什么是 Active Directory 组？定义、类型和范围

Active Directory 是由 Microsoft 开发的目录服务，作为 Windows Server 的核心组件运行，使其成为采用最广泛的本地目录服务之一。 AD 使用组通过将多个 AD 域中的用户帐户和计算机组织在一起并授予通用访问权限来简化对它们的管理。

什么是 Active Directory 组？

Active Directory 组表示对象的集合，其中可能包括用户、设备，甚至包含各种实体的其他组。组可以被视为容器，它不仅容纳用户，而且还保存补充对象作为成员。根据特定标准对用户进行策略性分组，授予他们对指定资源的访问权限。 AD 组允许将组作为一个有凝聚力的单元进行管理，从而有助于简化网络维护和管理。这意味着无需为每个用户或对象单独配置设置，而是可以将调整应用于整个组，从而简化整体流程并优化效率。

Active Directory 组的类型

Active Directory 组有两种类型：安全组和通讯组。每种类型的组都有不同的组范围。组类型决定要执行的任务，而组范围决定组的成员资格。

1. 安全组 - 安全组授予用户对共享资源的访问权限。通过将用户添加为安全组的成员，他们将继承与该安全组关联的所有权限。例如，您可以创建一个名为“Marketing”的组，并授予其读取和编辑指定文件夹中的文件以及执行特定应用程序的权限。该组成员的任何用户都可以执行这些操作。请注意，安全组还可以充当 Exchange 中的通讯组。这些称为启用安全的通讯组或启用邮件的安全组。
2. 通讯组 - 通讯组使 AD 管理员能够创建用户池，以便使用 Microsoft Exchange 和类似应用程序发送常见消息或电子邮件。管理员可以向这些组中所有启用邮件的成员广播消息。但需要注意的是，由于安全措施不足，这些组不适合授予网络资源的访问权限。

Active Directory 组范围

Active Directory 中的每个组都有一个特定的范围，该范围决定了它可以包含的对象类型以及它可以加入的组类型。可用的主要范围有以下三个：

1. 普遍团体
2. 全球团体
3. 域本地组

通用组

通用组用于跨域合并组。林中不同域的成员（包括全局和通用 AD 用户和组）可以加入通用组。多个通用组可以嵌套在同一个林中，并且通用组可以申请林中域本地或本地组的成员资格。通用组中的用户可以访问林内任何域中的网络资源。建议在使用多个域时创建通用组。为了有效地整合组，建议将用户帐户添加到具有全局范围的组，然后将这些组嵌套在具有通用范围的组下。此方法可确保全局组内成员资格的更改不会影响具有通用范围的组。此外，它还通过触发通用组的林范围复制和全局组的域级复制来帮助控制复制。

全球团体

全局组通常用于向具有类似工作职责的用户分配权限，例如人力资源部门所有成员的组。全局组对于管理需要日常维护的对象也很有用。对全局组内的帐户所做的更改不会复制到全局编录，因此适合此类目的。可以在同一域内嵌套全局组，并且全局组也可以是来自另一个域的域本地组或通用组的一部分。

域本地组

域本地组非常适合管理特定于域的资源的权限。例如，您可以创建一个名为 MarketingPrinter 且具有本地域范围的 AD 组，并授予其对营销团队可访问的特定打印机的访问权限。可以将多个全局组添加到该域本地组，从而允许这些全局组的成员访问打印机。网络管理员使用 Microsoft 管理控制台 (MMC) 和本地安全帐户管理器数据库创建本地组。这些组的成员只能访问本地计算机上的资源。本地组可以包括来自同一域的域本地组以及来自林内其他域的全局和通用组。它们独立于域控制器运行，从而与 AD 中的域本地组区分开来。

其他团体

动态组 - 动态组通过根据特定条件自动添加或删除用户来简化组管理。例如，动态组可以包括来自属于特定部门的所有域的用户。由于没有可用的内置工具，因此使用 PowerShell 脚本和第三方工具来创建动态组。

特殊身份组 - 特殊身份组与安全组类似，但具有自动成员资格管理。一旦用户访问资源或登录系统，他们就成为这些组的一部分。组范围、成员资格视图和修改不适用于这些组。特殊身份组的示例包括匿名登录、经过身份验证的用户、创建者所有者和本地服务。

Lepide 如何帮助保护 Active Directory 组

Lepide 通过提供跟踪和审核组成员身份更改的功能来帮助保护 Active Directory 组。它可以向您显示谁在群组中添加或删除了成员、添加或删除的时间以及地点。这有助于确保仅对组进行授权的更改，并且可以快速识别和调查任何未经授权的更改。

Lepide 还可以通过提供组成员身份更改的实时警报来帮助保护 Active Directory 组。这意味着当组发生更改时，您可以立即收到通知，以便您可以采取措施调查更改并确保其获得授权。

此外，Lepide 还可以通过提供有关组成员身份更改的报告来帮助保护 Active Directory 组的安全。这些报告可用于跟踪组成员身份随时间变化的趋势，并识别可能表明可疑活动的任何模式。

如果您想了解更多信息，请请求我们的一位专家进行演示，或者立即开始您自己的免费试用。