Windows 域之 组、OU
组
在域内,我们无时无刻不在跟组打交道,比如我们熟悉的域管,就是一个组。按照用途来分,组分为通讯组和安全组。对于通讯组,我们接触的比较多的就是邮件组,将若干个人划分到一个通讯组,给这个通讯组发件,那组内用户都能收到。但是通讯组不能控制对资源的访问,我们并不是很在意。这篇文章侧重介绍安全组。
安全组是权限的集合。举个例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。安全组可以根据作用范围划分为。
- 全局组
- 通用组
- 域本地组
域本地组,顾名思义,就是适用本身的组,可包含林内的账户,通用组,全局组,其他域内的通用组要在本域拥有权限,一般都是加入这个域的域本地组。比如说一个林里面,只有林根域有Enterprise Admins这个组,这是个通用组。然后其他子域 的域本地组Administrators会把林根域的Enterprise Admins加进里面,所以林根域的Enterprise Admins组用户才在整个林内具备管理员权限。如果想要一个只允许访问同一个域中的资源的组,那么使用域本地组即可。
通用组, 在林的场景下比较有用。组内成员会在GC内复制。如果你想要一个可以访问林中任何东西的组,并且可以在林中包含任何账户,请使用通用组。
全局组,可以全局使用。即:可在本域和信任关系的其它域中都可以使用,体现的是全局性。但是只能包含本域内的账户。
AGDLP
安全组是权限的集合,所以在微软的建议中,并不建议给赋予单个用户权限,而是赋予一个组权限,然后将成员拉近组。下面介绍下AGDLP策略。
- A表示用户账号,Account
- G表示全局组,Global group
- U表示通用组,Universal Group
- L表示本地组, local group
- DL表示域本地组,Domain local group
- P表示资源权限,Resource Permissions
有常见的几种权限划分方式
- AGP,将用户账户添加到全局组,然后赋予全局组权限
- AGLP,将用户账户添加到全局组,将全局组添加到本地组, 然后赋予本地组权限
- ADLP 将用户账户添加到域本地组,然后赋予域本地组权限
- AGDLP,将用户账户添加到全局组,将全局组添加到域本地组, 然后赋予域本地组权限
- AGUDLP,将用户账户添加到全局组,将全局组添加到通用组,将通用组添加到域本地组, 然后赋予域本地组权限
组织单位(Organization Unit)
组织单位(Organization Unit),简称OU,是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。 在企业域环境里面,我们经常看到按照部分划分的一个个OU。
另外百度知道上面的一个答案我觉得也可能带来更深的了解和启发
https://zhidao.baidu.com/question/212415410.html
域中OU指的是组织单位(Organizational Unit),组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。性质是最小作用域或单元
OU跟容器的区别
组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于OU,然后系统将其下推到OU中的所有计算机。您不能将组策略应用于容器。需要注意的是Domain Computers是一个普通容器,而Domain Controllers是一个OU,因此可以可以将组策略应该于Domain Controllers,不可以将组策略应用于Domain Computers。关于更多组策略的内容,我们后面会专门有一篇文章介绍组策略。
OU跟组的区别
组织单位跟组是两个完全不同的概念。很多人经常会把这两个弄混。组是权限的集合。OU是管理对象的集合。举个前面举过的例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。比如我们需要对财务部里面的用户进行统一管理,那我们可以设置个OU,然后把财务部的用户拉近这个OU,这样就可以进行集中管理,比如说下发组策略。说通俗点,组是管理的集合,OU是被管理的集合。
OU委派
考虑这样一种需求,如果我们想允许某个用户把其他用户拉近OU,而不赋予这个用户域管权限,我们可以在这个OU给这个用户委派 添加成员的权限。组织单位的委派其实就是赋予某个域内用户对OU的某些管理权限。这些权限体现在ACL里面。
参考
https://daiker.gitbook.io/windows-protocol/ldap-pian/9
https://zhidao.baidu.com/question/212415410.html
Windows 域之 组、OU相关推荐
- 域服务器组策略的计算机配置和用户配置,Windows Server 2008 R2组策略设置计算机配置和用户配置...
一.认识Windows Server 2008 R2域控组策略管理 1.域控服务器zhuyu.com的组策略管理默认会读取AD用户和计算机目录下创建的OU容器(组织单元), 在对应的OU容器创建对应的 ...
- windows server2019 AD域控制器组策略 打开组策略提示域控制器不存在
环景: windows sever 2019AD域(ad域+DNS管理器) 客户端win 10 专业版 AD域名:xxxxtech.com 问题描述: 之前更改了AD域名,现在域控制器组策略 打开组策 ...
- Windows Server 2008 R2域控组策略设置禁用USB
转载:https://www.cnblogs.com/zoulongbin/p/6103296.html 问题: Windows Server 2008 R2域控服务器如何禁用客户端使用USB移动存储 ...
- WINDOWS SERVER 2003 组策略应用
目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD ...
- windows域问题总结--专家门诊四十七问
QUOTE: 深入理解域之AD活动目录企业应用及案例分享 无论集中还是分散,目录服务触及企业的每个角落,而且常常超越企业延伸到商业伙伴和客户.AD是一个企业目录系统,可以自动进行用户数据,安全和分布的 ...
- 解系统禁用了usb服务器,解答win10系统在windows域中禁用usb设备的教程
解答win10系统在windows域中禁用usb设备的教程? 很多朋友安装win10系统后,在使用的过程中会遇到对win10系统在windows域中禁用usb设备进行设置的情况,可能有很多用户还是不能 ...
- 域控制器组策略:统一修改用户计算机桌面壁纸
方法步骤 1.首先在域控服务器上建立一个文件夹,共享,并设置everyone 都具有访问权限,(需要排除来宾账户是否开启,是否有权限访问题),确保域内其他计算机能够访问该共享文件夹. (也可以将图片放 ...
- windows域常见问题集锦
本文出自: http://angerfire.blog.51cto.com/198455/101040感觉十分有用,转载下来自己拜读和大家一起研究 开始提问: 1.域里用组策略进行软件发布,针对计算机 ...
- Windows域环境下部署ISA Server 2006防火墙(四)
构建基于ISA Server 2006的远程接入×××服务器<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:off ...
最新文章
- php asort,PHP asort():对数组排序(升序),并保持索引关系
- 自学python网站推荐-推荐自学python必入的神仙网站
- mysql binary mode_mysql二进制文件操作语法(mysql binary log operate statements)
- 军用软件概算计价规范_超强干货分享:547建筑工程计量与计价,帮你轻松掌握计量与计价...
- 【转】Unity3D将来时:IL2CPP(上)
- oracle 计算公式解析,用PL/SQL如何实现公式解析计算
- 螺丝上的十字磨没了_十字起子和无限下拉菜单
- linux 视频学习
- 隐私与机器学习,二者可以兼得吗?
- eslint解决方案整理
- 测试环境搭建:CentOS7环境装JDK+Nginx+Redis+MySql
- spm——use maven to test Hello TianZhuang!
- Ensemble_VEP--vcf文件注释
- 简述数学建模的过程_数学建模
- C#开发工厂ERP生产管理系统源码
- 遗传算法应用--基于遗传算法的神经网络结构改进
- JDE(Towards Real-Time Multi-Object Tracking)代码训练——小白必看
- 承诺通过年薪百万的CISSP信息系统安全专家认证,未通过提供第二次认证费749美元
- 天数怎么换算成月_excel表中,怎么把日期数转换成月份数呢?
- 性能优化-Tomcat调优