主动目录分组简单直截了当管理身份(用户和/或计算机)并分配权限用户或计算机添加成集团成员,并用文件分享、邮箱、应用或公司其他资源访问控制列表引用该组经验丰富的管理员知道这种简单化快速走出窗口环境尺度随着集团成员增长,成员管理变得越来越复杂。
多年来,微软等开发出最佳实践,管理活跃目录环境中的分组和权限策略失传,但利用这些精密层次可获取价值
活动目录技术刷新
挖掘技术奇特主动目录前, 让我们快速刷新某些名词和结构构件
活动目录分层构建域名全称森林域主要定义复制范围,这是多域森林存在的主要原因活动目录由多类型对象组成:用户、计算机、集团、组织单元等对象和所有属性都复制到域控制器间更多对象加到域内后,网络复制必备量增长,如果域跨多个物理位置,这可能成为问题
森林允许将活动目录分入域优化对象安全复制范围对象复制到森林内其他领域域控制器子集(这些子集配置为全局目录服务器),但只有子集对象属性全局目录服务器允许你调和复制需求与跨域边界回溯解决对象属性需求之间的平衡
遇有来自不同森林的两个域需要共享资源时,域信任可用于验证用户并允许外部域用户使用信托通常用于企业合伙或合并的第一步
理解分组范围
活动目录分组可创建电子邮件或安全目的,需要名称和分组成员(用户、计算机或其他分组)。除这些选项外,分组可分三大范畴之一:全球范围、通用范围和地方域以上范围定义小组在主动目录森林中的可见度并影响对象可能是集团成员
全球集团拥有最大可见度的集团范围,因为它们是唯一可归为领域外部可信本地组成员的群体类型,它们也可以列作同一森林内其他领域通用或域本地组成员全球集团在其他领域可以引用成员身份,但它们只能包含自有领域某些类型对象(用户、计算机和其他全球集团)。关键特性区分 因为它如何影响复制改变全球集团成员资格只需在域内复制,而不必在整个森林内复制全球目录服务器
通用群组可成为森林全域通用和域域本地组成员,成员中可有用户、计算机或全球通用组普世类成员可选择在全球目录内缓存,每当集团成员改变时将产生复制成本
域局部群唯一群类类型可能包括外部托管域成员(用户、计算机和全球组)。域局部群落成员可包括森林内任何域的用户、计算机和全球或通用群落,以及同一域的其他域局部群落
优化目标和策略
有两个主要原因 最符合你的利益 利用主动目录分组的最佳做法
第一,通过执行角色访问控制(RBAC)可减轻行政工作量核心目标RBAC最小化增加用户或改变用户作用时所需的修改数RBAC后,你应该能够向一或二组增用新用户,以便允许他们使用组织内需要的所有资源。
第二,您可以最小化技术间接费 通过分组成员修改分配用户权限部分活动目录复制并关涉文件分享权限、Web基础或预应用访问等事务,任何其他公司资源集团成员可能产生影响
几乎完全可以通过分组嵌套实现这两个目标,简言之,这是对集团成员资格的多层次策略方法分组嵌套包括使一个集团成为一个或多个其他集团成员,允许管理员在获取数组资源访问权的同时向单个集团添加用户或计算机
集团嵌套应限于特定顺序单域森林账号(用户或计算机)应分全球性分组处理,与工作角色相对应。然后这些全球集团应分属域局部集团,这些集团用来提供一定程度的访问资源的机会,如应用程序或文件存储器等缩写使用AGDLP
多领域森林因群组成员限制和需要最小化复制而更加复杂化在一个多领域环境里,最佳做法是将全球集团成员划分为通用集团,将世界集团成员划分为域域本地集团成员AGUDLP(账号、全局域名、权限)缩写应用多域使用这一结构可最大限度地减少全球集团成员变化(最小复制),因为大多数变化将限于全球集团
应用最佳做法
实现这些最佳做法的第一步是制定计划,这需要理解业务需求开始理解业务分组划分方式、用户需要获取的资源和两个相交方式
商业角色全球集团可像商业集团(销售集团、工程集团、人力资源集团、IT集团、执行官集团)一样直截了当或按需要分解(销售团队、销售线索、销售管理集团)。角色分级完全取决于 资源量和访问量 这些用户完成工作幸运的是,随着企业需求变化,这些集团很容易扩展, 因此,虽然规划需求并建设一定弹性增长, 肯定有价值,但这不是你需要过度思考的事情。
域局部群管理权限和访问方程侧面比较简单通常,文件文件夹等事物只有少数潜在权限级别, 在大多数情况下,它可分解为只读、读写和完全控制等事物新建文件存储器需要一套新域局部分组,但一旦框架构建,你只需添加几个角色,作为集团成员而非单个用户应用和其他资源类型利用主动目录群可能增加复杂性,但这真的取决于应用
粘合所有这一切的粘合物正在添加你的全球集团-管理策略角色方面-作为域域本地集团成员,使角色为这些用户获取适当权限所必需举例说:销售用户可能要求能查看工程队拥有的文件,因此销售用户将分入全球组,该组成员将分入域局部组,提供只读工程文件访问相同的销售用户群可以是域域本地组成员,向销售文件提供读写权限,以及适合其工作角色的任何其他权限组成员新用户将安插到适合其工作角色的分组中并自动获得工作函数所需数资源许可
通用群落只在活动目录森林中发挥作用,多域由来自一个域的用户请求访问另一个域的资源group定义企业角色和域局部集团响应权限时,通用集团可被视为商业角色第二层增强跨域功能战略从性能上特别有用,如果通用类集缓存功能在您的全局目录服务器内实现使用
最终建议保存你的理智性,即为集团类型中的每一类型建立标准命名规范Gl-SalesTeam(分组范围和任务函数)或SelseTeam-Role(工作函数和组类型)帮助识别集团的目的和它支持的商业集团权限组可能需要更多细节才能完全描述性,因为它们可对应多种资源ACL-Files-Engineering-RW命名协议将有助于精简维护过程的所有方面,包括搜索和审查用户访问和潜在自动化