查看域内分组的方法:
- Dos命令:net group /domain
- Powershell:Get-ADGroup
- ADSI 图形界面
- LDAP API 接口
一般来说,一个普通的域会有许多分组,对于大型的森林域来说会更多,其中许多分组没有成员,有些分组的成员重叠。为了理解划分这么多分组的意义,以一个例子开始。
假设1个公司有5个部门,每个部门都有自己的门禁卡,公司有30个员工,因为公司业务需求,需要赋予这30个员工不同的门禁权限,以根据员工的岗位决定是否可以进出指定的部门。
如果不分组,则必须在5个门禁上分别为30个用户设定权限以决定用户是否允许进出本门禁,不管是权限设置还是未来因为人员流动带来的取消设置,都非常麻烦。如果对员工进行分组,例如分作5个组,则每个部门最多需要配置这5个组的进出权限,远比30要方便,极大降低管理成本。
员工为了获取门禁权限,需要加入不同的组。当人员发送流动时,例如辞职入职等,需要对组进行不停的设置,也是消耗管理成本的一件事情。如果定义权限更精细化的分组,每个用户根据自己的职能需要,只加入指定的精细化分组,以获取开展工作所需的必要权限。
将这些精细化的分组,再加入不同的权限分组。当用户发生变动时,只需在所属的精细化分组中对用户进行调整即可,可极大简化管理成本。
通过比较,可以看出上图中的分组模式(2级分组)效率较高。但同时带来一个问题,这些不同等级的分组该如何管理。微软对分组进行了分类,域内的组包括分发组和安全组2大类。
分发组(Distribution Groups):用于创建电子邮件分发列表,只能用于与电子邮件相关的应用,例如Exchange服务器,应用范围较小。
安全组(Security Groups):用于管理资源、对象的权限,也是我们最常见、最关心的组。安全组下又分为:通用组、全局组、域本地组。
通用组(Universal Group):作用于整个森林域,表示在整个森林内部的所有域间通用,因此该组的变动要尽可能的小,每次变动都要同步更新到全局数据库中。
全局组(Global Groups):只能作用于本域,不能跨域更不能跨森林,一般来说每个全局组都有一个自己的名字,以便于区分和使用。
域本地组(Domain Local Group):只能作用于特定对象,例如证书发布、打印操作、备份操作等。
域本地分组直接对应着域内资源。一个用户加入域中,会被分配至某个全局分组,而不是域本地分组。所以域本地分组的成员应该是全局分组,全局分组的成员才是用户。
域管理组(Domain Admins):这是域 环境中最常见的,对域内所有的控制器、服务器、主机和活动目录有完全的控制权限。隶属于Users容器。
管理员组(Administrators):改组定义为仅对域服务器和活动目录有完全控制权,是域本地组范畴。隶属于内置Builtin容器。
在实际应用中,我们常常容易混淆这2个分组,因为感觉都具备对域的完全管理权限。这是因为我们对组的职能划分不够充分,使用也不够严格。如果我们严格遵守每个分组的职能划分,那在安全日志中,就能更容易追踪区分高权限用户的非法登录。例如管理员组的成员如果在域内其他服务器或主机登录,则必然是恶意事件。
企业管理组(Enterprise Admins):只存在于根域,每个子域将该组加入本域的域管理组,因而具备对域的完全控制权。