在域环境中,为方便对用户权限进行管理,需要将具有相同权限的用户划为一组。这样,只要对这个用户组赋予一定的权限,那么该组内的用户就获得了相同的权限
The purpose of user groups
组(Group)是用户账号的集合,按照用途可以分为通讯组和安全组
- 通讯组就是一个通讯群组。例如,把某部门所有员工拉进同一个通讯组,当给这个通讯组发信息时,组内的所有用户都能收到。
- 安全组则是用户权限的集合。例如,管理员在日常的网络管理中,不必向每个用户账号都设置单独的访问权限,只需要创建一个组,再将需要该特权的用户拉进这个组即可。
Permissions of Security Groups
根据组的作用范围,安全组可以分为域本地组、通用组和全局组。注意,这里的作用范围指的是组在域树或域林中应用的范围
Domain local group
域本地组作用于本域,主要用于访问同一个域中的资源。除了本组内的用户,域本地组还可以包含域林内的任何一个域和通用组、全局组的用户,但无法包含其他域中的域本地组。域本地组只能访问本域中的资源,无法访问其他不同域中的资源。管理员进行域组管理时,只能为域本地组授予本域的资源访问权限,无法授予对其他不同域中的资源访问权限。
当域林中多个域的用户想要访问一个域的资源时,可以从其他域向这个域的域本地组添加用户、通用组和全局组。
注意:域本地组在活动目录中都是 Group 类( Group 类是用来支持分组管理的)的实例,而域组的作用类型是由其 groupType 属性决定的,该属性是一个位属性。
| 十六进制值 | 十进制值 | 说明 |
|---|---|---|
| 0x00000001 | 1 | 指定一个组为系统创建的组 |
| 0x00000002 | 2 | 指定一个组为全局组 |
| 0x00000004 | 4 | 指定一个组为域本地组 |
| 0x00000008 | 8 | 指定一个组为通用组 |
| 0x00000010 | 16 | 为 Windows Server 授权管理器指定一个 APP_BASIC 组 |
| 0x00000020 | 32 | 为 Windows Server 授权管理器指定一个 APP_QUERY 组 |
| 0x80000000 | 2147483648 | 指定一个组为安全组,如果未设置此位标志,则该组默认是通讯组 |
常见的系统内置的域本地组及其权限如下:
Administrators:管理员组,该组的成员可以不受限制地访问域中资源,是域林强大的服务管理组Print Operators:打印机操作员组,该组地成员可以管理网络中的打印机,还可以在本地登录和关闭域控制器Backup Operators:备份操作员组,该组的成员可以在域控制器中执行备份和还原操作,还可以在本地登录和关闭域控制器(其成员可以远程备份必要的注册表配置单元以转储 SAM 和 LSA 机密,然后进行 DCSync)Remote Desktop Users:远程登陆组,只有该组的成员才有远程登陆服务的权限Account Operators:账号操作员组,该组的成员可以创建和管理该域中的用户和组,还为其设置权限,也可以在本地登录域控制器,如果获得Acount Operators组用户就可以获得域内除了域控的所有主机权限。(基于资源的约束性委派)Server Operators:服务器操作员组,该组的成员可以管理域服务器
