Grupo de segurança aninhado no Active Directory

Navegue suas respostas
2

Você pode aninhar grupos de segurança no diretório ativo?

Existem limitações ao aninhamento?

Quais versões do Windows Server / Active Directory suportam o aninhamento?

    
por JoshRivers 14.10.2011 / 17:26

3 respostas

8

Sim, o AD oferece suporte ao aninhamento de grupos em domínios que operam no modo nativo do Windows 2000 e superior. As limitações são baseadas no tipo de grupo que você possui.

Existem três tipos:

  1. Global
  2. Domínio local
  3. Universal

Grupos globais podem conter apenas contas e outros grupos globais do domínio em que o grupo reside. Eles podem ser usados em qualquer domínio da floresta do AD (ou domínios confiáveis).

Domínio Os grupos locais podem conter grupos globais / universais, objetos de computador e contas de qualquer domínio na floresta (ou domínios confiáveis). O pode ser usado apenas no domínio em que o grupo reside.

Os Grupos universais podem conter grupos globais / universais, objetos de computador e contas de qualquer domínio dentro da floresta do AD (ou domínios confiáveis). Eles podem ser usados em qualquer domínio da floresta do AD (ou domínio confiável).

Os servidores de Catálogo Global armazenam em cache os membros dos Grupos Universais.

    
por 14.10.2011 / 17:35
5

Versão resumida: Sim.

Versão longa: sim, mas ...

O aninhamento pode ser limitado pelos escopos dos grupos em jogo; domínio local, global e universal.

  • Um grupo universal pode ser membro de um grupo universal ou de um grupo local de domínio
  • Um grupo global pode ser um membro de qualquer tipo de grupo - se for outro global, deve ser do mesmo domínio
  • Um grupo local de domínio pode ser membro apenas de outros grupos locais de domínio no mesmo domínio

Veja aqui mais informações sobre o escopo do grupo aqui .

Além disso, tenha cuidado com aplicativos mal comportados - alguns aplicativos que leem a participação em grupos de ldap bruto com base apenas no atributo members do grupo ou o atributo memberOf do usuário perderão as associações aninhadas.

Além disso, lembre-se de que cada grupo do qual um usuário é membro incluirá o tamanho do ticket do kerberos se o grupo estiver no modo de segurança. Com muito aninhamento, cuidado com o limite de tamanho do bilhete.

    
por 14.10.2011 / 17:40
1

Sim, você pode. Aqui estão alguns artigos úteis:

link link

E você pode encontrar alguns scripts que permitem desenhar / representar grupos aninhados aqui:

link

    
por 14.10.2011 / 17:38

Tags

Bloqueando totalmente o Acesso à Internet através da Diretiva de Grupo no Windows Server 2008 R2 Execute o programa c compilado de qualquer local