创建AD域服务组和组织单位

Posted 2021-05-15 f1veseven

创建组时尽量减少授权次数
组是相似对象的逻辑集合：
部门、地点、资源

两种类型的组：
安全组、通讯组

全局组：

成员：
与全局组同域的用户账户和计算机账户
与全局组同域的全局组

权限：
可为全局组分配林中的任何域或者任何信任域中的权限

用途：
管理需要日常维护的目录对象，如用户账户和计算机账户
将有着相似网络访问要求的用户归为一组

通用组：

成员：
来自林中任何域的全局组
来自林中任何域的用户账户和计算机账户
来自林中任何域的通用组

权限：
可分配林中任何域或者任何信任域中的权限

用途：
用于合并来自多个域的组

可转换为：
域本地组
全局组(如果没有其他通用组作为成员存在)

域本地组：

成员：
来自林中任何域或任何受信任域的账户
来自林中任何域或任何受信任域的全局组
来自林中任何域或任何受信任域的通用组
同域的域本地组

权限：
只能在该域本地组所在的域中分配成员权限

可转化为：
通用组(如果没有其它域本地组作为成员存在)

本地组：

成员：
本地用户
域用户
域组

权限：
只能为本地组分配本地计算机上的权限
不可在域控制器上创建本地组

组嵌套：

嵌套可使组成为其他组的成员

在管理AD DS组时使用嵌套策略的好处：
组的嵌套减少了复制
嵌套组简化了管理

OU(组织单位)：

是域中的一种目录对象
是可以分配组策略设置或委派管理授权的最小作用域或最小单位
可包含用户、计算机、组、打印机和其他OU

OU用于：
委派授权(创建用户、重置密码)
在域模型中创建容器以表示逻辑结构
在域中形成管理边界
实施组策略