組的概念及作用域
組是具有安全標識符(SID)的安全主體,通過組的member屬性,即可包含其他安全主體(用戶、計算機和其他組),以實現更簡單的管理。這裏一定不要和OU搞混淆了,OU是沒有SID的,所以不能用於資源權限的分配。
組作用域 | 本域的成員 | 林內的成員 | 信任的外部域的成員 | 可以被賦予權限範圍 |
本地組 | 用戶、計算機、全局組、通用組、本地域組和本地組所在計算機上定義的其他本地用戶 | 用戶、計算機、全局組、通用組 | 用戶、計算機、全局組 | 只能在本地計算機 |
本地域組 | 用戶、計算機、全局組、通用組、本地域組 | 用戶、計算機、全局組、通用組 | 用戶、計算機、全局組 | 本域內 |
通用組 | 用戶、計算機、全局組、通用組 | 用戶、計算機、全局組、通用組 | 不適用 | 林內 |
全局組 | 用戶、計算機、全局組 | 不使用 | 不適用 | 在域內或信任域 |
組的類型
通訊組
只用於電子郵件的應用
沒有SID,不能被賦予權限
安全組
擁有SID的安全主體,可以被賦予權限
可以用於電子郵件應用
轉換組作用域和類型
如果需要更改組的類型,也是可以實現的。直接在組的屬性中就可以進行修改。但是需要注意:將組由安全組轉換爲通訊組時,針對該組分配的人和資源訪問權限都將徹底丟失。
可以進行組的作用域轉換的類型如下:
全局組到通用組
本地域組到通用組
通用組到全局組
通用組到本地組
使用命令修改組的方法:
dsmodgroupDN–secgrp{yes|no}–scope{l|g|u}
groupDN:組的可分辨名稱,如:“cn=groupname,ou=xxx,dc=contoso,dc=com”
–secgrp{yes|no}:決定組的類型:安全組(yes)或通訊組(no)
–scope{l|g|u}:決定租的作用域:本地域(l)、全局(g)或通用(u)
創建組
1.除了直接在圖形界面直接創建組,還可以使用命令創建組或批量創建組。
使用dsadd創建組示例:dsaddgroup“cn=IT,ou=groups,ou=long,dc=lab,dc=com”–secgrpyes–scopeg。secgrp和scope參數可以參考上面介紹。
2.使用CSVDE批量導入組。在excel中創建好需要導入組的信息,保存成.csv格式文件。然後使用CSVDE進行導入。
csvde–i–fd:\groupinfo.csv–k
LDIFDE也可以實現批量導入組,與前面介紹導入用戶的方法一樣。這裏就不再作介紹,有興趣的話可以自己嘗試一下。
3.使用dsmod更組成員
dsmod命令語法:
dsmodgroup”groupDN“-addmbr“MemberDN”添加組成員
dsmodgroup”groupDN“-rmmbr“MemberDN”刪除組成員
增加組成員示例:dsmodgroup“cn=IT,ou=groups,ou=long,dc=lab,dc=com”–addmbr“cn=test1,ou=it,ou=long,dc=lab,dc=com”
4.使用dsget查詢組的成員關係
dsget命令可以檢索組成員關係的完整列表,包括嵌套組成員。語法如下:
dsgetgroup“groupDN”-members
示例:dsgetgroup“cn=it,ou=groups,ou=long,dc=lab,dc=com”-members
5.使用Powershell創建組
使用New-ADGroup命令可以創建組,語法如下:
New-ADGroup[-Name]<string>[-GroupScope]<ADGroupScope>{DomainLocal|Global|Universal}[-WhatIf][-Confirm][
-AuthType<ADAuthType>{Negotiate|Basic}][-Credential<pscredential>][-Description<string>][-DisplayName<str
ing>][-GroupCategory<ADGroupCategory>{Distribution|Security}][-HomePage<string>][-Instance<ADGroup>][-Man
agedBy<ADPrincipal>][-OtherAttributes<hashtable>][-PassThru][-Path<string>][-SamAccountName<string>][-Serv
er<string>][<CommonParameters>]
創建單個組示例:
New-ADGroup-NameAccounting-GroupScopeGlobal-GroupCategorySecurity–Path“ou=groups,ou=long,dc=lab,dc=com"
使用Powershell批量導入組
在excel中創建好組的信息,保存成csv格式文件。
使用powrshell命令導入,powershell命令如下:
Import-Csv"d:\groups.csv"|ForEach-Object{New-ADGroup-Name$_.name-SamAccountName$_.samaccountname-Description$_.description-GroupScope$_.groupscope-GroupCategory$_.groupcategory-Path"ou=groups,ou=long,dc=lab,dc=com"}
組屬性的最佳實踐
規範的命名規則。規範的命名能夠一看組名大概就知道這個組使做什麼用途的,可以使用前綴表明組的作用。比如:ACL_IT_Read則代表用於分配IT文件只讀權限。
使用“描述”屬性來標識組的用途。
在“註釋”中詳細列出組的用途。
總結:一定要分清楚組和OU的區別,組在資源權限分配上能給管理帶來很大的方便。對組的管理和用戶管理一樣重要,分清楚各個組的作用域,靈活運用組。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1261806