Active Directory 中的组范围

---

IT 专业人员都清楚，Active Directory 有两种类型的组：安全组，用于分配共享资源的权限；分发组，用于创建共享资源。电子邮件分发列表。但并不是每个人都了解每个 Active Directory 组都有一个范围，并且了解范围的工作原理对于安全性和业务连续性至关重要。这篇博文深入探讨了组范围是什么以及它为何如此重要。我们还将介绍 Microsoft 在 Active Directory 中使用组范围的最佳实践模型，包括每个模型的主要优点和缺点。

什么是组范围？

AD 组的范围决定了组可以在林或域中应用的位置以及谁可以成为组的成员。由于 Active Directory 对组之间的嵌套方式几乎没有限制，因此组嵌套可能会给组织带来巨大的安全和操作风险。 AD 为应对嵌套安全组风险提供的唯一真正帮助是组范围。

有哪些类型的组范围？

存在三个组范围：通用、全局和域本地。下表直接取自 Microsoft TechNet，它给出了组范围规则的全部内容：

Group ScopeGroup can include as members…Group can be assigned permissions in…Group scope can be converted to… Universal• Accounts from any domain within the forest in which the universal group resides
• Global groups from any domain within the forest in which the universal group resides
• Universal groups from any domain within the forest in which the universal group residesAny domain or forest• Domain local
• Global (as long as no other universal groups exist as members) Global• Accounts from the same domain as the parent global group
• Global groups from the same domain as the parent global groupMember permissions can be assigned in any domainUniversal (as long as it is not a member of any other global groups) Domain local• Accounts from any domain
• Global groups from any domain
• Universal groups from any domain
• Domain local groups but only from the same domain as the parent domain local group
Member permissions can be assigned only within the same domain as the parent domain local groupUniversal (as long as no other domain local groups exist as members)

组范围和 AD 安全模型

架构良好的 AD 的目标是为每个用户提供完成其工作所需的数据和资源的正确级别的访问权限。 Microsoft 为 AD 架构定义了两种最佳实践模型：

• AGDLP（帐户、全局和域本地权限）
• AGUDLP（帐户、全局、通用和域本地权限）

AGDLP模型

AGDLP 模型提供了如何嵌套组而不损害 Active Directory 安全性或牺牲操作效率的指南：用户和计算机帐户应该是全局组的成员，而全局组又是描述资源权限的域本地组的成员。

这背后的原理可能有点棘手，但我们会尽力在这里进行解释。将全局组视为“帐户组” - 它们用于包含所有来自同一域的用户和计算机帐户（以及其他全局组）。组不能包含来自其他域的用户或计算机。用户通常位于同一部门、具有相同的经理或表现出一些其他相似性。例如，一家公司纽约总部营销部门的每个人都将被分配到同一个名为“纽约营销”的全球组中。

域本地组是“资源组”，因为其成员身份具有更大的灵活性，使得本地域组非常适合授予资源权限。特别是，域本地组不仅可以包含来自父域的成员，还可以包含来自其他域和受信任林的成员。这使管理员能够向环境中需要资源的任何人授予对资源的访问权限。为了继续我们的示例，我们可以定义一个域本地组，该组授予对名为“营销文档”的文件共享的访问权限。通过将“纽约营销”全局组嵌套在“营销文档”域本地组中，我们使纽约营销团队中的每个人都可以访问营销文档共享的内容。

以下是该 AGDLP 场景的图形表示：

当您处理受信任的林时，域本地组的使用变得尤为重要。在这些情况下，一个林中的帐户很可能需要访问另一林中的资源。如果使用全局组来授予对资源的访问权限，则其他林中的帐户将无法获得对该资源的访问权限，因为帐户和组无法嵌套到来自不同域或林的全局组中。

继续我们的例子，也许我们的公司收购了迈阿密的一家公司，并且 IT 团队决定在两家公司的森林之间建立信任。在 AGDLP 模式下，这家总部位于迈阿密的公司的营销部门包括一个全球团队，称为“迈阿密营销”。为了使这些团队成员能够访问营销文档共享，管理员所要做的就是将迈阿密营销全局组嵌套在营销文档域本地组中，如下所示：

AGUDLP 模型

AGUDLP 模型与 AGDLP 非常相似，但在方程中引入了通用群（因此其名称中带有“U”）。这些组的成员身份存储在全局编录中，这在多域环境中更为必要。该模型的使用实际上取决于组织对全局目录的依赖程度。如果您希望全局目录尽可能完整（也许您拥有大量移动员工，并且严重依赖员工能够在 Outlook 中轻松找到彼此），那么 AGUDLP 模型将有助于实现这一目标。但是，对于仅具有单个域的较小环境，此模型可能会增加不必要的复杂性。

这些模型的好处

这些模型成为 Microsoft 最佳实践的原因有两个。首先，有安全角度：如果管理员要使用全局组向用户授予资源权限，他们必须将其他域和林中的用户添加到资源所在的域中。一般来说，单独的域和林的存在是有原因的，并且域和林之间的界限并不意味着模糊。通过使用域本地组授予对特定资源的权限，管理员可以向其他域和林的成员授予对该资源的访问权限，而无需授予他们对该资源所在域的其余部分的直接访问权限。我们经常看到组织使用全局组来分配资源权限，并最终在用户移入和移出组时过度配置访问和权限。

其次，从操作角度来看，AGDLP 和 AGUDLP 模型使组成员资格管理更加容易，因为权限和用户是在不同的位置进行管理的。资源权限是为域本地组设置的，很少需要更改，从而限制了 IT 专业人员进行调整的频率。相比之下，用户不断地在组织中进出或移动，但 IT 专业人员为了保持适当的访问级别所需要做的就是更新全局组。

应该指出的是，仅仅因为这些模型是微软的最佳实践，它们并不适合所有人。在较大的环境中，使用域本地组来管理资源权限可能会导致非常多的组。这可能会导致用户成为数千个组的成员，以访问他们所需的所有资源，从而导致令牌膨胀等问题。

概括

归根结底，遵循 AGDLP 和 AGUDLP 模型可以为组织带来非常实际的好处。问题往往在于实施，因为它需要的不仅仅是一个精明的管理员来在 AD 中调整组。这些模型需要 IT 和业务部门不断保持警惕和监督，包括为每个组分配一位了解组中用户需求的所有者，并建立一个流程来定期确保正确的用户位于正确的组中，并且每个组都对资源拥有正确的权限。

Netwrix 如何提供帮助

好消息是有一些工具可以帮助完成这些步骤。 Netwrix Active Directory 安全解决方案通过识别您拥有的组、他们授予访问权限的资源、每个组中的哪些用户以及这些用户拥有哪些权限，使组织能够快速步入有效的访问管理轨道。此外，该解决方案有助于识别群组所有者，并让他们能够轻松管理自己的群组，因为他们比任何其他人都更了解需要访问哪些内容。虽然采用 AGDLP 或 AGUDLP 模型可能是一项巨大的努力，但这样做可以大大有助于确保安全、可持续的环境。

常问问题

Active Directory 中的组范围是什么？

组范围指示组在域或林中的使用范围。

Active Directory 中有多少种组范围类型？

Active Directory 定义了以下三个组范围：通用、全局和域本地。

全局组范围和通用组范围有什么区别？

主要区别在于全局组只能包含来自同一域的成员，而通用组可以包含来自同一 Windows 林中任何域的对象。 （请记住，全局组成员身份的更改不会触发林范围的复制。）