59、重新构想组和成员管理的解决方案

重新构想组和成员管理的解决方案

1. 组作用域的考虑

在管理用户和组时，有一个常见的最佳实践：将用户放入全局组，将全局组放入域本地组，并为域本地组分配资源权限。在多域森林中，还可以将不同域的用户或全局组放入通用组，然后将通用组嵌套在域本地组中或为其分配资源权限。这一最佳实践与组的以下特性相关：
| 特性 | 描述 |
| ---- | ---- |
| 复制 | 通用组的成员资格会复制到全局编录，全局组和域本地组仅在其所在域内复制。 |
| 成员资格 | 全局组只能包含同一域的用户和其他全局组；域本地组可以包含森林中任何域以及外部森林中受信任域的用户和全局组，还可以包含其他域本地组；通用组的成员可以包括森林中任何位置的用户、全局组和其他通用组。 |
| 可见性 | 域本地组仅可用于管理同一域中资源的安全性，通用组和全局组对森林中的所有域可见。 |

在单域 Active Directory 森林中，实际上仅使用全局组也可以满足需求。前提是域功能级别不再是混合或过渡级别（即不存在 Windows NT 4.0 域控制器），此时可以将全局组嵌套在全局组中，并为全局组分配资源权限。而且，组策略对象只能使用全局组进行筛选。

使用全局组的一个重要原因是令牌大小。在令牌中，全局组仅占用 8 字节，而域本地组占用 40 字节。这意味着在达到当前 MaxTokenSize 限制之前，用户可以拥有的全局组成员资格数量是域本地组的五倍。

在单域环境中，使用全局组基本没有明显缺点。但当环境变得更复杂时，例如向森林中添加额外的域或与外部域建立信任关系，可能需要将一些全局组转换为域本地作用域，以便将其他域的用户和组添加为成员。