服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 活动目录嵌套安全组
Intereting Posts
Postfix的smtpd不会跟saslauthd交谈 为属于所有给定主机组的所有主机定义服务 Vista备份失败:“文件名,目录名称或卷标语法不正确(0x8007007B)” 后缀:dynamic重写服务器名称取决于发件人域 我的域名没有得到解决。 怎么来的? 用iptables阻止某些IP地址上的Facebook MySQL服务器的CPU使用率没有明显的原因。 任何想法为什么? 从已知地址名称和本地主机接收钓鱼/垃圾邮件 apache2 mod_rewrite启用,但不能正常工作 VoIP呼叫下降 DNS不能parsing该域上configuration区域以外的域 如何在ext3 / linux上使`rm`更快? 如何为qemu启用“br0”设备的DHCP? 容量规划:测量每个HTTP请求的networkingstream量 vmware esx pxe boot guest wds

活动目录嵌套安全组

你可以在活动目录中嵌套安全组吗?

嵌套有限制吗?

哪个版本的Windows Server / Active Directory支持嵌套?

是的,AD支持在Windows 2000本地模式或更高版本的域中运行组嵌套。 限制是基于您所拥有的组的types。

有三种types:

  1. 全球
  2. 本地域
  3. 普遍

全局组只能包含组所在域中的帐户和其他全局组。它们可以在AD林中的任何域(或受信任的域)中使用。

域本地组可以包含全局/通用组,计算机对象以及林中任何域(或受信任的域)中的帐户。 只能在组所在的域中使用。

通用组可以包含全球/通用组,计算机对象以及来自AD林中任何域(或受信任的域)的帐户。 它们可以在AD森林(或受信任的域)内的任何域中使用。

全局目录服务器将caching通用组的成员。

简短版本:是的。

长版:是的,但…

嵌套可能受限于组中的范围; 本地域,全局域和通用域。

  • 通用组可以是通用组或域本地组的成员
  • 全局组可以是任何types的组的成员 – 如果它是另一个全局组,则它必须来自同一个域
  • 域本地组只能是同一域中其他域本地组的成员

在这里查看更多关于组范围的信息 。

此外,请注意不良行为的应用程序 – 某些仅根据组的members属性或用户的memberOf属性从原始ldap中读取组成员资格的应用程序将错过嵌套成员资格。

另外,请记住,如果组处于安全模式,则用户所属的每个组都将添加到他们的kerberos票证的大小。 有太多的嵌套,要小心打门票的大小限制。

是的你可以。 这里有一些有用的文章:

http://technet.microsoft.com/en-us/library/cc783634(WS.10).aspx http://technet.microsoft.com/en-us/library/cc737585(WS.10).aspx

你可以在这里find一些能够绘制/绘制嵌套组的脚本:

https://gallery.technet.microsoft.com/scriptcenter/Graph-Nested-AD-Security-eaa01644