active-directory – Windows服务器.组织单位和团体之间的区别? (活动目录)

原文

因此它们都是用于组织其他对象的对象.您可以向这两者添加用户,组和计算机.

>他们之间有什么区别?
>划分公司中不同部门的用户和计算机(OU或组)的最佳方法是什么?

摘要:

OU包含用户对象,组具有用户对象列表.

You put a user in a group to control that user’s access to resources. You put a user in an OU to control who has administrative authority over that user.

它们就像文件服务器(您的AD)上的文件夹(OU)和文件(组):更容易管理整个文件夹而不是单个文件的权限/ ACL,并让它们应用于文件(组)继承自动.这个类比在Access Denied: Understand the Difference Between AD OUs and Groups中有详细解释:

[…] because users and groups have ACLs,you can delegate portions of administrative authority to subadministrators. But,just as separately maintaining the ACL of every file is impractical,so is separately controlling administrative authority on each user or group object. Therefore,you can collect into an OU all the users and groups that you want to enable a particular subadministrator to manage,then grant the proper authority over the OU to that subadministrator. Permissions you define in an OU’s ACL flow down to all the users and groups in that OU,just as folder ACLs flow down to all the files in a folder.

区别:

>您可以将组策略链接到OU,但不能链接到组
>您可以为组提供文件/文件夹/共享权限,但不能为OU提供权限
>组有SID,OU没有

建议:

>您应该使用OU来组织Active Directory,以便更容易管理(例如,将用户和组的管理控制委派给其他管理员)
>您应该使用组来授予资源权限(例如,在文件服务器上读取共享权限)
>来自链接资源:

To help you keep OUs and groups straight,remember that a user can be a member of many groups but can reside in only one OU,just as a file can reside in only one folder.

所以你应该用它们来做不同的事情.

active-directory – Windows服务器.组织单位和团体之间的区别? (活动目录)的更多相关文章

  1. active-directory – 如何让centos 7在活动目录中使用uids和gids?

    这是我的smb.conf:这是我的sssd.conf编辑:我已经尝试将ldap_id_mapping=False添加到sssd.conf,但是包含该行,sssd.service将无法启动.这是输出:来自sssd-ad的手册页:默认情况下,AD提供程序将映射ActiveDirectory中objectSID参数的UID和GID值.有关详细信息,请参阅下面的“ID映射”部分.如果要禁用ID映射,而是依赖于ActiveDirectory中定义的POSIX属性,则应进行设置ldap_id_mapping=Fals

  2. windows-server-2008 – 我还需要其他类似的角色才能安装kerberoes

    取决于你的视图)

  3. active-directory – Windows服务器.组织单位和团体之间的区别? (活动目录)

    >划分公司中不同部门的用户和计算机的最佳方法是什么?

  4. windows – 如何添加关闭脚本(不是通过使用gpedit.msc或活动目录)?

    我创建了一个我想在XP工作站上部署的脚本作为关闭脚本.我知道我可以使用UI(gpedit.msc)将我的脚本添加为关闭脚本,但我想自动部署脚本.我的工作站不属于Windows域.我将使用OCSInventory进行部署.我试图向Windows注册表添加条目,但这不起作用.我运行gpedit.msc时看不到我添加的内容.如果我用gpedit.msc添加一些内容,这似乎会覆盖我手动添加到注册表中的内容

  5. windows-server-2003 – 在减少活动目录中的GPO数量方面是否有显着的性能提升?

    组策略及其应用是一个复杂的主题.在假设组策略是启动/登录时间较慢的原因之前,我的建议是验证您的基础结构是否已配置并正常工作,然后才能进行组策略更改.你可能走在正确的轨道上,但在你有证据证明问题之前,不要对问题的原因作出任何假设.DNS运行正常吗?客户端计算机是否与其DNS设置配置正确.域控制器是否正确定位?您是否针对计算机/用户运行gpresults以验证正在应用的GPO的管理范围?

  6. windows-server-2008 – 如何检查谁重置Windows服务器上活动目录中特定用户的密码?

    eventID=4724主体试图重置目标的密码:不要将此事件与4723混淆.如果新密码无法满足密码策略,则会将此事件记录为失败.本地SAM帐户和域帐户都会记录此事件.您还将看到一个或多个事件ID4738,通知您相同的信息.

  7. active-directory – Active Directory信任问题

    我试图在两个域之间设置一个活动目录信任.当我从我的域设置信任时,它不起作用.我的所有服务器都是Server2008R2,域功能级别为2008R2.这是我的步骤:>启动,管理工具,活动目录域和信任>右键单击我的域,然后单击属性>单击信任选项卡,然后单击“新信任”>我键入其他域的名称,然后单击下一步>接下来它告诉我“您指定的名称不是有效的Windows域名.名称是KerberosV5Realm,并询问

  8. windows-server-2003 – 在哪里可以查看活动目录失败的登录尝试?

    我在WindowsServer2003安全事件日志中没有看到任何登录尝试失败.但是,我有一个用户经常被锁定,我需要尝试确定原因.是否有可能隐藏失败登录尝试的设置,或者查看这些设置的方法?如果您的审核策略设置为仅记录成功事件,则只会获得成功事件.将审核策略更改为日志登录失败,然后查看theseMicrosoft工具以帮助您解决锁定问题.

  9. active-directory – 为什么计算机对象是CN而不是Microsoft Active Directory中的OU?

    >甚至可以删除默认对象吗?

  10. windows – 仅限Internet访问活动目录中的Web浏览器

    我有一个小型办公室网络连接到运行WindowsServer2016的服务器.服务器用作DNS,DHCP服务器,域控制器和网关我想将加入域的客户端计算机的Internet访问限制为使用WSUS的特定应用程序,WindowsUpdate.我希望LAN访问能够自由地工作.我会喜欢一些关于我应该怎么做的建议吗?

随机推荐

  1. static – 在页面之间共享数据的最佳实践

    我想知道在UWP的页面之间发送像’selectedItem’等变量的最佳做法是什么?创建一个每个页面都知道的静态全局变量类是一个好主意吗?

  2. .net – 为Windows窗体控件提供百分比宽度/高度

    WindowsForm开发的新手,但在Web开发方面经验丰富.有没有办法为Windows窗体控件指定百分比宽度/高度,以便在用户调整窗口大小时扩展/缩小?当窗口调整大小时,可以编写代码来改变控件的宽度/高度,但我希望有更好的方法,比如在HTML/CSS中.在那儿?

  3. 使用Windows Azure查询表存储数据

    我需要使用特定帐户吗?>将应用程序部署到Azure服务后,如何查询数据?GoogleAppEngine有一个数据查看器/查询工具,Azure有类似的东西吗?>您可以看到的sqlExpressintance仅在开发结构中,并且一旦您表示没有等效,所以请小心使用它.>您可以尝试使用Linqpad查询表格.看看JamieThomson的thispost.

  4. windows – SetupDiGetClassDevs是否与文档中的设备实例ID一起使用?

    有没有更好的方法可以使用DBT_DEVICEARRIVAL事件中的数据获取设备的更多信息?您似乎必须指定DIGCF_ALLCLASSES标志以查找与给定设备实例ID匹配的所有类,或者指定ClassGuid并使用DIGCF_DEFAULT标志.这对我有用:带输出:

  5. Windows Live ID是OpenID提供商吗?

    不,WindowsLiveID不是OpenID提供商.他们使用专有协议.自从他们的“测试版”期结束以来,他们从未宣布计划继续它.

  6. 如果我在代码中进行了更改,是否需要重新安装Windows服务?

    我写了一个Windows服务并安装它.现在我对代码进行了一些更改并重新构建了解决方案.我还应该重新安装服务吗?不,只需停止它,替换文件,然后重新启动它.

  7. 带有双引号的字符串回显使用Windows批处理输出文件

    我正在尝试使用Windows批处理文件重写配置文件.我循环遍历文件的行并查找我想要用指定的新行替换的行.我有一个’函数’将行写入文件问题是%Text%是一个嵌入双引号的字符串.然后失败了.可能还有其他角色也会导致失败.如何才能使用配置文件中的所有文本?尝试将所有“在文本中替换为^”.^是转义字符,因此“将被视为常规字符你可以尝试以下方法:其他可能导致错误的字符是:

  8. .net – 将控制台应用程序转换为服务?

    我正在寻找不同的优势/劣势,将我们长期使用的控制台应用程序转换为Windows服务.我们为ActiveMQ使用了一个叫做java服务包装器的东西,我相信人们告诉我你可以用它包装任何东西.这并不是说你应该用它包装任何东西;我们遇到了这个问题.控制台应用程序是一个.NET控制台应用程序,默认情况下会将大量信息记录到控制台,尽管这是可配置的.任何推荐?我们应该在VisualStudio中将其重建为服务吗?我使用“-install”/“-uninstall”开关执行此操作.例如,seehere.

  9. windows – 捕获外部程序的STDOUT和STDERR *同时*它正在执行(Ruby)

    哦,我在Windows上:-(实际上,它比我想象的要简单,这看起来很完美:…是的,它适用于Windows!

  10. windows – 当我试图批量打印变量时,为什么我得到“Echo is on”

    我想要执行一个简单的批处理文件脚本:当我在XP中运行时,它给了我预期的输出,但是当我在Vista或Windows7中运行它时,我在尝试打印值时得到“EchoisOn”.以下是程序的输出:摆脱集合表达式中的空格.等号(=)的两侧可以并且应该没有空格BTW:我通常在@echo关闭的情况下启动所有批处理文件,并以@echo结束它们,所以我可以避免将代码与批处理文件的输出混合.它只是使您的批处理文件输出更好,更清洁.

返回
顶部