Active Directory 组和范围的类型

---

Active Directory 组的用途

Active Directory 组是 Active Directory (AD) 对象的集合，例如用户、计算机甚至其他组。使用 AD 组有助于简化 IT 管理并确保准确的权利委派和信息传播。 Active Directory 有多个内置组，组织还创建许多其他组。

例如，您只需根据新员工的角色成为相应 AD 组的成员，即可快速授予新员工访问其工作所需的 IT 资源的权限。如果该人后来改变角色，您只需将他们从旧组中删除，然后将其添加到适当的新组中即可。

更广泛地说，如果您确保拥有正确的组，并且每个组都具有正确的权限和成员身份，则可以更轻松地执行最小权限原则，以增强安全性并证明法规遵从性。

Active Directory 组的类型

有些组是在计算机上的本地安全帐户管理员 (SAM) 数据库中创建的。本文件不涵盖这些本地群体。

相反，我们将重点关注域组，域组不限于一台机器。 Active Directory 中有两种类型的域组：

• 通讯组（有时称为通讯组列表）可以轻松地将电子邮件（通过 Microsoft Exchange 等消息提供程序）发送给属于通讯组成员的一组用户。各自的组。
• 安全组用于授予用户对共享资源的权限。通过使用户成为安全组的成员，您可以向他们授予分配给该安全组的所有权限。例如，您可以创建一个名为“人力资源”的组，并授予其读取和编辑特定文件夹中所有文件的权限，以及执行某些应用程序的权限。该组成员的任何用户都可以执行这些操作。

请注意，安全组也可以用作 Exchange 中的通讯组；这些称为启用安全的通讯组或启用邮件的安全组。但是，通讯组专门设计用于电子邮件，不能用于授予权限。

集团范围

Active Directory 中的每个组都有一个范围，该范围决定它可以包含的对象类型以及它可以成为哪些类型的组的成员。范围分为三个：

ScopeCan containCan be a member ofCan be converted toUniversalUsers, global groups and universal groups from any domain in the forest, regardless of whether trusts have been established between domainsDomain local groups or other universal groups but NOT global groupsA global group, provided it doesn’t contain another universal group as a member

A domain local group without any restrictionsGlobalUsers, computers,?global groups and domain local groups from the same domain (but NOT universal groups)Global groups in the same domain

Domain local groups or universal groups in any domain in the forest or any trusted domainA universal group, provided it is not a member of another global groupDomain LocalUsers, computers, global groups and universal groups from any domain, including domains outside the forest

Domain local groups from the same domain onlyAny domain local group in the same domainA universal group, provided it has no domain local group as members

通用组

具有通用范围的组用于跨域合并组。合并组的最佳实践如下：

1. 将用户帐户添加到具有全局范围的组
2. 然后将这些组嵌套在具有通用范围的组下

即使全局组内的成员身份发生变化，这也可以防止对具有通用范围的组进行任何更改。它还有助于控制复制，因为通用组的每个成员身份更改都会触发林范围内的复制，而全局组的更改仅会在域级别触发复制。

例如，您可能有一个名为 AllMarketing 的通用组，该组有两个全局组：Asia-Marketing 和 US-Marketing 作为其成员。如果营销团队成员被雇用或离开，您只需修改相应全局组的成员身份，从而避免林范围内的复制。

全球集团

全局组最适合用于以下目的：

• 需要类似权限的 AD 对象 - 通常会创建全局组，以向具有类似工作职责的用户（成员）（例如所有会计师）授予相同的权限。
• 管理需要日常维护的对象 - 全局组还用于管理需要日常维护的用户和计算机帐户，因为在全局组中更改此类帐户不会复制到全局编录。

域本地组

域本地组最适合管理特定于域的资源的权限，例如特定打印机。例如，您可以创建一个名为 US-MarketingPrinter 且具有本地域范围的 AD 组，并授予其访问营销团队区域中的打印机的权限。然后您可以向其中添加多个全局组。这将使这些全局组的成员能够访问打印机。

内置 Active Directory 安全组

Windows 服务器上会自动创建许多 Active Directory 安全组。以下是一些需要了解的最重要的信息：

管理员

该组可以控制所有域控制器 (DC)，并且可以修改其他强大的内置组的成员身份，包括域管理员、企业管理员和架构管理员。

备份操作员

该组的成员主要负责备份和恢复计算机（包括域控制器）上的文件。备份操作员无法修改服务器设置或更改目录配置，但他们确实能够替换文件，例如 DC 上的操作系统文件。

远程桌面用户

该组提供启动与 RD 会话主机服务器的远程会话的权限。

域管理员

该组是域管理员组的成员，因此继承了该组的所有功能。默认情况下，它还会分配给每台域成员计算机的本地管理员组，使域管理员能够完全控制所有域计算机。

企业管理员

该组也是管理员组的成员。它具有对所有域控制器的完全访问权限，拥有目录配置分区，并可以控制域命名上下文。

架构管理员

该组控制 Active Directory 架构。

由于这些内置 AD 安全组非常强大，因此严格限制其成员资格并密切监视它们是否存在未经授权的更改至关重要。

Active Directory 组管理的最佳实践

正如我们所看到的，Active Directory 组提供对关键 IT 资源和信息的访问。因此，有效管理它们对于安全至关重要。以下是要采用的七个关键最佳实践：

• 了解您有哪些组。
• 使用标准。
• 建立集团所有权。
• 控制对组的更改。
• 需要群组所有者的定期证明。
• 自动执行群组管理任务。
• 删除不再需要的组。

#1：知道你有哪些群体。

管理 Active Directory 组的第一步是获取准确的清单。请务必标记以下任何群组：

• 没有会员
• 没有主人
• 最近没有变化
• 似乎重复（通过姓名或会员资格）
• 嵌套在其他组中

使用手动方法甚至 PowerShell 收集此信息并使其保持最新是乏味且容易出错的。考虑投资像 Netwrix GroupID 这样的解决方案，它可以自动化工作。

#2：使用标准。

您可能会发现一些具有神秘名称的组，并且可能需要一些工作才能弄清楚创建它们的原因以及它们是否仍然需要。为了避免将来出现此问题，请建立命名组的标准。此外，围绕以下内容创建标准：

组范围

确保可以创建或修改组的每个人都了解范围如何影响其他组内的复制、成员和成员资格。

群组类型

安全组和通讯组的设计目的截然不同，但功能可能重叠（如启用邮件的安全组的情况）。明确是否以及如何分配组类型。

群组描述和注释

确保每个小组都有关于其目的的良好描述和注释。

对象放置

正如您使用文件系统中的文件夹结构来帮助您快速识别文件夹包含的内容一样，利用目录中的组织单位来实现文档和委派目的。

使用嵌套

正确且一致地使用组嵌套。

#3：建立团体所有权。

组的所有者应该是最有能力确定该组应具有哪些权限、谁应该是该组的成员以及是否仍然需要该组的人。在大多数情况下，这不是 IT 团队，而是业务用户，例如经理、部门负责人或项目负责人。理想情况下，团体应该有多个所有者。

#4：控制对组的更改。

在许多组织中，用户只需提交帮助台票证即可将自己添加到 Active Directory 组。通常情况下，这些请求只是“发生”，而您几乎不需要承担任何责任。为了建立问责制，您至少应该跟踪对组所做的所有更改，包括对组属性、权限、成员身份和嵌套的更改以及对组的删除。 Netwrix GroupID 可以跟踪所有更改，甚至使用户可以轻松添加有关更改理由的评论。

更好的是，建立一个工作流程以确保只有在组所有者或其他授权人员批准后才能修改敏感组。

使用 Netwrix GroupID，您可以轻松对组进行分类，以控制是否以及如何进行更改。选项包括：

• 私人 - 封闭会员制
• 半私密 - 用户可以向群组所有者发送加入和离开请求
• 公开 - 向所有用户开放

#5：需要群组所有者的定期证明。

即使您已经为组实施了更改控制，您也应该定期要求组证明，其中组所有者检查组的属性、成员资格和权限以进行任何必要的更正。

所有者还应该证明该团体有继续存在的必要。例如，您可能创建了一个组来提供对 CRM 应用程序的访问。如果您迁移到基于云的 CRM 系统，您将不再需要该组，但如果没有定期审核流程，它可能会在未来几年内保留在您的目录中。

#6：自动化组管理任务。

当 IT 和帮助台团队必须手动管理组和组成员资格时，人为错误是不可避免的，这会使您的组织面临更大的安全漏洞和业务中断的风险。为了降低这种风险，请尽可能自动化与组相关的流程，从组创建到成员资格更改再到证明和最终删除。

#7：删除不再需要的组。

要求群组所有者定期证明他们的群组仍然需要或者可以删除。虽然您可以使用手动方法实施此最佳实践，但更好的方法是为每个组分配一个到期日期，这样，如果通过证明过程进行验证，它将被自动删除。 Netwrix GroupID 使这个过程变得简单。

结论

安全和通讯组列表是快速、准确地授予对 IT 资源的访问权限并通过电子邮件分发信息的强大工具。通过遵循本文详细介绍的最佳实践并投资 Netwrix GroupID 等软件解决方案，您可以高效且有效地管理您的组。