创建AD域服务组和组织单位

创建组时尽量减少授权次数
组是相似对象的逻辑集合:
部门、地点、资源

两种类型的组:
安全组、通讯组


全局组:

成员:
与全局组同域的用户账户和计算机账户
与全局组同域的全局组

权限:
可为全局组分配林中的任何域或者任何信任域中的权限

用途:
管理需要日常维护的目录对象,如用户账户和计算机账户
将有着相似网络访问要求的用户归为一组



通用组:

成员:
来自林中任何域的全局组
来自林中任何域的用户账户和计算机账户
来自林中任何域的通用组

权限:
可分配林中任何域或者任何信任域中的权限

用途:
用于合并来自多个域的组

可转换为:
域本地组
全局组(如果没有其他通用组作为成员存在)



域本地组:

成员:
来自林中任何域或任何受信任域的账户
来自林中任何域或任何受信任域的全局组
来自林中任何域或任何受信任域的通用组
同域的域本地组

权限:
只能在该域本地组所在的域中分配成员权限

可转化为:
通用组(如果没有其它域本地组作为成员存在)



本地组:

成员:
本地用户
域用户
域组

权限:
只能为本地组分配本地计算机上的权限
不可在域控制器上创建本地组



组嵌套:

嵌套可使组成为其他组的成员

在管理AD DS组时使用嵌套策略的好处:
组的嵌套减少了复制
嵌套组简化了管理



OU(组织单位):

是域中的一种目录对象
是可以分配组策略设置或委派管理授权的最小作用域或最小单位
可包含用户、计算机、组、打印机和其他OU

OU用于:
委派授权(创建用户、重置密码)
在域模型中创建容器以表示逻辑结构
在域中形成管理边界
实施组策略

上一篇:管理对AD域服务中的资源的访问权


下一篇:AD备忘录