单组管理

通过ADManager Plus的单组管理功能，您可以管理单个Active Directory（AD）组，该功能支持以下操作：

• 创建单个组。
• 修改单个组。

单组创建

使用ADManager Plus可创建组、批量添加成员、配置各组的Exchange属性等。您还可选择在CSV文件中填写必要的成员属性详情，并一次性导入该文件。

创建单个组的步骤

1. 登录ADManager Plus。
2. 导航至管理 > 组管理 > 组创建 下的创建单个组 。
3. 在打开的创建单个组页面中，从"所选域"下拉框中选择要创建组的域。
4. 在“所选模板”下拉 框中，选择创建组时要应用的模板，或使用 创建新模板 选项创建新模板。默认情况下将选择系统模板选项 。
5. 点击"复制组属性"按钮可复制 现有组的属性并应用于新建组。
6. 选择域和模板后，请继续填写常规、组、Exchange 和 自定义属性选项卡中的 信息。
7. 在 常规选项卡下 ：
   • 输入组名称。输入后，相同值将自动填入"Windows 2000 之前组名称"和"显示名称"字段。如需修改，可编辑这些字段。
   • 在描述字段中可添加组的简要说明。
   • 在电子邮件字段中，输入用于访问该组的电子邮件地址。
   • 若需更改组创建容器，请点击"选择容器"选项中的加号，选择合适的容器。
   • 勾选"防止意外删除对象 "复选框 可避免对象被 误删。

     例如：若 误选整个OU而非单个用户，启用此选项可防止OU被删除。

   • 根据需求选择组类型和 组作用域。
   • 如有必要，可添加备注。
8. 在“组”选项卡下：
   • 可选择两种成员资格类型：
     • 直接成员资格：通过导入包含必要组属性的CSV文件添加成员，或逐个选择成员后点击确定。添加成员后，可灵活设置其组成员资格的有效期。
     • 动态成员资格：不同于传统AD组，动态成员资格基于规则配置。组成员将根据您设定的规则自动更新。
   • 使用"所属组"选项将本组添加至任意可用组。
   • 使用“由...管理”选项指定组的管理员。
   • 勾选"管理员可更新成员"复选框，即可授予管理员向组添加或移除用户的权限。
9. 在“Exchange”选项卡下：
   • 默认选择“无邮件”选项。
   • 若需创建带邮箱的组，请选择“启用邮件”并按以下步骤操作：
     • 在常规部分为组创建Exchange邮箱地址。操作前请确保域已在Exchange服务器中完成配置。
       • 在别名字段中输入群组的电子邮件别名。
       • 从下拉菜单中选择相应的关联管理组。
       • 在“简明显示名称”字段中输入组的显示名称。
       • 若需将该组隐藏于Exchange地址列表，请勾选"从Exchange地址列表中隐藏"复选框。
     • 在“电子邮件地址”部分，可通过“附加电子邮件地址”字段中的加号图标按需添加更多电子邮件地址。若需根据Exchange中定义的电子邮件策略更新地址，请勾选“基于电子邮件策略自动更新地址”框。
     • 在“投递限制”部分：
       • 通过"接收消息大小"选项设置邮件大小限制。
       • 通过"接受消息"选项配置组可接收消息的发件人列表。
       • 对于"拒绝来自"选项，默认选择"无发件人"。如需限制特定用户向该组发送邮件，请勾选"来自下列列表的发件人"选项后添加发件人列表。
       • 若需确保用户仅接收来自域认证用户的邮件，请勾选"要求所有发件人经过身份验证"复选框。
       • 在"以他人名义发送"部分，通过点击"授予此权限给"字段中的加号按钮添加用户，即可授予其代表其他用户发送消息的委托权限。
10. 在“自定义属性”选项卡中：
    • 为正在创建的组配置或添加额外的LDAP属性。通过"添加附加属性"选项创建的属性为临时属性。若需创建永久性LDAP属性，请使用"配置自定义属性"功能。
    • 在自定义脚本部分，勾选"在成功创建组时运行自定义脚本"复选框，以便在组创建完成后执行指定操作。勾选"忽略警告"复选框可跳过所有警告提示。
11. 最后点击创建，即可在您的AD中创建新组。

单组修改

ADManager Plus的单组修改功能可轻松实现对AD中任意组的预期变更。当组织需求和策略发生变化时，您需要及时更新AD中的组配置以保持一致。

通过"修改单个组"功能，您可执行以下操作：

• 重命名组。
• 根据需求更改组类型和作用域。
• 将组从一个组织单位移动到另一个组织单位。
• 添加来自多个域（跨域支持）的用户和联系人作为组成员。
• 添加或更新组的自定义属性。
• 更新群组成员资格详情，例如将群组添加至其他群组或从其他群组移除。
• 指定Exchange投递限制、添加额外电子邮件地址等。

此外，所有修改操作均可一次性完成。通过模板修改组为管理员提供了更严密、更便捷的AD组变更管控机制，具体包括：

• 自定义模板以仅包含特定属性集。同时支持将任意属性设置为隐藏、只读或可编辑状态。
• 根据其他属性的变更情况，主动（后台）更新特定属性。

修改AD组的步骤

1. 登录ADManager Plus。
2. 导航至管理 > 组管理 > 组修改 > 修改单个组。
3. 在"修改单个组"页面，从"域"下拉框中选择待修改组所在的域。系统将显示该域下所有组的列表，也可通过搜索功能定位目标组。
4. 定位目标组后，点击该组"操作"列中的"修改组"按钮
5. 在弹出的"修改组属性"窗口中，从"选定模板"选项中选择合适的组修改模板。若无需使用特定模板，可直接使用默认模板继续操作，或点击"创建新模板"按钮 在此创建新模板。
6. 在所需选项卡（如 常规、组、Exchange 和 自定义属性 ） 中输入所有必需属性的值。若需配置组选项卡中成员的时间基准组成员身份，请参阅此处。
7. 点击预览可显示所有待修改字段的列表，包含其当前值与新值。
8. 如需继续修改，请点击右上角的 返回按钮 回到"修改组属性"页面。
9. 完成所有修改后，点击“更新组”按钮将变更保存至AD组。

注意：

即时访问管理

在创建或修改新组时，技术人员可通过" 恢复时长"选项配置用户、计算机或任何AD对象的组成员资格有效期，确保即时访问权限的授予。技术人员所做的变更将在" 委派"选项卡中的审计报表中记录。超过指定时长后，该成员的组成员资格将被撤销。 组成员时长可设置为小时、天数或永久有效。此外，管理员可确保组权限作为组织访问认证体系 的一部分得到妥善管理。

使用前提

在创建或修改单个组时使用此功能，请确保：

• 您的Active Directory林功能级别需达到Windows Server 2016或更高版本。
• 域中已启用特权访问管理功能。

可通过以下 PowerShell 命令启用特权访问管理功能：

Enable-ADOptionalFeature "Privileged Access Management Feature" -Scope ForestOrConfigurationSet -Target <Forest-Root-domain>

需特别注意：一旦启用 特权访问管理 功能启用后，将无法将其禁用。