关键词: win2000 Server,共享权限管理,Active Directory
概述
基于win2000的文件夹共享对于满足相对简单的企业应用仍然是一种很好的知识管理解决方案。即便是对于存在知识管理系统的企业,也可以作为知识管理系统的一种补充。Win2000的文件共享管理因其易用性而在企业中仍然广泛存在。
但是,随着企业的发展,其组织结构的变化以及多变的用户需求,对其管理方式也需要其有一定的灵活性和拓展性。
正如我们现有的目录权限结构及权限的分配方案已经不能满足需求,针对用户需求,让权限的管理混乱,为了使权限管理更清晰,更有效,针对Active Directory的用户及组的组织关系和组不同属性之间的关系进行了分析和研究,从而制定了满足现有需求,并可进行拓展的权限分配管理方案。
基本概念
1、组类型
组类型分为:安全组和分布式组
安全组:列于定义资源和对象权限的选择性访问控制表中(DACL)中。安全组也可用作电子邮件实体。向组发送电子邮件的同时会将邮件发给组的所有成员。
分布式组:即通讯组,不能承载权限的分配,不采用安全机制。
2、组作用域:分为本地作用域,全局,通用
本地域:具有域本地作用域的组可将其成员作为来自 Windows 2000 或 Windows NT 域的组和帐户,并且可用于仅在域中授予权限。具有域本地作用域的组称作域本地组。
全局:有全局作用域的组可将其成员作为仅来自组所定义的域的组和帐户,并且在树林的任何域中都可获得权限。有全局作用域的组称作全局组。
通用:有通用作用域的组可将其成员作为来自域树或树林中任何 Windows 2000 域的组和帐户,并且在域树或树林的任何域中都可获得权限。有通用作用域的组称为通用组。
3、本机模式,混合模式
本机模式:完全基于win2000及其以上版本的模式
混合模式:兼容win2000以下版本的管理模式
4、嵌套组
通过使用嵌套,可将组添加为另一个组的成员。您可以嵌套组,以便通过增加受影响的成员帐户来加强组的管理,并减少由于复制组成员身份的更改而引起的复制通信量。
您的嵌套选项取决于域是否处于本机模式或混合模式。
本机模式域中的组或混合模式域中的通讯组按如下情况确定其成员身份:
具有通用作用域的组可将以下组或帐户作为它的成员:帐户、计算机帐户、有通用作用域的其他组以及来自任何域的具有全局作用域的组。
具有全局作用域的组可将以下组或帐户作为它的成员:来自相同域的帐户和来自相同域的具有全局作用域的其他组。
具有域本地作用域的组可将以下组或帐户作为它的成员:所有来自任何域的帐户、具有通用作用域的组以及具有全局作用域的组。它们也可将来自相同域内具有域本地作用域的其他组作为其成员。
混合模式域中的安全组限于下列成员身份类型:
具有全局作用域的组只将帐户作为其成员。
具有域本地作用域的组把具有全局作用域的其他组和帐户作为其成员。
安全组和通讯组均可具有通用作用域。允许整组嵌套。
只有通讯组才能有通用作用域。
对于安全组,组嵌套限于具有域本地作用域的组,该组将其成员作为有全局作用域的组(Windows NT 4.0 规则)。对于通讯组,允许整组嵌套。
组可在安全组和通讯组之间自由转换。有全局或域本地作用域的组可转换为具有通用作用域的组。 不允许组转换。
在本机模式和混合模式域中,所有的组都可以将联系人以及帐户作为其成员。
由于只有 Windows 2000 本机模式域中支持通用域,所以不能在混合模式域中创建具有通用作用域的安全组。
混合模式环境测试
根据组嵌套理论,我们在不同模式下进行验证,以给出清晰的思路,从而确定不同模式下的权限管理分配方式。
由于用户与组之间的关系相对简单清晰,所以本次测试主要针对组之间关系进行的分析。
1、 用户组建立
根据组作用域和组类型进行匹配分组,分别建立以下用户组:
组作用域
组类型
组名
本地域
全局
通用
安全式
分布式
G1
A
A
G2
A
A
G3
A
A
G4
A
A
G5
A
A
2、测试结果
组名
可包含
可属于
G1
user
G2 ,3,4,5
G2
User,G1 ,3,4
G 5
G3
User,G1,3,4
G2,3,4
G4
User,G1,4
G2,3,4,5
G5
User,G1,2 ,3,4,5
G5
本地文件夹
User,G1,2
3、 测试结论:
User,G1,G2可以作为文件夹权限授权单位,并且其组嵌套关系相对简单。
G3,G4,G5属于通讯组,不能用于权限管理。
本地模式测试
由于用户与组之间的关系相对简单清晰,所以本次测试主要针对组之间关系进行的分析。
1、用户组建立
根据组作用域和组类型进行匹配分组,分别建立以下用户组:
组作用域
组类型
组名
本地域
全局
通用
安全式
分布式
G0
A
A
G1
A
A
G2
A
A
G3
A
A
G4
A
A
G5
A
A
2、测试结果
组名
可包含
可属于
G0
User,G0,1 ,3,4
G0,2 ,3,5
G1
User,G1 ,4
G0,1,2 ,3,4,5
G2
User,G0,1,2 ,3,4
G2 ,5
G3
User,G0,1,3,4
G0,2,3,5
G4
User,G1,4
G0,1,2,3,4,5
G5
User,G0,1,2,3,4,5
G2,5
本地文件夹
User,G0,1,2
3、 测试结论:
User,G0,G1,G2可以作为文件夹权限授权单位,并且支持复杂的嵌套关系。
G3,G4,G5属于通讯组,不能用于权限管理。
组如何影响网络性能
用户登录到 Windows 2000 网络时,Windows 2000 域控制器决定用户属于哪个组。Windows 2000 创建安全令牌并将其指派给用户。安全令牌列出了用户帐户 ID 和用户所属的所有安全组的安全 ID。组成员身份可能影响网络性能,由于:
1、登录的影响
建立安全令牌需要时间,所以用户所属的安全组越多,生成这个用户安全令牌的时间越长,并且该用户登录到网络的时间也越长。造成这一影响的程度将随着网络带宽以及处理登录过程的域控制器的配置而变化。
有时,您可能想创建只用于电子邮件的组,并不准备使用该组将权利和权限指派给它的成员。为提高登录性能,可创建类似通讯组的组而非安全组。因为 Windows 2000 在登录过程中生成用户安全令牌时忽略了通讯组,所以这将减少令牌的大小以及生成令牌所需的时间。
2、通用组复制
对存储在全局编录中的数据的更改将复制到树林的每个全局编录中。有通用作用域的组及其成员列在全局编录中。有通用作用域的组的一个成员更改时,整个组成员身份都必须复制到域树或树林中的所有全局编录中。
具有全局或域本地作用域的组也列在全局编录中,但未列出其成员。这将会减小全局编录的大小,并且明显减少需要随时更新全局编录的复制通信量。可通过为经常更改的目录对象使用具有全局或域本地作用域的组来提高网络性能。
3、网络带宽
每个用户的安全令牌都被发送到用户访问的每台计算机,以使目标计算机能够对照该计算机上所有资源的权限列表比较包含在令牌内的所有安全 ID,从而决定用户在该计算机上是否有相应的权利或权限。目标计算机还检查令牌中的任何安全 ID 是否属于目标计算机上的任何本地组。
用户所属的组越多,其安全令牌就越大。如果您的网络有大量用户,这些大型安全令牌对网络带宽和域控制器处理能力的影响非常明显。
例如,假设某个域包含 500 个文件共享资源,每一个都对带有域本地作用域的组进行相应的指派,用于授予读访问权限。如果大多数用户都有访问多数共享资源的读权限,那么大多数雇员都将有大约 500 个组安全 ID 添加到它们的令牌中。这可能需要大量时间并且导致网络上增加了大量数据流量。
权限管理方案
根据以上测试结果确定了两种基本的解决方案,并根据性能因素和满足需求,以及可拓展的情况进行了分析:
A方案:基于混合模式
1、 User用户信息
2、 G1作为最底层组织单位,并承担按基础组的分配任务。
3、 G2作为最高层的组织单位,并承担按最高级的分配任务。
4、 通过G2包含G1来实现权限的整体授权。
方案说明:此方案基于简单的部门组织结构,并且相对稳定,不适合拓展G1,G2位置权限不能变更。
优点:兼容Win2000以前版本,结构简单。相对性能高。
缺点:结构灵活性不足,并且不便于扩展。
B方案:基于本机模式
1、 User用户信息
2、 考虑到系统性能的影响,选择G1,G2中任一个,并基于此建立权限分组关系。
3、 建立GF(文件夹的权限组),负责文件夹权限分配。
4、 建立用户组,并实现组继承及各种关系。
5、 将拥有文件夹权限的用户分配到GF中。
方案说明:建立针对文件夹的权限授权Group,将用户及组授权到GF,GF分配到文件夹。
优点:
1、 权限分配灵活,便于各种关系的继承和组关系的组织
2、 便于权限管理,权限读与读写权限分开,管理更加清晰
3、 便于文件夹的移动
缺点:
1、需要专门针对文件夹建立Group。
2、域中不能存在win2000以下的域控制器
3、由于安全组的增加,用户登录的是验证时间增长,并且网络的通信量也相应增加。
命名规则
名称
含义
DED研发管理处
处命名
DED研发管理Team
Team命名
DED台式研发部
部门命名
测试环境
操作系统:Win2000 server pack4
域环境:单域环境
参考资料
Window 2000 server Active Directory帮助手册
作者信箱:spng@163.com
