将 Active Directory 添加到计算机本地组 - 选择哪个范围？

Question 1

我相信您使用哪个组范围的决定应该由以下因素定义：

哪些安全主体需要成为该组的成员？例如，如果您必须将来自林中其他域的安全主体包含在此安全组中，则必须将其设为域本地或通用组。如果您只需要将同一域的成员包含在此安全组中，则可以使用全局安全组。
您需要控制此组对哪些资源的访问？您可以将全局组放在林中任何域的 ACL 上，而域本地安全组只能放在其自己域内的 ACL 上。如果您需要以非常灵活的方式跨域，您可能需要求助于通用组。

全局组有利于将对全局目录的复制保持在最低限度......但现在这不是什么大问题，因为现在每个域控制器通常都是一个 GC，并且复制流量所消耗的带宽通常不再是让我们担心的事情。

Answer

我相信您使用哪个组范围的决定应该由以下因素定义：

哪些安全主体需要成为该组的成员？例如，如果您必须将来自林中其他域的安全主体包含在此安全组中，则必须将其设为域本地或通用组。如果您只需要将同一域的成员包含在此安全组中，则可以使用全局安全组。
您需要控制此组对哪些资源的访问？您可以将全局组放在林中任何域的 ACL 上，而域本地安全组只能放在其自己域内的 ACL 上。如果您需要以非常灵活的方式跨域，您可能需要求助于通用组。

全局组有利于将对全局目录的复制保持在最低限度......但现在这不是什么大问题，因为现在每个域控制器通常都是一个 GC，并且复制流量所消耗的带宽通常不再是让我们担心的事情。

Question 2

我不确定微软是否曾针对这种特定情况发布过最佳实践。它与典型情况的不同之处在于，您最终不会将访问控制列表放入文件系统中。快速搜索他们的网站不会得到任何好的结果。

在单域场景中（最常见的情况），我会使用组策略受限组功能将域中的全局组嵌套到计算机上的“远程桌面用户”组中。我觉得这种方法足够“可见”，可以进行未来的审计。当然，我会将不同的受限组设置应用于不同“类别”的计算机。我认为域本地组没有必要将角色从资源中抽象出来，因为我认为组策略满足了这一要求。

Answer

我不确定微软是否曾针对这种特定情况发布过最佳实践。它与典型情况的不同之处在于，您最终不会将访问控制列表放入文件系统中。快速搜索他们的网站不会得到任何好的结果。

在单域场景中（最常见的情况），我会使用组策略受限组功能将域中的全局组嵌套到计算机上的“远程桌面用户”组中。我觉得这种方法足够“可见”，可以进行未来的审计。当然，我会将不同的受限组设置应用于不同“类别”的计算机。我认为域本地组没有必要将角色从资源中抽象出来，因为我认为组策略满足了这一要求。

相关内容