#原创分享#通过安全组属性过滤微软AD域用户做认证

首先我简单粗暴的说一下微软AD域上OU和安全组的区别：

OU类似于一个容器，域控上用户、安全组等等东东都是存放在这个容器里的，而且一个用户只能属于一个OU；

安全组类似于一个标签属性，是粘在用户身上的一个标签，一个用户可以有多个这样的标签，也就是说一个用户可以属于多个安全组。

上图是通过LDAP浏览器查看一个大型企业的组织结构，那么比如这个客户域上面有100个OU，每个OU中有100用户。需要拨入SSL-VPN的用户都分散在这100个OU里面，我们如果只是把所有域上的用户都导入到设备上就无法满足需求，而且很难大批量配置用户vpn接入权限。

这时候我们就可以借助于安全组的概念，让客户在域控上建立“VPN“接入安全组，并让所有需要有VPN权限的用户都加入这个安全组。这个操作对于域控来说很简单，并且也不需要改变组织结构。

然后我们配置LDAP认证服务器，搜索入口可以选到最大，因为我们后续会通过安全组属性过滤用户。

这样我们就只导入了带有指定安全组属性的用户到了SSL设备上。

后续也可以让客户在域控上根据权限创建多个安全组，让相应的用户加入。然后我们通过配置多个LDAP认证服务器根据不同安全组属性来过滤用户到SSL设备上的不同本地组，即可实现用户VPN接入后的权限分配。比如果域控上创建安全组A，我们就可以通过安全组A属性将用户过滤同步到vpn设备本地的组a，同理域控上创建安全组B，我们再通过安全组B将用户同步到vpn设备本地的组b，然后在设备上对a和b组分配不同的资源权限。

配置以后VPN权限问题就可以交给域控方面维护，分配权限只需要在域控上将用户加入到不同的安全组中即可，我们就不需要要去调整VPN设备了，因为设备都是根据不同安全组导入的用户。

感谢楼主的分享，将OU和安全组讲解得通俗易懂，一个用户只能属于一个OU，但是一个用户可以属于多个安全组，另外还提出了如果OU非常多的时候，可以通过安全组过滤的方式巧妙地导入用户到本地，非常值得学习，期待楼主下次分享:感恩:

感谢楼主带来的干货分享，已将文章收录并放到社区技术博客中，以便让更多的用户关注和学习！

社区有奖征文活动【原创分享计划】已开启，赶快投稿，领S豆和现金包！具体内容要求和奖励规则请参考：
http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=120679

感谢分享

感谢楼主的分享，将OU和安全组讲解得通俗易懂，一个用户只能属于一个OU，但是一个用户可以属于多个安全组，另外还提出了如果OU非常多的时候，可以通过安全组过滤的方式巧妙地导入用户到本地，非常值得学习，期待楼主下次分享

感谢楼主的分享，将OU和安全组讲解得通俗易懂，一个用户只能属于一个OU，但是一个用户可以属于多个安全组，另外还提出了如果OU非常多的时候，可以通过安全组过滤的方式巧妙地导入用户到本地，非常值得学习，期待楼主下次分享