AGDLP:工作/角色组的全局组与本地组
我相信我确实理解我对 AGDLP 的了解。但是,我所读到的内容并没有解释将全局组用于业务角色/工作职能的优点,也没有解释为它们使用本地组的缺点。
所以假设我有一个单一的林/域,让我们说具有超过 2008 年的功能级别。这个域的服务器成员有一个本地管理员组。在这个本地管理员组中,我分配了 1 个域本地组,让其命名为 LocalAdmin_server1 现在在这个组中,我想添加其他组,组包含不同工作角色/团队的用户,例如 JobRole1、JobRole2、Team3 为什么会有 JobRole1, JobRole2、Team3 团体是全球性的,还是将它们作为本地团体是一个问题?
简短回答:
\nJobRole1 是一个全局组,因此受信任域/林的管理员能够向 JobRole1 中的用户授予对其域中资源的访问权限。这是一个群体范围的问题。检查使用组嵌套策略 \xe2\x80\x93 AD 组策略最佳实践以获取组和范围的列表。
长答案:
\n\n\n\n\n假设我有一个森林/域
\n
对于单个林和域,无论使用域本地组、全局组还是通用组,从技术上讲并不重要。(您还应该区分域本地组和本地组,因为后者仅存在于一台计算机上。)对于多个域或林信任,这一点变得很重要。但是,如果您实施 AGDLP(现在是 IGLDA),请从一开始就正确实施,否则,如果您的公司与另一家公司合并或收购,那么它就毫无价值。
\n\n\n\n\n假设我有一个森林/域,...
\n
让我提出一个与你的例子不同的例子。希望它变得更加清晰。我使用新的 IGDLA 术语,它是“身份、全局组、域本地组和访问”的缩写。Ace Fekay 写了一篇关于 IGDLA 的精彩文章。
\n\n- \n
- 您有一个文件共享(或资源)“销售”。 \n
- 您有一个用户约翰。用户也称为身份([I]GDLA)。乔恩在销售部门工作。 \n
- John 需要访问(IGDL[A]) Sales文件夹共享。您还可以将“A”视为文件夹的A CL。 \n
我们可以简单地将用户John添加到Sales文件夹的 ACL,但我们不这样做。这很糟糕,但这不是这个问题或答案的范围。
\n\n更好的解决方案是专门创建一个组,将其添加到文件夹的 ACL,然后将用户添加到该组。IGDLA 建议使用域本地组。
\n\n为什么使用域本地组?(IG[DL]A)
\n\n由于文件夹或文件共享仅存在于一个域中,并且我们专门为该文件夹创建一个组,因此为该组使用尽可能严格的范围是有意义的。
\n\n本地组是不可能的,因为如果将文件夹从 fileserver1 移动到 fileserver2,则必须从头开始重新创建权限。下一个选项是使用域本地组。您保留向其中添加用户和对象的所有灵活性,甚至可以从其他域甚至林中添加用户和对象,但您可以确保没有人可以在您的域或林之外看到该组。我们将此组命名为ACL_Sales_RW。
\n\n好的,现在您有了文件共享Sales并授予了域本地组ACL_Sales_RW的修改权限。但您的团队中有多名销售人员,他们需要访问的不仅仅是文件夹Sales。所以你需要一个中介团体。
\n\n为什么使用全局组?(我[G]DLA)
\n\n该中介组包含您公司中的所有销售人员用户,我们将其称为SalesTeam。您将用户John以及公司中的所有其他销售人员放入组SalesTeam中。您还可以将SalesTeam放入ACL_Sales_RW以授予他们读写访问权限 ,以授予他们对该文件共享的
\n\n您也对该组使用最严格的范围。域本地组确实有效。您可以将来自您的域、林以及其他域或林的用户放置在其中。但从受信任的域/林中看不到域本地组。因此,如果您的销售人员需要访问受信任域中的资源,那么他们就不走运了。这就是您使用全局组的原因。从您的域外部可以看到它们,如果您的销售人员需要访问受信任域/林中的资源,他们的系统管理员只需将SalesTeam组添加到其文件共享 ACL 即可。
\n\n如果仍然不清楚,Ace 博客中的这张图片可能会对您有所帮助:
\n\n
\n来源