Active Directory 嵌套安全组

Active Directory 嵌套安全组

您可以在活动目录中嵌套安全组吗?

嵌套有什么限制吗?

哪些版本的 Windows Server/Active Directory 支持嵌套?

答案1

是的,AD 支持在 Windows 2000 本机模式及更高版本中运行的域中的组嵌套。限制取决于您拥有的组类型。

有三种类型:

  1. 全球的
  2. 本地域名
  3. 普遍的

全局组只能包含组所在域的帐户和其他全局组。它们可以在 AD 林(或受信任的域)内的任何域中使用。

域本地组可以包含林中任何域(或受信任域)的全局/通用组、计算机对象和帐户。只能在组所在的域中使用。

通用组可以包含 AD 林(或受信任域)内任何域的全局/通用组、计算机对象和帐户。它们可以在 AD 林(或受信任域)内的任何域中使用。

全局编录服务器将缓存通用组的成员。

答案2

简短版本:是的。

长版:是的,但是......

嵌套可以通过游戏中组的范围来限制;域本地、全局和通用。

  • 通用组可以是通用组或域本地组的成员
  • 全局组可以是任何类型组的成员 - 如果是另一个全局组,则必须来自同一域
  • 域本地组只能是同一域中其他域本地组的成员

有关群组范围的更多信息,请参阅此处这里

此外,要小心行为不良的应用程序 - 一些仅基于members组的属性或memberOf用户的属性从原始 ldap 读取组成员资格的应用程序将会错过嵌套的成员资格。

另外,请记住,如果用户所属的每个组处于安全模式,则该组将增加其 Kerberos 票证的大小。如果嵌套过多,请注意不要达到票证大小限制。

答案3

相关内容