iT邦幫忙

1

規劃與建立群組

yuyu 2017-07-10 11:05:2721376 瀏覽

網域資源(印表機、檔案...)的存取權限雖然可以直接指派給user,但使用上針對每個帳戶指派權限是沒有效率的,也不易維護,因而產生群組(Group)的概念

群組多可分為

  • 安全性群組(Security Group)
    如同user帳戶,安全性群組也有unique的SID,因此我們可把權限指派給他,如此也會使得該群組都擁有這個群組的權限

  • 發布群組(Distribution Group)
    發布群組沒有SID,因此不能賦予權限。主要用來將成員的電子郵件組成電子郵件清單,寄信給清單內的所有成員。其角色相當於Microsoft Exchange Server的電子郵件發送清單(Distribution List)

安全性群組

網域本機群組全域群組萬用群組

規劃群組的原則

  • 單一網域內,將user帳戶組成全域群組,再將之加入以設定權限的網域本機群組,以獲得相同權限
  • 再多網域環境中,將user帳戶組成全域群組,再將之加入萬用群組,最後再將之加入以設定權限的網域本機群組,以獲得相同權限
    盡量不要在萬用群組中包含使用者帳戶
  • 群組中包含其他群組的巢狀結構盡可能不要太複雜,建議採用單層巢狀結構

群組分類總攬

建立與維護群組

認識內建群組

內建本機群組

http://ithelp.ithome.com.tw/upload/images/20170710/20105996V1E4PaIrbl.png

Builtin 網域本機群組

無法重新命名、刪除、移動它們
http://ithelp.ithome.com.tw/upload/images/20170710/20105996t14zZKADib.png

Users 網域本機、全域、萬用群組

本身大多沒有任何權利與權限
http://ithelp.ithome.com.tw/upload/images/20170710/2010599653FSVcS2qO.png

特殊的系統群組

一組特殊的系統全組,內建安全性原則,只會在指派使用者權利或設定權限時才會出現,平常在電腦管理與AD使用者和電腦視窗看不到它們

內建使用者權利

  • 從網路存取這台電腦
  • 將工作站加入網域
  • 備份檔案及目錄
  • 變更系統時間
  • 從遠端系統強制關機
  • 載入和釋放周邊設備驅動程式
  • 允許本機登入
  • 管理稽核及安全日誌
  • 還原檔案與目錄
  • 取得檔案或其他物件的所有權
  • 略過周遊檢查
  • 修改韌體環境值
  • 鎖定記憶體分頁

在網域中指派使用者權利

http://ithelp.ithome.com.tw/upload/images/20170710/20105996zxNxMwbO91.png

新增完畢後,在開始鈕輸入gpupdate,按Enter套用

指派本機的使用者權利

http://ithelp.ithome.com.tw/upload/images/20170710/20105996ZPfthQDvat.png
重啟後,指派的使用者權利便會生效


1 則留言

0
noway
iT邦新手 5 級 ‧ 2018-04-15 15:25:13

您好:
參閱您的文章,其
內建本機群組 與 Builtin 網域本機群組 的圖 一樣

在網域中指派使用者權利 與 指派本機的使用者權利 的圖 一樣

請問是否 有差異?
謝謝!

mike5201 iT邦新手 4 級 ‧ 2020-01-21 08:50:52 檢舉

圖片在本機的部份都是有問題的,建議只需參考文字描述即可。

我要留言

立即登入留言