Windows管理组说明

组是一批具有相同管理任务的用户账户、计算机账户或者其他域对象的集合，例如学校有英语教研组、数学教研组等，可以把教研组认为是AD DS域服务里的组，而老师可以认为是AD DS域服务里的一个对象。学校可以通过划分教研组管理各个科目老师的教学，AD DS域服务根据划分好的组，对于对象进行统一管理。

组基本知识

同一个组可以包含用户、计算机和其他嵌套组。使用组可以控制和管理用户、计算机等活动目录对象，及其属性、网络共享位置、文件、目录、打印机等共享资源的访问权限，还可以向一组用户发送电子邮件。为组命名时，组名在域中必须是唯一的。

组的作用

为什么要使用组？答案：方便管理。

1.设置计算机文件或者文件夹的访问权限

计算机文件或者文件夹的访问权限，在文件或者文件夹属性对话框的“安全”选项卡中设置。“组或用户名”中可以添加对此文件夹具备管理、访问权限的用户或者组。

2.访问实例

文件服务器中创建一个共享文件夹“Software”，要批量设置N个用户的访问权限。有两个设置方法：

通过计算机文件或者文件夹属性对话框的“安全”属性选项卡，单个添加用户并配置每个用户相应的权限。

域控制器中创建访问组，将相关人员添加到该组。

域管理员在做管理时：

选择第一种方案，需要在“安全”选项卡中添加并配置N位用户。

选择第二种方案，只需要在域控制器上创建用户账户时，添加到相关组即可，无须修改安全属性中的角色列表。

结果显而易见，应该选择第二种方式。尤其是有很多共享文件夹进行管理时，使用组管理的效率更高。使用组就是为了管理方便，用最少的工作获得最好的效果。

组类型

Windows Server 2012的AD DS域服务中的组类型，分为安全组（Security Group）和通信组（Distribution Group）。

1.安全组

顾名思义，安全组是用来设置有安全权限相关任务的用户或者计算机账户集合。安全组的成员会自动继承其所属安全组的所有权限。使用安全组可以执行以下操作。

将用户权限分配给AD DS域服务中的安全组

将用户权限分配给安全组，以确定该组成员在作用域内可执行的操作。在安装AD DS域服务时会自动将用户权限分配给某些安全组，并定义用户在域中的管理角色。例如，添加到“备份操作员”组的用户能够备份和还原域控制器上的文件和目录。

将资源权限分配给安全组

资源权限确定可以访问共享资源的对象，并确定访问级别，例如“完全控制”权限，建议使用安全组来管理对共享资源的访问和权限。

发送电子邮件

安全组具有通信组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。

2.通信组

顾名思义，通信组是用于用户之间通信的组，使用通信组可以向一组用户发送电子邮件，通信组典型应用是Microsoft Exchange Server中的用户组，可以向一组用户发送电子邮件。在AD DS域服务应用中，很少用到通信组。

组作用域

组根据其类型可以分为安全组（Security Group）和通信组（Distribution Group），根据其范围又可以分为全局组（Global Group）、域本地组（Domain Local Group）和通用组（Universal Group）。组的类型决定组可以管理哪些类型的任务，组的范围决定组的作用域。

1.域本地组

域本地组主要用来设置访问权限，只能讲同一个域内的资源指派给域本地组。

域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。域本地组只能访问本域内的资源，无法访问其他域内的资源。

微软建议域本地组使用规则：基于资源（共享文件夹、打印机等资源）规划。

2.全局组

全局组用来组织用户，即将多个将被赋予相同权限的用户账户加入同一个全局组内。

全局组成员来自同一域的用户账户和全局组，在林范围内可用。例如，如果在book.local域中创建的全局组，能添加到全局组中的用户账户只能是book.local域中的对象或者是其他科信任域中的全局组。

全局组可在本域和可信任关系的其他域中使用，体现的是全局性。微软建议使用规则：基于组织结构、行政结构规划。

3.通用组

通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。通用组可以从任何域中添加用户和组，可以嵌套于其他域组中。通用组不属于任何与，通常用于域间访问。通用组的成员可以访问在森林任何域里的资源。

通用组成员不是保存在各自的域控制器上，而是保存在全局编录服务器中，当发生变化时能够全林复制。因此，全局组适于林中跨域访问。

通用组可以访问林中任何一个域的资源，可以在任何一个域内设置通用组的权限。域中的用户在登录时，需要向全局编录服务器查询用户的通用组成员身份，所以在全局编录服务器不可用时，活动目录中的用户有可能不能正常访问网络资源。

4.授权规则

域目录林中实现对于资源（可以是文件夹或打印机）的访问授权，推荐使用“AGDLP”规则。即首先把用户账户（Account）加入到全局组（Global Group），然后把全局组加入到域本地组（Domain Local group，可以是本域或其他域的域本地组），最后对于本地组进行授权（Permissions）。

常用组

域控制器提升完成后，默认创建多种类型的组，应用到不同的环境。常见组分为内置组（Builtin）、域组（Users）以及部分特殊账户组。

1.内置组（Builtin）

内置组位于“Builtin”容器中，主要包括如表所示的组。

内置组名称以及描述

组和账户名

说    明

Access Control Assistance Operators

此组的成员可以远程查询此计算机上资源的授权属性和权限

Account Operators

成员可以管理域用户和组账户

Administrators

该组可对所有域控制器以及存储在该域中的所有目录内容进行完全控制，同时它还可以更改该域所有管理组的成员资格，它是权限最高的服务管理组

Backup Operators

默认情况下，该内置组没有成员，它可以在域控制器上执行备份和恢复操作

Certificate Service DCOM Access

允许该组的成员连接到企业中的证书颁发机构

Cryptographic Operators

授权成员执行加密操作

Distrbuted COM Users

成员允许启动、激活和使用此计算机上的分布式COM对象

Event Log Readers

此组的成员可以从本地计算机中读取事件日志

Guests

按默认值，来宾跟用户组的成员有同等访问权，但来宾账户的限制更多

Hyper-V Administrators

此组的成员拥有对Hyper-V所有功能的完全且不受限制的访问权限

IIS_IUSRS

Internet信息服务使用的内置组

Incoming Forest Trust Builders

此组的成员可以创建到此林的传入、单向信任

Network Configuration Operrators

此组中的成员有部分管理权限来管理网络功能的配置

Performance Log Users

该组中的成员可以计划进行性能计数器日志记录、启用跟踪记录提供程序，以及在本地货通过远程访问此计算机来收集时间跟踪记录

Performance Monitor Users

此组的成员可以从本地和远程访问性能计数器数据

Power Users

包括高级用户可以向下兼容，高级用户拥有有限的管理权限

Pre-Windows 2000 Compatible Access

允许访问在域中所有用户和组的读取访问反向兼容组

Print Operators

成员可以管理域打印机

RDS Endpoint Servers

此组中的服务器运行虚拟机和主机会话，用户RemoteApp程序和个人虚拟桌面将在这些虚拟机和会话中运行，需要将此组填充到运行RD连接代理的服务器上，在部署中使用的RD会话主机服务器和RD虚拟化主机服务器需要位于此组中

RDS Management Servers

此组中的服务器可以在运行远程桌面服务的服务器上执行例程管理操作，需要将此组填充到远程桌面服务部署中的所有服务器上，必须将运行RDS中心管理服务的服务器包括到此组中

RDS Remote Access Servers

此组中的服务器使RemoteApp程序和个人虚拟桌面用户能够访问这些资源，在面向Internet的部署中，这些服务器通常部署在边缘网络中，需要将此组填充到运行RD连接代理的服务器上，在部署中使用的RD网关服务器和RD Web访问服务器需要位于此组中

Remote Desktop Users

此组中的成员被授予远程登录的权限

Remote Management Users

此组的成员可以通过管理协议（例如，通过Windows远程管理服务实现的WS-Management）访问WMI资源，这仅适用于授予用户访问权限的WMI命名空间

Replicator

支持与中的文件复制

Server Operators

成员可以管理域服务器

Terminal Server License Servers

此组的成员可以使用有关许可证颁发的信息更新Active Directory中的用户账户，以进行跟踪和报告TS每用户CAL使用情况

Users

该组成员只拥有一些基本的权利，例如运行应用程序，不能更改系统设置，不能更改其他用户数据等操作，默认包括以下用户：Authenticated Users和Interactive

Windows Authorization Access Group

此组的成员可以访问User对象上经过计算的tokenGroupsGlobalAndUniversal属性

2.内置域组

域组位于“Users”容器中，主要包括如表所示的组。

显示域组名称和描述信息

组和账户名

说     明

Allowed RODC Password Replication Group

允许将此组中成员的密码复制到域中的所有只读域控制器

Cloneable Domain Controllers

可以克隆此组中作为域控制器的成员

Denied RODC Password Replication Group

不允许将此组中成员的密码复制到域中的所有只读域控制器

Domain Admins

该组被自动添加到林中每个域计算机的Administrators组中，该组可对所有域控制器以及存储在该域中的所有目录内容进行完全控制，同时还可以改变该域所有管理账户的成员资格，在域内的每一天计算机中具备管理员的权限，默认成员是Administrator

Domain Computers

所有加入域的计算机会默认添加到该组中

Domain Controllers

所有域控制器默认添加到该组中

Dmomain Guests

域成员计算机会自动将此组加入到本地组Guests，此组默认成员是与用户账户Guests

Enterprise Admins

该组拥有对Active Directory架构的完全管理权限

Enterprise Read-only Domain Controllers

该组的成员是企业中的只读域控制器

Group Policy Creator Owners

这个组中的成员可以修改域的组策略

Schema Admins

该组拥有对Active Directory架构的完全管理权限

3.特殊用户组

域中常见的特殊用户组

组和账户名

说 明

Everyone

任何一个用户都隶属于该组

Authenticated Users

任何通过身份验证的用户都隶属于该组

Interactive

任何在本地登录的用户（使用Ctrl+Alt+Del组合键登录）都隶属于该组

Network

任何通过网络登录的用户都属于该组

Dialup

任何使用拨号方式连接的用户都隶属于该组

Anonymous Logon

任何未使用有效账户登录的用户都隶属于该组

System

该组拥有自通知最高权限，系统和系统级别的服务都依赖System赋予的权限，System组只有一个用户“System”，不允许其他任何用户加入

Creator Owner

文件夹、文件或打印文件等资源的创建者，如果创建者属于“Administrators”组成员，则Creator Owner为“Administrators”组

组日常管理

组可以包含用户、计算机、联系人、组以及其他对象，就像一个小的仓库，仅存储需要的事物。既然是一个小仓库，就需要进行管理。

创建组

创建“本地域组”、“安全组”以及“通用组”操作过程完全相同，以创建“全局组”为例说明。注意，全局组和域本地组在当前域中必须是唯一的；通用组，必须在整个林里是唯一的。由于全局编录服务器（GC）中不仅包含通用组，还包含有通用组的成员信息，因此每次对通用的修改（成员的增加、删除、修改）都会引发域复制流量。所以通用组的成员不要经常频繁地发生变化，否则会带来大量的复制流量。

2.DS命令组

使用“Dsadd group”命令组在“Users”容器中创建全局组。在命令行提示符下，键入如下命令。

dsadd group cn=HRR,cn=users,dc=local

命令执行后，在“Users”容器中创建名称为“Hrr”的全局安全组。

键入以下命令创建名称为“HRR”通用组。

dsadd group cn=users,dc=book,dc=local =scope u

Scope参数说明如下。

L：本地域组

g：全局组

u：通用组

3.PowerShell命令组

使用“New-ADGroup”命令在“Users”容器中创建全局组。键入命令：

New-ADGroup -GrouopCategory:"Security" -GroupScope:"Global" -Name:"HRR" -Path:"CN=Users,DC=book,DC=local" -SamAccountName:"HRR"

命令执行后，在“Users”容器中创建名称为“Hrr”的全局安全组。

组成员添加

2.DS命令组

使用“dsmod group”命令给目标组添加组成员。在命令行提示符下，键入如下命令：

dsmod group"ND=HRR,CN=Users,DC=book,DC=local"-addmbr"addmbr""CN=王淑江,CN=Users,DC=book,DC=local"

命令执行后，将用户“王淑江”从“HRR”组中删除。

3.PowerShell命令组

使用“Set-ADGroup”命令给目标组添加成员。键入命令：

Set-ADGroup-Identity HRR-Add:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local}

命令执行后，将用户“王淑江”添加到“HRR”组中。

删除组的成员，使用“-Remove”参数。

Set-ADGroup-Identity HRR -remove:@{'Member'="CN=王淑江,CN=Users,DC=book,DC=local"}

命令执行后，将用户“王淑江”从“HRR”组中删除。

删除组

在删除组之前，确认组是否真的需要删除，是否在其他应用中使用该组。

2.DS命令组

使用“dsrm”命令删除目标组。在命令行提示符下，键入如下命令。

dsmr CN=hrr,CN=Users,DC=book,DC=local

命令执行后，根据提示信息确认是否要删除目标组。选择“是”回车后，删除目标组。

3.PowerShell命令组

使用“Remove-ADGroup”命令删除目标组。键入命令：

Remove-ADGroup-Identity hrr

命令执行后，根据提示信息确认是否要删除目标组。选择“是”回车后，删除目标组。

重命名组

更新组的名称。

1.Active Directory用户和计算机（略）

2.DS命令组

使用“dsmove”命令重命名已有组。在命令行提示符下，键入如下命令。

dsmove CN=hrr,CN=Users,DC=book,DC=local -newname TestHRR

命令执行后，重命名组“hrr”为“TestHRR”。

3.PowerShell命令组

使用“Rename-ADObject”命令重命名已有组。键入以下命令。

Rename-ADObject-Identity:"CN=HRR,CN=Users,DC=book,DC=local"-NewName:"TestHRR"

命令执行后，重命名组“hrr”为“TestHRR”。

移动组

移动组，将组从一个组织单位移动到其他的组织单位。

2.DS命令组

使用“dsmove”命令将“HRR”组从一个组织单位移动到其他组织单位，在命令行提示符下，键入如下命令。

dsmove CN=HRR,OU=demo,DC=book,DC=local-newparent cn=users,dc=book,dc=local

命令执行后，将组“HRR”移动到“Users”容器中。

3.PowerShell命令组

使用“Move-ADObject”命令将用户移动到新组织单位。键入命令：

Move-ADObject-Identity:"CN=HRR,CN=demo,DC=book,DC=local" -TargetPath:"OU=Users,DC=book,DC=local"

命令执行后，将组“HRR”移动到“Users”容器中。

嵌套组

组嵌套，一个组是另外一个组的子集，即一个组包容其他的组。嵌套组可以包容多个组，如果包容的组包含其他组，则权限继承到包含的组中。本例中已经创建名称为“HR”、“Office”的组，将“HR”组嵌套到“Office”组中。

2.DS命令组

使用“dsmod group”命令完成嵌套组设置。在命令行提示符下，键入如下命令。

dsmod group "CN=office,CN=Users,DC=book,DC=local"-addmbr"CN=hr,CN=Users,DC=book,DC=local"

命令执行后，将“HR”组添加到“Office”组中。如果要删除“HR”组，参数设置为“-remove”。

3.PowerShell命令组

使用“Add-ADPrincipalGrouopMembership”命令完成嵌套组设置。键入如下命令。

Add-ADPrincipalGroupMembership -Identity:"CN=Office,CN=Users,DC=book,DC=local" -MemberOf:"CN=HR,CN=Users,DC=book,DC=local"

命令执行后，将“HR”组添加到“Office”组中。

更改组作用域

组作用域包含本地域组、全局组以及安全组，组作用域之间可以相互转换。如果要更改组作用域，必须是“Account Operators”组、“Domain Admins”组或“Enterprise Admins”组成员，或者被委派适当的权限。Windows Server 2012域功能级别设置为Windows Server 2003或者更高。

本例以Windows Server 2012域功能级别下的全局组转换为通用组为例说明作用域之间的转换，转换关系如下。

全局组-通信组

通信组-全局组

通信组-本地域组

本地域组-通用组

2.DS命令组

使用“dsmod group”命令将“HR”组（全局组）更改为“通用组”。在命令行提示符下，键入如下命令。

dsmod group CN=HR,CN=Users,DC=book,DC=local-scope u

命令执行后，将组更改为“通用组”。

3.PowerShell命令组

使用“Set-ADGroup”命令将“HR”组（全局组）更改为“通用组”。键入命令：

Set-ADGroup-GroupScope:"Universal"-Identity:"CN=HR,CN=Users,DC=book,DC=local"

命令执行后，将组更改为“通用组”。

确认组成员关系

当组之间形成嵌套关系之后，由于继承关系，组织间的关系变得十分复杂，清晰地了解组之间的关系对管理十分有益。

2.DS命令组

使用DS命令组查询组之间嵌套关系。

在命令行提示符下，键入如下命令，查询“Office”组中所有成员。

dsget group cn=office,cn=users,dc=book,dc=local-members

键入如下命令，查询“test”组属于哪个组

dsget group cn=office ,cn=users,dc=book,dc=local-memberof

命令执行后，显示组之间的关系。

组AGDLP应用

组应用原则

域目录林中实现对于资源（可以是文件夹或打印机）打访问授权，推荐使用“AGDLP”规则。

1.AGDLP原则

如果全局组在同一个域内，首先把用户账户（Account）加入到全局组（Global group），然后把全局组加入到域本地组（Domain Local group，可以是本域或其他域的域本地组），最后，对于域本地组进行授权（Permissions）。

2.AGGDLP原则

如果全局组在同一个域内，首先把用户账户加入到全局组，再将全局组加入到另外一个全局组，然后把全局组加入到域本地组，最后，对于域本地组进行授权。

3.AGUDLP原则

如果全局组不在同一个域内，首先把用户账户加入到全局组，再将全局组加入到通用组，然后把全局组加入到域本地组，最后，对于域本地组进行授权。

4.AGFGUDLP原则

如果全局组不在同一个域内，首先把用户账户加入到全局组，再将全局组加入到另外一个全局组，再将全局组加入到通用组，然后把全局组加入到域本地组，最后，对于域本地组进行授权。

应用场景规划

根据“AGDLP”原则，规划如下。

创建“全局组”：全局域文件服务器共享组。

用户账户加入到“全局组”：用户“demo”添加到“全局域文件服务器共享组”。

创建“本地域组”：本地用户授权组。

“全局组”加入到“本地域组”：“全局域文件服务器共享组”加入到“本地用户授权组”。

授予“本地用户授权组”访问“Software”文件夹的权限。

全局组操作

1.创建全局组

2.用户添加到全局组

域本地组操作

1.创建本地域组

2.全局组添加到本地域组

文件访问授权

授予“本地用户授权组”访问“Software”文件夹的权限。