创建组时尽量减少授权次数
组是相似对象的逻辑集合:
部门、地点、资源
两种类型的组:
安全组、通讯组
全局组:
成员:
与全局组同域的用户账户和计算机账户
与全局组同域的全局组
权限:
可为全局组分配林中的任何域或者任何信任域中的权限
用途:
管理需要日常维护的目录对象,如用户账户和计算机账户
将有着相似网络访问要求的用户归为一组
通用组:
成员:
来自林中任何域的全局组
来自林中任何域的用户账户和计算机账户
来自林中任何域的通用组
权限:
可分配林中任何域或者任何信任域中的权限
用途:
用于合并来自多个域的组
可转换为:
域本地组
全局组(如果没有其他通用组作为成员存在)
域本地组:
成员:
来自林中任何域或任何受信任域的账户
来自林中任何域或任何受信任域的全局组
来自林中任何域或任何受信任域的通用组
同域的域本地组
权限:
只能在该域本地组所在的域中分配成员权限
可转化为:
通用组(如果没有其它域本地组作为成员存在)
本地组:
成员:
本地用户
域用户
域组
权限:
只能为本地组分配本地计算机上的权限
不可在域控制器上创建本地组
组嵌套:
嵌套可使组成为其他组的成员
在管理AD DS组时使用嵌套策略的好处:
组的嵌套减少了复制
嵌套组简化了管理
OU(组织单位):
是域中的一种目录对象
是可以分配组策略设置或委派管理授权的最小作用域或最小单位
可包含用户、计算机、组、打印机和其他OU
OU用于:
委派授权(创建用户、重置密码)
在域模型中创建容器以表示逻辑结构
在域中形成管理边界
实施组策略