域内权限
组
组(group)是用户账号的集合,通过向组分配权限,就可以不必向每个用户分配权限。例如,管理员在日常工作中,不必为单个用户账号设置独特的访问权限,只需要将用户账户放到相应的安全组中。管理员通过配置安全组访问权限,就可以为所有加入安全组的用户账户配置同样的权限。使用安全组而不是单个的用户账号,可以大简化网络的维护和管理工作。
域本地组
域本地组成员来自林中任何域中的用户、全局组和通用组以及本域中的域本地组,在本域范围内可用。
全局组
全局组成员来自于同一域的用户账户和全局组,在林范围内可用。
通用组
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用
可以这样简单地记忆:
域本地组来自全林,作用于本域
全局组来自本域,作用于全林;
通用组来自林,作用于全林;
案例一:
有一个打印机连接域控,设置域本地组赋予使用打印机的权限,然后设置全局组,将人员都加入到全局组,然后将全局组加入到域本地组就可以了。
案例二:
有三个域hack.com(在北京),sh.hack.com(在上海),gz.hack.com(在广州)组成W林,然后北京账务部门,需要进行结算,但是数据在北京的一台服务器上权限比较高只有北京账务人员可以使用,同时因为北京人数不够,需要上海和广州支援,这个时候怎么办?
1、只需要在北京的服务器上建立一个域本地组,然后赋予域本地组权限可以访问账务的数据机器
2、在上海和广州分别建立全局组
3、在北京的域控上将上海和广州的全局组加入进来
A-G-DL-P策略
A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组,然后为域本地组分配资源权限
-
A表示用户账户( Account)
-
G表示全局组( Global Group)
-
U表示通用组( Universal Group)
-
DL表示域本地组( Domain Local Group)
-
P表示资源权限( Permission,许可)
按照AG-DL-P策略对用户进行组织和管理是非常容易的。在AGDL-P策略形成以后,当需要给一个用添加某个权限时,只要把这个用户添加到某个本地域中就可以了。
重要的域本地组
| 组名 (角色) | 核心权限 (能干什么) | 通俗解释 |
|---|---|---|
| 管理员 (Administrators) | 拥有公司最高权限,无所不能。 | 公司老板/CEO,想干嘛干嘛,还能任命其他高管。 |
| 域管理员 (Domain Admins) | 拥有整个域(比如整个集团)所有电脑的完全控制权。 | 集团总经理,权限仅次于老板,能管理集团下所有分公司和电脑。 |
| 企业管理员 (Enterprise Admins) | 拥有整个森林(多个域)的最高权限。 | 跨国集团总裁,管理整个跨国集团的所有事务。 |
| 架构管理员 (Schema Admins) | 可以修改整个活动目录的"蓝图"和"结构"。 | 首席架构师,只有他才能修改公司的核心组织架构和根本大法。 |
| 服务器操作员 (Server Operators) | 可以管理域控制器服务器(关服务器、改时间、共享文件等)。 | 总部大楼物业经理,能进入机房操作关键设备,维护总部大楼运行。 |
| 备份操作员 (Backup Operators) | 可以对服务器上的所有数据进行备份和还原。 | 公司档案管理员,有权限复制和恢复所有的重要文件,以防丢失。 |
| 账号操作员 (Account Operators) | 可以创建和管理员工账号,但不能动高管账号。 | 人事部专员,可以给新员工开户、办理离职,但无权任命经理。 |
| 打印机操作员 (Print Operators) | 可以管理公司的所有网络打印机。 | 办公用品管理员,专门负责管理公司的所有打印机。 |
| 远程登录组 (Remote Desktop Users) | 成员可以通过远程桌面登录到服务器。 | 拥有"远程办公"权限的员工,可以从家登录到公司的电脑。 |
| 域用户 (Domain Users) | 域里所有的普通用户账号都默认在这个组里。 | 公司的全体普通员工,拥有完成日常工作所需的基本权限。 |