在Microsoft Active Directory中,AD组应该是属于比较难理解概念之一。事实上,AD中有多种不同的组,比如通讯组、安全组、全局组、通用组等。那么在AD中,对于组是如何定义和分类,各种组又适合什么样的场景下使用才是最安全最合适的呢?本文给出相关的描述,希望给感兴趣的朋友有所启迪!
0x01 组的分类:
根据网络环境可划分为:本机组和域组;
根据能否分配权限可划分为通讯组和安全组;
通讯组:通讯组没有SID,不能用于权限分配。通讯组作用是用来将许多对象组织在一起,从而集中寻址,以实现统一管理。通讯组在邮件中使用最为频繁。在Exchange中可以向某个通讯组发送邮件,从而实现该通讯组下所有用户都接收到同一份邮件。
安全组:安全组也可以用于电子邮件,但安全组有SID,它最主要功能是用于权限分配,从而实现权限集中化管理和分配。
0x02 安全组的细分
安全组故名思义,侧重于安全和权限的分配。那么根据可访问资源权限的大小,安全组又可以细化为:域本地组、全局组以及通用组。简单来说,域本地组只能在该组所属域中使用,全局组在整个AD林中使用,通用组也可以在整个AD林中使用。上述三个组详细的定义和区别如下:
域本地组:
- 权限范围:域本地组只能在创建该组的当前域中使用,只可以访问当前域中资源;
- 成员范围:成员可以来自任何域中用户或任何组;
- 可引用范围:
- 存储范围:只在本地域中所有DC存储和复制;
全局组:
- 权限范围:全局组可以在整个AD林中使用,可以访问整个AD林中的资源;
- 成员范围:成员只能来自创建该组的域中的用户和全局组;
- 可引用范围:同域中的全局组、林中的通用组;
- 存储范围:只在本地域中所有DC存储和复制;
通用组:
- 权限范围:通用组可以在整个AD林中使用,可以访问整个AD林中的资源;
- 成员范围:所有域的用户、全局组和通用组;
- 可引用范围:所有域中的全局组、通用组;
- 存储范围:通用组存储在全局编录域控制器中,从而在整个林中复制;
0x03 用户组权限分配规则
- 权限针对用户组分配,尽量避免针对用户分配权限;
- 删除用户之前,强烈建议先只是禁用用户一段时间。经过一个月或两个月真的不需要该帐号后再彻底删除该对象;
- 用户组权限分配遵循AGDLP原则;
说明:A、G、DL、P策略就是先将用户账户(A)加入到全局组(G),再将全局组加入到本地域组(DL)内,然后设置本地域组的权限(P)。
应用:若A域的用户需要访问B域的资源,则A域管理员负责在A域创建全局组,将A域用户帐户加入到此组中。B域管理员负责在本域创建本地域组,设置此组权限,然后将A域创建的全局组加入到本地域组中。之后由A域管理员负责维护全局组成员,B域管理员负责维护本地域组权限。以实现管理上的分散。
