Active Directory 嵌套安全组

Question

您可以在活动目录中嵌套安全组吗？

嵌套有限制吗？

哪些版本的 Windows Server/Active Directory 支持嵌套？

Answer 1

是的，AD 支持在 Windows 2000 本机模式和更高版本中运行的域中的组嵌套。限制取决于您拥有的组类型。

共有三种类型：

1. 全球的
2. 域本地
3. 普遍的

全局组只能包含该组所在域中的帐户和其他全局组。它们可以在 AD 林（或受信任域）内的任何域中使用。

域本地组可以包含来自林中任何域（或受信任域）的全局/通用组、计算机对象和帐户。只能在组所在的域中使用。

通用组可以包含来自 AD 林（或受信任域）中任何域的全局/通用组、计算机对象和帐户。它们可以在 AD 林（或受信任的域）内的任何域中使用。

全局编录服务器将缓存通用组的成员。

Answer 2

简短版本：是的。

长版：是的，但是...

嵌套可以受到所用组的范围的限制；域本地、全局和通用。

• 通用组可以是通用组或域本地组的成员
• 全局组可以是任何类型组的成员 - 如果是另一个全局组，则必须来自同一域
• 域本地组只能是同一域中其他域本地组的成员

有关组范围的更多信息，请参见此处。

此外，请注意表现不佳的应用程序 - 某些仅基于members组memberOf属性或用户属性从原始 ldap 读取组成员身份的应用程序将错过嵌套的成员身份。

此外，请记住，如果用户所属的每个组处于安全模式，则其 kerberos 票证的大小将增加。嵌套过多，请注意达到票证大小限制。