工作组

  • 将不同的计算机按功能或部门分别列入不同的 工作组 ,以方便管理。
  • 默认所有计算机都处在名为 WORKGROUP 的工作组中。
  • 工作组资源管理模式适合于网络中计算机不多、对管理要求不严格的情况
  • 工作组中的所有计算机都是对等的,没有服务器和客户机之分。
  • 不管是不是在同一工作组中,都可以通过主机用户名和密码查看对方的共享文件夹,默认共享的是User目录。

更改工作组的方式如下所示:

更改工作组

如果输入的工作组当前网络中不存在,就相当于创建了一个新的工作组,当然此时只有自己一个用户在此工作组内。

  • 域(Domain) 是由工作组升级而来的高级架构,域是一个有安全边界的计算机集合(安全边界指的是两个域中,一个域中的用户无法访问另一个域的资源)。
  • 如果想访问域内的资源,必须拥有一个合法的身份登录到该域中,且对资源的访问取决于登录账户在该域中的身份。
  • 域控DC(Domain Control) 是域中的一台类似管理服务器的计算机,负责所有连入的计算机和用户的验证工作。
  • 域内计算机如果想互相访问,都必须经过域控的审核。
  • 域内的所有身份权限验证都在域控中进行,也就是说域内所有用来验证身份的账号信息和密码散列值都保存在域控中。

单域

一般具有固定地理位置的小公司,建立一个域就可以满足需求。但是需要至少两台DC,其中一台作为备用DC。活动目录的数据库是存储DC上的,如果DC瘫痪了,域内其他用户就不能登录该域,但是如果有备用DC,就能保证正常使用。

父域和子域

出于管理和安全需求等,需要在网络中划分多个域。第一个域就是父域,各分部的域称为该域的子域。

域数

  • 域数(Tree) 是多个域建立信任关系组成的集合。
  • 一个域管理员只能管理本域,不能访问或者管理其他域。
  • 两个域需要互相访问,就需要建立 信任关系(Trust Relation)
  • 父域和子域之间自动建立起了双向信任关系,且信任关系可传递

如下图中,域asia.abc.com和域europe.ab.com之间是没有信任关系的,不能进行数据共享等操作,需要手动为它们建立信任关系才能:

域数

域林

  • 域林(Forest) 是指多个域数通过建立信任关系组成的集合。
  • 林中的每个域数都有唯一的名称空间,之间不连续。
  • 同林中,林根域和其他树根域自动建立双向信任关系,且信任关系可传递

活动目录

  • 活动目录(AD) 是指域环境中提供目录服务的组件。
  • 安装有AD的服务器就是DC服务器

域内权限

域本地组

  • 多域用户访问单域资源(访问同一个域)。
  • 可以从任何域添加用户账号、通用组和全局组,但只能在其所在域内指派权限。
  • 域本地组不能嵌套与其他组中,主要用于授予位于本域资源的访问权限。

全局组

  • 单域用户访问多域资源(必须是一个域里面的用户)。
  • 只能在创建该全局组的域中添加用户和全局组。可以在域林的任何域内指派权限。
  • 全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域的另一个全局组中,或者添加到其他域的通用组和域本地组中(不能添加到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。

通用组

  • 多域用户访问多域资源。
  • 通用组的成员不是保存在各自的域控中,而是保存在全局编录中的,任何变化都会导致全林复制。

简单概括就是:

  • 域本地组:来于全林,作用于本域。
  • 全局组:来于本域,作用域全林。
  • 通用组:来于全林,作用于全林。

A-G-DL-P策略

A-G-DL-P策略是指将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

  • A:用户账号(Account)
  • G:全局组(Global Group)
  • U:通用组(Universal Group)
  • DL:域本地组(Domain Local Group)
  • P:资源权限(Permission)

使用A-G-DL-P策略,当需要给一个用户添加某个权限时,只需要把这个用户添加到某个域本地组就行了。

内置组

在安装域控时,系统回自动生成一些组,成为内置组。内置组定义了常用的权限。AD控制窗口中的Builtin和Users组织单元中的组就是内置组。

  • 内置的域本地组(DL)在Builtin组织单元中。
  • 内置的全局组(G)在Users组织单元中。

重要的域本地组

  • 管理员组(Administrators):该组成员可以不受限制地存取计算机/域内资源。是最具有权力的一个组,也是在AD和DC中默认具有管理员权限的组。该组成员可以更改Enterprise Admins、Schema Admins和Domain Admins组的成员关系,是域森林中最强大的服务管理组。
  • 远程登录组(Remote Desktop Users):该组成员具有远程登录权限。
  • 打印机操作员组(Print Operators):该组的成员可以管理网络打印机,包括建立、管理和删除网络打印机,并可以在本地登录和关闭域控。
  • 账号操作员组(Account Operators):该组的成员可以创建和管理该域中的用户和组,并为其设置权限,也可以在本地登录域控。但是不能更改属于Administrators或Domain Admins组的账号,也不能更改这些组。在默认情况下,该组中没有成员。
  • 服务器操作员组(Server Operators):改组的成员可以管理域服务器,其权限包括建立、管理、删除任意服务器的共享目录、管理网络打印机、备份任何服务器文件、格式化服务器硬盘、锁定服务器、便跟服务器的系统时间、关闭域控。在默认情况下,该组中没有成员。
  • 备份操作员组(Backup Operators):该组的成员可以在域控中执行备份和还原操作,并可以在本地登录和关闭域控。在默认情况下,该组中没有成员。

重要的全局组和通用组

  • 域管理员组(Domain Admins):该组的成员在所有加入域的服务器、域控和活动目录中均默认拥有完整的管理员权限。因为该组会被添加到自己所在域的Administrators组中,因此可以继承Administrators组的所有权限。同时该组默认会被添加到每台域成员计算机的本地Administrators组中,这样,Domain Admins组就获得了域中所有计算机的所有权。如果希望某用户成为域系统管理员,建议将该用户添加到Domain Admins组中,而不是直接见该用户添加到Administrators组中。
  • 企业系统管理员组(Enterprise Admins):该组是域森林根域中的一个组。该组在域森林中的每个域内都是Administrators组的成员,因此对所有域控都有完全访问权。
  • 域用户组(Domain Users):该组是所有域的成员,在默认情况下,任何由我们创建的用户账号都属于Domain Users组,而任何我们建立的计算机账号都属于Domain Computers组。因此如果想让所有的账号都获得某种资源存取权限,可以将该权限指定给域用户组,或者让域用户组属于具有该权限的组。域用户组默认是内置域Users组的成员。
  • 架构管理员组(Schema Admins):该组是域森林根域中的一个组,可以修改活动目录和域森林的模式。改组是为AD和DC提供完整权限的域用户组,因此该组成员的资格是非常重要的。