我相信我确实了解我所读到的关于 AGDLP 的内容。但是,我所阅读的内容并没有解释使用全局组来实现业务角色/工作职能的优势或使用本地组的劣势。
所以假设我有一个森林/域,假设功能级别超过 2008 年。这个域的服务器成员有一个本地管理员组。在这个本地管理员组中,我分配了 1 个域本地组,我们将其命名为 LocalAdmin_server1 现在在这个组中,我想添加其他组,包含不同工作角色/团队的用户的组,例如 JobRole1、JobRole2、Team3 为什么会有 JobRole1、 JobRole2,Team3 组是全球性的,还是让他们作为本地组是一个问题?
简短回答:
JobRole1 是一个全局组,因此来自受信任域/林的管理员能够授予 JobRole1 中的用户访问其域中的资源的权限。这是群体范围的问题。检查使用组嵌套策略 - 组策略的 AD 最佳实践以获取组和范围的列表。
长答案:
对于单个林和域,您使用域本地组、全局组还是通用组在技术上并不重要。(您还应该区分域本地组和本地组,因为后者只存在于一台机器上。)它变得很重要,具有多个域或林信任。但是,如果您实施 AGDLP(现在的 IGLDA),请从一开始就做,否则如果您的公司与另一家公司合并或收购,那将一文不值。
让我提出一个与你不同的例子。希望它变得更清楚。我使用新的 IGDLA 术语,它是“身份、全局组、域本地组和访问”的缩写。Ace Fekay 写了一篇关于 IGDLA 的精彩文章。
我们可以简单地将用户John添加到Sales文件夹的 ACL,但我们不这样做。这很糟糕,但这不是这个问题或答案的范围。
更好的解决方案是专门创建一个组以将其添加到文件夹的 ACL,然后将用户添加到该组。IGDLA 建议使用域本地组。
为什么使用域本地组?(IG[DL]A)
由于文件夹或文件共享仅存在于一个域中,并且我们专门为该文件夹创建了一个组,因此为该组使用尽可能严格的范围是有意义的。
本地组是不可能的,因为如果将文件夹从 fileserver1 移动到 fileserver2,则必须从头开始重新创建权限。下一个选项是使用域本地组。您保留了向其中添加用户和对象的所有灵活性,即使是来自其他域甚至林的用户和对象,但您可以确定没有人可以在您的域或林之外看到该组。我们将此组命名为ACL_Sales_RW。
好的,现在您有一个文件共享Sales并授予域本地组ACL_Sales_RW的修改权限。但是您的团队中有多个销售人员,他们需要访问的不仅仅是文件夹Sales。所以你需要一个中介组。
为什么使用全局组?(I[G]DLA)
中间组包含您公司中的所有销售人员用户,我们称之为SalesTeam。您将用户John以及您公司中的所有其他销售人员放入组SalesTeam中。您还将SalesTeam放入ACL_Sales_RW以授予他们对该文件共享的读写访问权限。
您也对该组使用了最严格的范围。域本地组确实有效。您可以将来自您的域、林以及来自其他域或林的用户放置在其中。但是从受信任的域/林中看不到域本地组。因此,如果您的销售人员需要访问受信任域中的资源,他们就不走运了。这就是您使用全局组的原因。他们可以从您的域外部看到,如果您的销售人员需要访问受信任域/林中的资源,他们的系统管理员可以简单地将SalesTeam组添加到他们的文件共享 ACL。
如果仍然不清楚,这张来自 Ace 博客的图片可能会对您有所帮助:
资源
好处是它可以防止某人将权限组“LocalAdmin_server1”设置为角色组“JobRole1”等的成员。因此:使用域本地获取权限,使用全局获取角色。Scope是你的朋友。