登录
Microsoft.com
 
Microsoft
 
 
 

none
什么是Shadow Group? RRS feed

 > 

  • 问题

  • Question
    登录进行投票
    0
    登录进行投票

    看文档( Password Policy )时发现下面这段话,提到了一个叫做“shadow group”的概念:

    “To apply a fine-grained password policy to users of an OU, you can use a shadow group. A shadow group is a global security group that is logically mapped to an OU to enforce a fine-grained password policy.”

    只简单说了shadow group是一个对OU逻辑映射的安全组,没找到更详细的说明。那么,到底什么是shadow group,该怎么用法?


    2019年4月9日 9:10
    |

答案

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    谢谢你的提问。

    相必在你提供的链接中有讲到Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. 细粒度密码策略仅能运用到用户对象和全局安全组上,因此他是无法直接应用到OU组织单元上的,在这个时候如果你想要将特定的密码策略应用到OU上,就需要一个影子组了。

    影子组:影子组是包含组织单位下的对象的常规Active Directory组。由于影子组是常规组,因此可用于安全性。简而言之,就是说影子组就是一个可以包含OU下所有用户对象的安全组。

    举个例子,当你想要为某个文件夹分配权限时,你不能为OU分配权限,但是你可以通过包含该OU下的所有对象的影子组分配权限。

    该怎么用影子组?

    很简单,在ADUC上创建一个组,然后在包含用户的OU中,按Ctrl+A选中搜友用户,右键单击任何选中的用户,然后选择“添加到组”。键入组的名字,然后单击确定即可。

    但是windows并没有自动维护影子组成员的方法,即OU下用户增加减少,影子组成员并不会自动增加减少,需要手动或者通过三方工具或脚本进行信息动态维护。


    最好的祝福,

    Lee

    Just do it.

    • 已标记为答案 Stanley_L 2019年4月10日 3:49
    2019年4月10日 2:43
    |
    版主

全部回复

  • Question
    登录进行投票
    0
    登录进行投票

    你好,

    谢谢你的提问。

    相必在你提供的链接中有讲到Fine-grained password policies apply only to user objects (or inetOrgPerson objects if they are used instead of user objects) and global security groups. 细粒度密码策略仅能运用到用户对象和全局安全组上,因此他是无法直接应用到OU组织单元上的,在这个时候如果你想要将特定的密码策略应用到OU上,就需要一个影子组了。

    影子组:影子组是包含组织单位下的对象的常规Active Directory组。由于影子组是常规组,因此可用于安全性。简而言之,就是说影子组就是一个可以包含OU下所有用户对象的安全组。

    举个例子,当你想要为某个文件夹分配权限时,你不能为OU分配权限,但是你可以通过包含该OU下的所有对象的影子组分配权限。

    该怎么用影子组?

    很简单,在ADUC上创建一个组,然后在包含用户的OU中,按Ctrl+A选中搜友用户,右键单击任何选中的用户,然后选择“添加到组”。键入组的名字,然后单击确定即可。

    但是windows并没有自动维护影子组成员的方法,即OU下用户增加减少,影子组成员并不会自动增加减少,需要手动或者通过三方工具或脚本进行信息动态维护。


    最好的祝福,

    Lee

    Just do it.

    • 已标记为答案 Stanley_L 2019年4月10日 3:49
    2019年4月10日 2:43
    |
    版主
  • Question
    登录进行投票
    0
    登录进行投票

    Hi Lee,

    谢谢你的回答。

    也就是说,AD Shema里并不存在所谓“shadow group”这样一种类型的对象,它只是特指将OU成员加入到安全组的这种管理手段上的trick。我这样理解对吗?



    2019年4月10日 2:57
    |
  • Question
    登录进行投票
    0
    登录进行投票

    Hi,

    是的。我认为你的理解是正确的。

    以下是关于AD安全组的官方文档。

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn579255(v%3Dws.11)

    如果你想要使用shadow group, 建议你继续关注如何自动维护影子组成员。

    最好的祝福,

    Lee

    Just do it.

    2019年4月10日 3:18
    |
    版主