第08章 域中的用户和组

域中的用户和组概述用户和组是Windows2000网络环境的最基本的对象。因为网络的使用者是人，所以在网络的使用和管理中，都需要针对人来建立和管理。而用户恰好就是域中的人。当域中的用户数量增加到一定程度以后，对人和资源的安全性的管理难度就变得越来越大。组是人们生活中的组织在域环境中的一个体现，也是实现有效的安全管理的主要手段。本章将对域中的用户和组的概念进行了详细的讲解，介绍了使用组在安全管理上的基本的理念。域中的用户在建立域以后，首先要建立的域中的对象就是用户User。用户对象可以说是域中最重要的对象。很多人都能够熟练地建立和修改用户，但是不一定正确地理解用户对象的含义。那么到底用户是什么呢？什么是用户计算机的职责是为人提供服务。它可以为任何人都提供相同的服务，如Windows95/98操作系统那样，但更多的需要是为不同的人提供不同的服务。那么如何区分前来访问资源的是谁呢？这就是用户对象的职责了。用户是什么的答案是：用户就是人，是计算机和网络环境中的人。当计算机中有了人，一切就好办了。所有计算机中的资源，包括文件、数据库、打印机、邮件等等，都可以设定访问的权限，也就是那个人可以对这个资源有什么样的访问许可，是能够读还是能够写，是否能够建立新的和删除旧的等。那么计算机如何知道你就是那个人呢？当我们坐在计算机前，按下ctrl-alt-del键，输入用户名和口令，如果验证通过，那么计算机就认为你就是那个用户了。在这里，需要明确的一点是要区分清楚实际生活中的人和计算机中的人。举例说，你的实际名字叫令狐冲，但是当你在计算机上登录时输入的用户名是岳不群和岳不群的口令，这时计算机就认为在操作的人就是岳不群，绝对不会知道你是令狐冲。所以有人常说“我用张三登录如何如何，用李四登录又如何如何”，实际上这句话细究起来是不恰当的，因为对计算机来说，它并不知道你是一个人。他认为第一次登录进来的人是张三，而第二次登录进来的人是李四。有句有名的话说得很正确：“网上没人知道你是一条狗”。域中的人在没有域的时候，每一台Windows2000Server/Professional的计算机都是独立的，相互之间没有必然的联系。每一台独立的服务器就象一个独立的小城邦，有自己的管理机构和居民，这些居民属于这个城邦，他们的身份也仅限于在这个城邦中有效。当我在一台机器上工作时，我操纵的是这台机器上的一个用户。如果我需要通过网络连接到另一台机器获取资源，如共享的文件夹时，就需要重新通过那台服务器的身份验证。这个新的身份是建立在那台服务器上的用户名和口令，并对要访问的资源有相应的权限。所以此时实际上我在两台机器上操纵的是两个不同的人。最极端的情况，如果两台服务器上各有一个用户，他们的名字和口令都相同，那也是两个不同的人。如果你在一台服务器上用这个用户的名字登录，你在访问另一台服务器是，系统不会要你提供用户名和口令。这并不意味着你现在的这个身份能够访问另一台服务器，实际上是你的系统自动将当前你这个用户的姓名和口令传递给了另一台服务器，由于恰巧哪个服务器上有一个同名同口令的用户，所以身份验证自动通过了。实际上你在两台服务器上操纵的还是两个用户，只不过同名罢了。当我们建立一个域时，就有了一个新的类型的人，就是域中的用户，域中的人。本质上讲，域中的用户就是域服务器上建立的用户，虽然这个用户有更多的属性和特征。现在这个人的身份的被认可的范围是域而不是一台域服务器本身，他的身份被所有加入到域中的计算机认可。当我在一台加入的域中的机器上输入用户名和口令，并选择域名后，实际上此时我操纵的人就是域中的人，而不是这台计算机上的人。当然首先在域中要建立好这个用户帐户。域中的人（登录到域）本地的人（登录到计算机）这时我再去访问域中其它计算机上的资源时，我用的就是现在的这个域用户的身份，不需要重新验证身份了。因为所有加入到域的计算机都认同域中的用户，所以这个人可以访问所有允许他访问的资源。这就是域带来的最大的好处——单次登录。建立域用户对象现在我们就可以建立新的用户对象了，只需要在我们希望建立的容器中点击鼠标右键，选择New->User就可以了。在建立新用户的过程中，有几个参数是要注意的。在一个用户对象中，有很多的属性，其中的一些必须是唯一的，不能和其他对象或用户相同。首先我们遇到的第一个参数是Fullname，缺省为Fastname+Lirstname。AD会将Fullname作为这个对象的相对辨识名（RDN,RelativeDistinguishedName），也就是这个用户在OU中的名字。Fullname加上OU和域的名字就构成了对用户的辨识名DN，即这个用户对象在域中的名字。如果需要修改这个名字，就在用户对象上点击鼠标右键，选择Rename。建立新用户Userlogonname是用户登录时使用的名字，也是最常使用的名字。Logonname在一个域中也是唯一的。Logonname加上UPN的后缀就成了用户的UPN（UserPrincipleName）。UPN的形式和Email地址非常类似。一般情况下UPN在森林范围内是唯一的。用户登录时，可以输入Logonname并选择一个Domain，也可以直接在输入一个UPN。这两种方式的效果是一样的，但是内部的运行顺序有些不同。用Logonname登录到域，系统会从DNS中查寻DC的IP地址，然后将身份验证的请求提交的DC。而使用UPN登录时，系统首先从DNS或的GlobalCatalogServer的IP，然后从GC查询此UPN对应的用户帐户及所属的域，然后再向此域的DC提交身份验证的请求。用UPN登录缺省情况下，UPN后缀用的是本域的域名，也可以从下拉的列表框中选择其他域名作为UPN后缀。UNP后缀的列表可以自己建立，在ActiveDirectoryDomainsandTrusts工具上点鼠标右键，选择Properties，就会出现UPNSuffixes窗口，允许你添加自己的UPN后缀。增加自己的UNP后缀域中的组同用户密切相关的另一个对象就是组Group。我们已经在第一本书中讲到过单服务器中的组，域中的组的目的和服务器的组是类似的。不过为了完整起见，我们还是对组的概念作一个详细的介绍。首先要回答的问题是：什么是组？什么是组组就是组织。如果你加入了公司的董事会，那么你就是董事会这个组织的成员，你就享有所有分配给董事会这个组织的权利。在计算机中，你建立了一个组Group，就是建立了一个组织，然后可以让需要加入到这个组织的用户成为组的成员(Member)。我们说组中有用户，OU中也有用户，但是这两个是不一样的。一个用户可以同时是很多组的成员，但是只能位于一个OU中。这就像你可以是很多组织的成员，如共青团、董事会、篮球队等等，但是你只有一个家一样。OU是你住的地方，而组是你加入的组织。域中的组就是域中用户的组织。新建一个域中的组不同用途的组在我们建立域中的组的时候，可以看到有两种不同用途的组，安全组和通讯组。安全组是我们通常使用的组，它的用途就是可以赋予它访问资源的权限。而通讯组则没有这个能力，我们不能对通讯组赋予访问权限，它的唯一作用就是通讯——当我们发送电子邮件给这个组时，就是发送给组中所有的成员。在域处于NativeMode时，组的用途可以任意改变，从安全组到通讯组，或从通讯组变为安全组。而在MixMode时，不能转换组的用途。组的类型在域中，一共有三种不同类型的组，它们的行为和目的都各不相同。这三种组分别是：UniversalGroup，通用组（虽然在微软的文档中称为通用组，但是我认为森林组或全球组更为贴切）DomainGlobalGroup，域中的全局组DomainLocalGroup，域中的本地组这三个组中能够包含用户，也能包含其它类型的组。我们把组中能够包含的成员类型称为内涵，那么组能够被安全控制所引用的范围可以称为外延，或作用范围。在Windows2000的帮助文件中，有一个表格比较清楚地描述了这三种组的内涵和外延，虽然有一些小的错误（第二行中将MixMode误写作了NativeMode）。我们将这个表放在这儿：通用组（Universal）域全局组（DG）域本地组（DL）内涵（成员）

NativeMode来自任何域的用户帐户、域全局组和域通用组来自相同域的用户帐户，来自相同域的全局组来自任何域的用户帐户、全局组和通用组，来自相同域的域本地组内涵（成员）

MixMode不能创建来自相同域的用户帐户来自任何域的用户帐户和全局组作用范围可在任何域中被赋予权限可在任何域中被赋予权限仅在相同域中被赋予权限仔细琢磨一下，可以发现它们基本的相互包含的顺序是User->DG->Universal->DL。组的类型的意义可是为什么要这样划分？为什么它们之间是这样的关系呢？我们需要回答这个问题，否则将组分成三个类型就意义不大了。首先我们来看一个域中为什么要有全局组和本地组。这涉及到我们如何来管理资源权限的分配。如果我们习惯直接将资源的权限分配给用户帐户，这样也能达到安全管理的目的，但是一旦用户数量变大，那么管理上的难度会急剧地增加。所以我们采用了组的形式，可以将资源的访问权限只分配给组，然后将用户加入到相应的组中获得对资源访问的权限。这样做的好处是以后如果你希望某个用户能够获得访问资源的权限，只需要将用户加入到某个组中就行了。当然作为一些特殊的要求，仍然可以直接给某个单独的用户帐户分配权限。现在我们将组分成了两个层次，Global和Local，这是为了更好地用组来管理权限的分配。有一句话比较恰当地表达了全局组和本地组的不同的目的：“人以类聚，物以群分”。全局组的目的是为了给人来分类。例如在一个公司里，暂时抛开具体的人，那么肯定有不同职责或不同的组织，如普通员工、中层经理、总经理，或者董事会、监事会，或者工会、团组织、党组织，或者技术部、市场部、销售部等等。不同的公司可以分出很多不同的组织来，然后公司中的每个人，都会是这里面一个或几个组织的成员。更重要的是，这些组织肯定对公司的资源会有各自不同的访问的权限。所以全局组是抛开了具体的用户，根据公司的运行结构建立的组的结构。本地组是给物（资源）来分类的。更确切地说，本地组是预先规划好的对资源的某种访问权限。例如公司里共享的打印机，则对它有两种不同的权限，打印和管理打印机。对于公司的一个共享的文件夹，就可能够更多的访问类型，如只能读取数据，禁止访问，可以添加新的文件，完全控制等。所以本地组是抛开了用户和全局组，只是考虑对某个或某些资源的访问方式而建立的组。在资源上给这些组赋予了正确的权限。而如果某人或某个组织应该可以使用某个资源，如用打印机来打印，那么只需要让这个用户帐户或全局组成为打印机的打印本地组的成员就可以了。所以在建立组的时候，实际上是先不考虑具体的某个用户的。这个两层的组的结构完全是根据公司运行和资源访问的需求来建立的。当公司的完整的组的结构建立以后，在建立新用户或者某个用户的职位或职责发生变化时，系统管理员需要做的只是将这个用户加入到和他现在的身份相应的全局组中，他自然会获得应有的权限了。所以如果严格按照两类组的方式建立公司的安全机制，会大大减少安全管理的混乱和漏洞，减少管理的工作量，尤其是在公司较大，人员数量多和结构复杂的环境中。现在再来看全局组和本地组的内涵就很清楚了。全局组是域中用来组织人的，所以包含的只是域中的人或人的组织，也就是域的用户帐户和其他全局组；而本地组则是用来面向资源管理的，所以所有应该对资源有访问权的人或组都可以成为它的成员，包括域中的用户和全局组。当然也可以包含域中的本地组，例如打印机的管理组当然有打印的权利，所以可以包含在打印组中（当然这不是必要的，也可以直接给打印机管理组赋予打印的权限）。这是针对一个域来说的，而Windows2000Server可以用多个域构成一个森林。在一个森林中，当然域还是最基本的和相对独立的管理机构，但我们需要考虑一些森林范围的情况。因为我们说整个森林是通过特殊的信任关系密切连成一体的。在森林中，全局组由于定位是对域中的人进行组织，所以其内涵没有变化，仍然是相同域中的用户帐户和相同域中的其他全局组。那么如果有一个组织的成员需要来自森林中的多个域时呢？所以就有了一种新的组——UniversalGroup，通用组。通用组是由整个森林范围内的人或组织组成的新的组织，所以它的内涵必然是来自任何域的用户帐户或任何域的全局组。在森林中，一个域中的资源可以被来自其它域的用户访问，所以域的本地组的内涵也发生了变化，增加了来自其它域的人或组织，所以它的成员是来自森林中任何域的用户帐户，全局组和通用组。要注意其它域的本地组并不代表人，所以设计上域的本地组并不允许其它域的本地组作为它的成员。注意这是设计上的限制，并不是技术上无法达到。至于作用范围，森林中的人或组织可以使用森林中的任何资源，所以通用组和域的全局组的作用范围是任何域；而域的本地组的目的是域中的资源，所以作用范围也就局限在域中。MixMode是需要和WindowsNT4.0的域保持兼容的一种状态，所以只能支持到NT4.0可以实现的功能。NT4.0的域不支持UniversalGroup，不支持同类组的嵌套，即全局组包含全局组，本地组包含本地组，这些限制都体现在了MixMode的组的内涵中。最后，建议大家再回过头去仔细看看那张表格。组类型的转换在NativeMode的域中，可以转换现有的组的类型。但是只有两种转换方式：域全局组转为通用组只有当此全局组不是另一个全局组的成员是才能转换，因为转换后的通用组不能是其他全局组的成员域本地组转为通用组此域本地组中的成员中不能有其它的本地组，因为转换后的通用组不能有本地组作为它的成员我们可以看到转换的限制实际上就是转换后的目标组的条件限制。反过来，通用组也可以转换为域的全局组或本地组，其限制也是类似的。当然域的本地组和全局组之间不能转换。内置的组和特殊身份在Windows2000域建立的时候，同时系统也自动建立了一些缺省的组。这些组都有其特定的职能目标，并已经被赋予了在系统资源上的相应的权限。内置组为分别位于两个容器中，一个是Builtin，另一个是Users。位于Builtin容器中的组都是域本地组，包括：AccountOperators帐户操作员Administrators管理员BackupOperators备份操作员Guests来宾PrintOperators打印操作员Replicator复制器ServerOperators服务器操作员Users用户而在Users容器中建立的内置组都是域的全局组，包括：CertPublishers证书发行者DomainAdmins域管理器DomainComputers域计算机DomainControllers域控制器DomainGuests域来宾DomainUsers域用户EnterpriseAdmins企业管理员GroupPolicyCreatorOwners组策略管理员SchemaAdmins架构管理员这些组都已经明确的定义了各自的角色。DomainAdmins是Administrators组中的成员，DomainUsers是Users组中的成员，而DomainGuests是Guests组中的成员。一般情况下域中新建的用户帐户都自动成为DomainUsers的成员，而DomainAdmins或Administrators的成员具有和管理员相同的权限。关于系统内置组的相应权限的的详细说明，有一篇WhitePaper，名字叫DefaultAccessControlSettingsinWindows2000。你可以从TechNet中查到或访问/technet/win2000/win2ksrv/technote/secdefs.asp。另外还有几个特殊的身份，他们并没有像其他组一样有明确的定义，但是它们的行为和组类似，只不过它们的成员根据具体状况在不断地变化。这几个身份是：Everyone每个人代表所有当前的用户，包括来自其他域的用户。无论用户何时登录到网络上，它们都将被自动添加到Everyone组。Network网络代表当前通过网络访问资源的用户（不是通过从本地登录到资源所在的计算机来访问资源的用户）。无论用户何时通过网络访问的资源，它们都将自动添加到Network组。Interactive交互代表当前登录到特定计算机上并且访问该计算机上资源的所有用户（不是通过网络访问资源的用户）。无论用户何时访问当前登录的计算机上的资源，它们都被自动添加到Intera