您可以在活动目录中嵌套安全组吗?
嵌套有什么限制吗?
哪些版本的 Windows Server/Active Directory 支持嵌套?
答案1
是的,AD 支持在 Windows 2000 本机模式及更高版本中运行的域中的组嵌套。限制取决于您拥有的组类型。
有三种类型:
- 全球的
- 本地域名
- 普遍的
全局组只能包含组所在域的帐户和其他全局组。它们可以在 AD 林(或受信任的域)内的任何域中使用。
域本地组可以包含林中任何域(或受信任域)的全局/通用组、计算机对象和帐户。只能在组所在的域中使用。
通用组可以包含 AD 林(或受信任域)内任何域的全局/通用组、计算机对象和帐户。它们可以在 AD 林(或受信任域)内的任何域中使用。
全局编录服务器将缓存通用组的成员。
答案2
简短版本:是的。
长版:是的,但是......
嵌套可以通过游戏中组的范围来限制;域本地、全局和通用。
- 通用组可以是通用组或域本地组的成员
- 全局组可以是任何类型组的成员 - 如果是另一个全局组,则必须来自同一域
- 域本地组只能是同一域中其他域本地组的成员
有关群组范围的更多信息,请参阅此处这里。
此外,要小心行为不良的应用程序 - 一些仅基于members
组的属性或memberOf
用户的属性从原始 ldap 读取组成员资格的应用程序将会错过嵌套的成员资格。
另外,请记住,如果用户所属的每个组处于安全模式,则该组将增加其 Kerberos 票证的大小。如果嵌套过多,请注意不要达到票证大小限制。