他“控制面板”资源。
创建和管理本地用户帐户和组。
启动和停止默认情况下不启动的服务。
4.普通用户(Users):能执行大多数的普通任务。(如执行应用程序、使用本地和网络打印机、关闭系统、锁定工作站等),能够创建本地组,但同样只能修改自己创建的本地组,成员不能共享目录或添加本地打印机。其成员只能运行程序,不能安装和删除程序。
5.来宾组(Guests):偶尔一次性访问的用户成员所拥有的十分有限的权利,可登录也可关闭系统。作用不及普通用户。其成员没有修改系统设置和进行安装程序的权限,也没有创建修改任何文档的权限,只能是读取计算机系统信息和文件。
6.复制员组(Replicators):只支持目录复制功能。它的唯一成员是登录到域控***务的域用户帐号,不要将实际的用户帐号加入本组,否则该成员根本没有任何权利进入系统执行操作。
7.Network Configuration Operators:此组中的成员有部分管理权限来管理网络功能的配置
8.Remote Desktop Users:此组中的成员被授予远程登录的权限
9.HelpServicesGroup:帮助和支持中心组
域账户是域控制器上创建的帐户,所有域账户都属于domain users组。域管理员帐号属于domain admins组,具有管理域控制器的权限。当计算机加入域时,会把域的组domain users加入到计算机的本地users组,会把域的组domain admins加入到计算机的本地administrators组。域帐号默认在域控制器上有权限,具体的权限需要根据授权设置确定;域帐号在成员计算机上 的权限是通过映射到本地用户组实现的。
摘自:http://gaofeng.jiang.blog.163.com/blog/static/22540405201172481716816/