研究「活动目录的对象」：从数据访问模型看权限管理

周末在家修电脑时，我突然想到邻居老张的网吧管理系统总出权限问题——收银员能改会员等级，清洁工账号居然能删数据库。这让我联想到企业里活动目录（Active Directory）的权限设计，就像小区的门禁卡系统，发错了权限可是要出乱子的。

活动目录里究竟装了哪些「居民」？

打开活动目录就像翻开一本社区住户花名册，里面住着五类主要「居民」：

• 用户账户：相当于住户身份证，记录着姓名、部门、电话号码等基本信息
• 计算机对象：像每户人家的智能门锁，记录着IP地址、操作系统版本、加域时间
• 安全组：类似业委会分组，把财务部、研发部等成员打包管理
• 组织单元（OU）：相当于小区里的楼栋划分，把华北分公司、华南分公司隔开管理
• 组策略对象（GPO）：就像贴在电梯里的物业管理规定，控制着密码复杂度、软件安装权限

用户对象里的隐藏彩蛋

上周帮客户做安全审计时，发现他们的用户账户里居然没填employeeID字段。这个看似不起眼的属性，在集成HR系统时可是关键钥匙。就像网购时忘记填收货地址，货到了才发现送不到。

对象类型	关键属性	常见坑点
用户账户	userPrincipalName	跨域登录失败
计算机对象	operatingSystemVersion	补丁管理遗漏
数据参考：Microsoft Active Directory Technical Guide

数据访问模型的三种「门禁方式」

去年给银行做架构优化时，他们的开发团队把生产数据库权限开给了所有测试人员。这让我想起活动目录里三种不同的门禁管理方式：

自主访问控制（DAC）

就像老式小区每家自己配钥匙，资源所有者可以随意授权。在AD中体现为：

• 文件服务器上的右键属性→共享设置
• 邮箱文件夹的访问权限分配

基于角色的访问控制（RBAC）

我们公司用的就是这套，把部门经理、项目组长等职位打包成角色。市场部新人小李入职当天，HR在AD里勾选「市场营销组」，自动获得：

• 共享盘/Marketing目录读写权限
• 彩色打印机使用配额
• CRM系统的客户查询模块

属性基访问控制（ABAC）

上个月实施的军工项目就用这个，像智能门禁会根据时间、设备类型动态调整权限。比如：

• 工作日8:00-18:00允许访问研发文档
• 仅限公司配发的加密笔记本访问财务系统
• 副总裁以上职级可远程访问董事会文件

模型类型	适用场景	维护成本
DAC	小型创业团队	低（但风险高）
RBAC	中大型企业	中等
数据来源：NIST Special Publication 800-162

实际部署中的七个「生存技巧」

上季度帮客户清理权限混乱问题时，我们总结了几条血泪经验：

• 在OU设计上采用「三明治结构」：地理区域→部门→项目组
• 给每个GPO加上「_[用途]_YYYYMMDD」的命名规范
• 定期运行Get-ADPermission脚本扫描异常授权

窗外的天色渐暗，电脑右下角弹出安全提醒：检测到3个未使用的服务账户。我抿了口凉掉的咖啡，开始检查这些账户的lastLogonTimestamp属性——又一个需要清理的权限死角。