安全性群组.PPTVIP

第 8 章 規劃與建立群組 本章重點 8 - 1 安全性群組的種類 8 - 2 建立與維護群組 8 - 3 認識內建群組 8 - 4 指派使用者權利 規劃與建立群組 網域資源（檔案、印表機等等）的存取權限雖然可以直接指派給使用者帳戶, 但是在實務上, 針對每一個帳戶指派權限是沒效率的作法, 也不容易維護。 有鑑於此, 於是產生了群組（Group）的概念。 通常我們將群組視為由使用者帳戶所組成的集合, 不過實際上, 它還可以包含『其他的群組』、『電腦』和『聯絡人』在內。 規劃與建立群組 然而, 因為很少有機會將權限賦予『電腦』；而『聯絡人』又不能擁有權限, 所以在實務上, 很少提到後兩種成員。 群組可區分為網域群組和本機群組, 而網域群組又區分為以下兩種： 安全性群組（Security Group） 如同使用者帳戶一樣, 安全性群組也具有一個獨一無二的 SID, 因此我們可以把權限指派給它, 如此會使得該群組的成員都擁有這個群組具有的權限。 規劃與建立群組 發佈群組（Distribution Group） 發佈群組沒有 SID, 因此不能賦予權限。它主要是用來將成員的電子郵件位址組成電子郵件清單, 寄信給該清單就等於寄信給清單內的所有成員。 其角色相當於 Microsoft Exchange Server 的電子郵件發送清單（Distribution List）。 規劃與建立群組 至於本機群組就很單純, 沒有安全性群組與發佈群組之分, 一律都是安全性群組。 一般而言, 系統管理員著重的是『安全性群組』, 因此本章也以它為重點。 若無特別註明, 在後文中的群組都是指安全性群組！ 8 - 1 安全性群組的種類 Windows Server 2008 的安全性群組都有其『群組領域』（Group Scope), 群組領域是指這個群組的『影響範圍』, 牽涉到以下 3 件事： 1. 能獲得那個網域資源或樹系資源的權限。 2. 能隸屬於哪個網域或樹系的群組。 3. 能包含那個網域或樹系的使用者帳戶及群組。 安全性群組的種類 根據群組領域的不同, 安全性群組區分為以下 3 種： 網域本機群組（Domain Local Group）：群組領域為『網域本機』（Domain Local）的群組。 全域群組（Global Group）：群組領域為『全域』（Global）的群組。 萬用群組（Universal Group）：群組領域為『萬用』（Universal）的群組。 建立群組的策略 網域本機群組 網域本機群組可以包含以下 4 種成員： 同樹系任何網域的使用者帳戶。 同樹系任何網域的全域群組。 同樹系任何網域的萬用群組 同網域的網域本機群組。 雖然網域本機群組幾乎可以包含所有類型的成員, 然而它的權限範圍只限於同網域（該群組所在的網域）的資源；換言之, 我們只能將同網域資源的權限指派給網域本機群組。 網域本機群組 在管理網域資源時, 一般都會把存取權限指派給網域本機群組, 而不會直接指派給使用者帳戶, 如下圖： 網域本機群組 以上圖為例, 如果 A、B、C 三位使用者須擁有相同的權限, 則可以先將權限指派給某個網域本機群組, 再將這 3 個帳戶加入該群組中。 這種作法在維護和管理上, 會比直接將資源指派給使用者要好得多。 不過在實際應用上, 我們也可能將隸屬同一部門的使用者先加入全域群組, 然後再將該全域群組加入網域本機群組, 相關的細節請見後文。 全域群組 全域群組可以包含以下 2 種成員： 同網域的使用者帳戶。 同網域的其他全域群組。 全域群組的權限範圍是整個樹系, 也就是說, 我們可以將樹系內任何資源的權限指派給全域群組。 全域群組 在實際應用上, 我們通常以全域群組來集合需要相同權限的使用者帳戶。 例如：將產品部門的員工都集中加入 Products 全域群組, 再將 Products 網域加入已設定權限的網域本機群組。 利用『網域本機群組』+『全域群組』來管理網域 結合已經介紹的網域本機群組及全域群組, 即可用來規劃單一網域的群組架構, 其原則如下（以下的步驟並無先後順序的差別)： 把需要相同權限的使用者帳戶加入同一個全域群組, 例如：將產品部門的員工加入『Products』全域群組、會計部門的員工加入『Accountings』全域群組。 把全域群組加入網域本機群組, 例如：將『Products』與『Accountings』加入『Printers』網域本機群組。 利用『網域本機群組』+『全域群組』來管理網域 將網域內資源的權限指派給網域本機群組。 例如：將管理印表機的權限指派給『Printers』網域本機群組, 即可讓前述的『Products』群組與『Accountings』群組的成員（亦即產品部與會計部的員工）都能管理印表機。 這種結合