Windows Server 2022活动目录管理实践( 第2版 微课版)-课件项目12 组的管理与AGUDLP原则

项目12组的管理与AGUDLP原则组的类型组的作用域AGUDLP原则目录组的类型组的类型在活动目录中，有两种不同类型的组：通讯组和安全组。通讯组存储着用户的联系方式，用于进行批量用户之间的通信，如群发邮件、开视频会议等，它没有安全特性，不可用于进行授权。安全组具备通讯组的全部功能，用于为用户和计算机分配权限，是WindowsServer2022标准的安全主体。通讯组的特点邮件通讯通讯组的核心功能是作为邮件的收件人群组，方便群发邮件。当需要向一组人发送相同内容的邮件时，只需将邮件发送给通讯组，即可实现批量发送。无安全特性通讯组没有安全标识（SID），因此不能用于授权访问网络资源或本地资源。它仅用于邮件通讯，不涉及权限管理。灵活性通讯组的成员可以灵活添加和删除，以适应不同的通讯需求。管理员可以根据实际情况调整组成员，确保邮件能够准确发送给需要的人。易于管理通讯组简化了邮件通讯的管理过程，减少了重复发送邮件的工作量。通过管理通讯组，可以更有效地控制邮件的发送对象和发送内容。安全组特点安全标识（SID）：安全组拥有唯一的SID，使其能作为授权资源访问的对象，SID是Windows系统中用来唯一识别用户、组等安全主体的标识符。权限管理：安全组管理访问权限，确保只有授权用户和设备能访问特定资源，增强网络安全，防止非法访问。继承性：安全组成员自动继承组权限，管理员可批量管理用户访问权限，简化权限分配。

安全组特点灵活性：安全组成员可灵活调整，管理员根据需求增减成员，确保访问权限的精确控制。

支持多种资源：安全组广泛用于控制网络资源访问权限，包括文件、文件夹、打印机及共享目录等，增强网络安全管理。支持角色分配：活动目录利用安全组分配角色，明确用户/计算机操作权限与资源访问范围，实现更精细的权限控制。

组的作用域组的作用域组的作用域是是组的工作范围。在域中，根据组的作用域，可以将组分为3种：本地域组（DL）、全局组（G）和通用组（U）。组的作用域与管理者如图所示。组的作用域与管理者组的作用域（1）本地域组（DL）。作用域：本域及子域。管理者：域管理员或、内的服务器管理员。成员：所有用户/组账户。组的作用域与管理者组的作用域（2）全局组（G）。作用域：所有域。管理者：域管理员。成员：本域中的所有用户/组账户。组的作用域与管理者组的作用域（3）通用组（U）。作用域：所有域和域目录林。管理者：域目录林管理员。成员：相同林中的所有用户/组账户。组的作用域与管理者AGUDLP原则AGUDLP原则A（Account）：用户账户，代表网络中的个体用户。G（GlobalGroup）：全局组，可以包含来自同一个域的用户账户或其他全局组。全局组的成员身份是域全局的，但权限分配是局部的。U（UniversalGroup）：通用组，是跨域的，可以包含来自任何域的用户账户、全局组或通用组。通用组的成员身份和权限分配都是全局的。DL（DomainLocalGroup）：域本地组，只能包含来自同一个域的用户账户、全局组或通用组。域本地组的成员身份是局部的，但权限分配可以是跨域的。P（Permission）：权限，指对特定资源（如文件、文件夹、打印机等）的访问权限。AGUDLP原则AGDLP原则的结构如图所示。AGUDLP原则的结构AGUDLP原则的实施步骤假设公司中有两个域，分别为B域和C域，它们都隶属于A林，B域中的5个财务人员和C域中的3个财务人员都需要访问C域文件共享服务器中的“FINA”文件夹。在这种情况下，可以在C域中创建一个组DL。因为DL组中的成员可以来自所有的域，所以将8个财务人员的用户账户都加入DL组，并且将“FINA”文件夹的访问权赋予DL组。C域B域A林本地域组财务人员财务人员财务人员服务器AGUDLP原则的实施步骤这样做的坏处是什么呢？因为DL组在C域中，所以管理权属于C域，如果B域中要增加一个财务人员，那么只能通知C域管理员，由其对DL组中的成员进行修改。事实上事情远没有这么简单，这需要两个域中的工作人员相互协调，落实到具体操作还需要有具体的申请和审批流程，完成这件事情的效率较低。C域B域A林本地域组财务人员财务人员财务人员服务器AGUDLP原则的实施步骤这时候，我们改变一下，在B域和C域中都各创建一个全局组，分别为Gb组和Gc组，然后在C域中创建一个本地域组DL，将Gb组和Gc组都加入C域中的DL组，然后将“FINA”文件夹的访问权赋给DL组。这样，Gb组和Gc组就都有权访问“FINA”文件夹了（组嵌套与权限继承）。服务器C域本地域DL财务人员GcB域财务人员GbAGUDLP原则的实施步骤这时，Gb组由B域管理员管理，Gc组由C域管理员管理，B域管理员将B域中5个财务人员的用户账户加入Gb组，C域管理员将C域中3个财务人员的用户账号加入Gc组，就完成了。后续如果有人员调整，那么B域管理员和C域管理员直接对自己的组成员用户账户进行管理即可，这就是AGDLP原则。服务器C域本地域DL财务人员GcB域财务人员GbAGUDLP原则的实施步骤如果共享资源与访问的用户不在同一个域目录林中，那么因为全局组无法跨域加入本地域组，所以需要先将全局组加入域目录林中的通用组，再将通用组跨域加入共享资源所在的本地域组，这就是AGUDLP原则。AGUDLP原则的操作和位置总结AGDLP原则首先将用户账户添加到全局组中，然后将全局组添加到本地域组中，最后为本地域组分配资源权限。AGDLP原则适用于单林环境，通过为为本地域组授权，实现对全域用户的授权。AGUDLP原则首先将用户账户添加到全局组中，然后将全局组添加到通用组中，再将通用组添加到本地域组中，最后为本地域组分配资源权限。AGUDLP原则适用于多林环境，通