Active Directory 安全组与通讯组

使用组是 Active Directory 管理的最佳实践。本文介绍了两种类型的 Active Directory 组（安全组和通讯组），并提供了有效使用它们的指南。

安全组和通讯组列表之间的主要区别

安全组和通讯组（通常称为通讯组列表）都是 Active Directory 组，但它们的设计目的截然不同：

• 安全组用于管理用户和计算机对共享 IT 资源（例如数据和应用程序）的访问。权限被分配给安全组，属于该组成员的所有用户和计算机帐户都会自动拥有这些权限。
• 通讯组（通讯组列表）用于向一组用户发送电子邮件，发件人无需单独输入每个收件人的电子邮件地址。

请注意，虽然您可以使用安全组进行电子邮件分发，但不能使用分发列表来分配权限。

现在，让我们更深入地了解每种类型的 AD 组。

安全组

Active Directory 安全组用于管理用户和计算机对共享资源（例如文件夹、应用程序和打印机）的访问。这使得配置变得更容易、更准确。例如，当新人加入组织时，IT 团队只需将他们添加到适当的安全组（例如其部门和特定项目的组）即可快速授予他们访问完成工作所需资源的权限。还可以设置安全组来拒绝一组用户访问特定资源。

安全组的两个主要功能是：

• 分配用户权限：向安全组分配用户权限决定了该特定组的成员可以在域范围内执行哪些操作。例如，添加到 Backup Operators 组的用户可以备份和还原位于域中每个域控制器上的文件和目录。通过成为该组的成员，您将继承分配给该组的用户权限。
• 分配资源权限：这与用户权限不同，因为用户权限适用于整个域，而不是针对特定实体的权限。权限决定谁可以访问资源以及访问级别，例如完全控制或只读。

简而言之，用户权限适用于用户帐户，而权限则与对象相关联。

管理员可以通过多种方法创建安全组并管理其权限和成员资格，包括 Active Directory 用户和计算机 (ADUC) 控制台、Windows PowerShell 和第三方组管理软件解决方案。

什么是 Active Directory 安全组权限？

Active Directory 中的权限是一组规则和规定，用于定义对象拥有查看或修改目录中其他对象和文件的权限。为了确保用户只能访问他们需要的资源，IT 管理员通过访问控制列表 (ACL) 分配权限。

什么是访问控制列表 (ACL)？

访问控制列表定义有权访问对象的实体以及访问类型。这些实体可以是用户帐户、计算机帐户或组。例如，如果文件对象具有包含（Mary：读取；Sarah：读取、写入）的 ACL，则它将允许 Mary 读取该文件并允许 Sarah 读取和写入该文件。

可以在单个对象或组织单位 (OU) 上配置访问控制列表，这意味着 OU 的所有后代对象都继承 ACL。

访问控制列表的类型

ACL 有两种类型，每种都执行不同的功能：

• 自主访问控制列表（DACL）：此列表规定了分配给实体对对象的访问权限。当实体或进程尝试访问对象时，系统将根据以下内容确定访问权限：

  • 如果对象没有 DACL，系统将允许每个人完全访问它。
• 如果对象具有 DACL，系统将允许 DACL 中的访问控制条目 (ACE) 明确允许的访问。
• 如果 DACL 的 ACE 允许访问一组有限的用户或组，则系统会隐式拒绝 ACE 中未包含的所有人的访问。
• 如果对象的 DACL 没有 ACE，则系统不允许任何人访问。

提示：避免使用安全组发送电子邮件

在正常设置中，默认情况下会为在 Exchange 和 Microsoft 365 中创建的通讯组分配电子邮件地址，但不会为安全组分配电子邮件地址。因此，安全组通常不能用于电子邮件分发。但是，可以对安全组启用邮件，以便将其用于授予对资源的访问权限和发送电子邮件。

然而，对电子邮件使用安全组并不是一个好的做法，因为这样做可能会损害安全性。启用邮件的安全组首先会增加自身身份被盗的风险，这可能会传播到属于受感染组成员的其他安全组。或者，例如，如果启用邮件的安全组收到消息中的恶意链接，它可能会通过破坏某些设置来侵犯您组织的隐私。

如果您需要向安全组的所有成员发送电子邮件，最好创建一个与安全组具有相同成员资格的通讯组。

通讯组

Active Directory 通讯组用于将电子邮件发送给一组用户，而不是逐个发送给单个收件人。例如，公司可能为所有员工设置一个通讯组列表，为所有经理设置另一个通讯组列表，并为每个部门设置一个单独的通讯组列表。当您想要向其中任何组发送电子邮件时，您只需选择通讯组即可，而不必单独添加所有收件人。这可以节省时间并提高准确性。

如前所述，您无法向通讯组列表分配权限。

通讯组与共享邮箱

通讯组列表与共享邮箱有很大不同。当多人需要访问同一个邮箱时，使用共享邮箱。例如，帮助台团队和 IT 支持团队可能使用共享邮箱，以便他们可以协作完成任务。此外，团队中的任何人都可以代表团队发送和接收电子邮件。通常，共享邮箱具有一个通用地址，例如“[email protected]”，因此即使负责该邮箱的团队的组成随着时间的推移而发生变化，它也保持不变。当用户从共享邮箱发送电子邮件时，该电子邮件是从共享邮箱地址发送的，而不是从用户自己的电子邮件地址发送的。该电子邮件的副本将发送到共享邮箱，以供所有其他成员查看。

突显通讯组列表和共享邮箱之间区别的一种情况是电子邮件删除。如果用户从共享邮箱中删除电子邮件，则有权访问该邮箱的每个人都将删除该电子邮件。但是，当通讯组列表的成员删除发送到该组的电子邮件时，该电子邮件不会从任何其他收件人的邮箱中删除。

分发组可以由安全组管理，反之亦然吗？

安全组可以成为通讯组的所有者。这样做将授权安全组的所有成员管理该通讯组 - 例如，其未送达报告收件人和发送/接收邮件限制。例如，为项目团队创建的安全组可能是其关联通讯组列表的所有者，而公司通信团队可能是公司多个通讯组列表的所有者。

另一方面，通讯组不能成为安全组的所有者。

删除通讯组和安全组是否安全？

删除通讯组不会对组织的安全构成威胁，但意外删除通讯组可能会中断通信，直到可以从备份中恢复该通讯组或创建一个新通讯组并填充相同的成员。

然而，删除安全组可能会产生严重影响，例如：

• 安全 - 删除限制成员访问某些资源的安全组将授予这些用户对这些资源的访问权限。
• 生产力 - 删除授予其成员访问某些资源的安全组将使用户无法访问完成工作所需的数据和应用程序。

因此，删除安全组时请务必谨慎。

结论

保持安全组和通讯组列表准确且最新对于安全性和业务连续性至关重要。为了简化工作，请考虑投资 Netwrix GroupID 等解决方案。 Netwrix GroupID 可以轻松确保：

• 目录中的每个组都有一个目的。
• 每个组都有一个所有者。
• 用户不会被授予不必要的组成员资格。
• 没有组拥有过多的权限。
• 团体不会超出其预期目的。
• 不存在重复的组。