Active Directory用户和计算机
Active Directory用户和计算机是管理域用户的重要组成
在Active Directory用户和计算机目录里有:
Builtin -- 域的默认组
Computers --加入域的计算机
Domain Controllers -- 域控制器的计算机
ForeignSecurityPrincips --
Managed Service Accounts --
Users -- 域用户
Builtin:
里有很多组,每个组有各种的权限,来管理用户的权限,用组可以统一的方便管理一组用户的权限
在新建组中:
1.组作用域
本地域:用于在只能在本地域中分配权限,组成员可以是林中的任意用户,可以被转换为通用组(只要原组内的成员不含本地域组即可)
全局:可以在整个林中分配权限,但组成员只能是本域的用户,不能加入其它域的用户,可以被转成通用组(只要原组不隶属于任何一个全局组即可)
通用:可以在整个林中分配权限,组成员可以是林中的任意用户,可以被转换成本地域组,可以被转换成全局组(只要原组内的成员不含通用组即可)
为什么要有转换限制呢?
本地域:可以被转换为通用组(只要原组内的成员不含本地域组即可)
如果转成通用组,并组成员有本地域组,该组成员有通组的权限及特征
本地组就可以跨出本地组的权限,那么对本地址的定义失去意义了。
全局:可以被转成通用组(只要原组不隶属于任何一个全局组即可)
如果转成通用组,并隶属于任何一个全局组,该组有全局组的权限及特征
那么全局组中就有可能有不是本地域成员的发生
2.组类型
安全组:顾名思义用来安全权限分配的
通讯组:不能分配权限
在组的属性:
常规:
电子邮件:当有邮件发送到这个邮箱是会发送到这个组内的所有成员的邮箱
Computers:
里有加入域的计算机
Domain Controllers:
里有域服务的计算机
预创建只读控制器账户:
预创建只读控制器账户可以,预先创建一个账号来管理这个只读控制器,使用新建一个账户来管理,不必使用域管理员账号才能管理。
ForeignSecurityPrincips:
Managed Service Accounts:
Users:
里有域服务的用户
