Windows_server_域下全局组,本地域组,通用组之间的关系详解.docVIP

Windows server 2003域下全局组，本地域组，通用组之间的关系详解 WINDOWS SERVER 2003 组的简介： 定义： 组（Group）是用户帐号的集合。 作用： 通过向一组用户分配权限从而不必向每个用户分配权限，简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。 类型： 1）安全组，管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限，而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了，这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便，简化网络的维护和管理工作。 2）通讯组，只能用在电子邮件通讯。 提示：在windows server 2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。 ? 注意：一般情况下，管理Active Directory使用的都是安全组。安全组和通讯组在有些时候是可以互转的，这要取决于Active Directory中域的模式。 ? 组的作用域： 安全组下可创建3种作通知域组：如下图所示。 ? 注意：2K/2003安装之后，域的默认模式为：混合模式。（安装了windows server 2003域控后，域的模式为“windows 2000 混合模式“）则本地域组只能在本域的控制器DC 上使用。若域功能级别转成本机模式（或称为2K纯模式），或是03模式，本地域组才可在全域范围内使用。 1． 本地域组。（local domain group） Windows 2000 混合模式 用户范围：任何域中的用户帐户和全局组。森林中任何域中的用户帐户，全局组和通用组以及本地域中的本地域组。 可加入的组：不能是任何组成员，只能是本域中的本地域组。 作用范围： 只在其自己的域中可见。 权限范围： 只能在本地域组所在的本域中 MS建议的规则：基于资源（夹、打印机……）规划。 2． 全局组。（global group） Windows 2000 混合模式 用户范围： 本域中的所有用户。 可加入的组：林中所有任域的本地域组。 作用范围： 在本域和所有信任域中都是可见的。 ? 权限范围： 森林中所有的域。 ? MS建议的规则：基于组织结构、行政结构规划。 注意：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。以下例题为“混合模式”下： 例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。 例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。 3． 通用组（universal group） Windows 2000 混合模式。 用户范围：森林中任何域中的用户帐户。全局组和其他的通用组。 可加入的组：任何域中的本地域组和通用组。 作用范围： 在森林中的所有域中都是可见的。 权限范围： 整个林和所有的信任域。 通 用 组： 组的成员情况，记录在全局目录GC（全局编录）中，非常适于林中的跨域访问使用，集成了全局组和本地域组的优处。 注意：通用组和全局组的权限范围是相似的。那么通用组和全局组有什么差别之处呢？ 主要在于创建和查询性能方面有差别。以下是通用组不同处的详细说明： 1）? 通用组的创建。 如果域功能级别是windows 2000混合模式，则不能创建通用安全组。（如上图所示，选择组类型为安全组，则组作用域不能选择通用组）。如果要创建通用组，第一，就是先要提升域功能级别。域功能级别有3种：“windows 2000混合模式‘ “windows 2000纯模式和windows server 2003 。 当域功能级别从windows 2000 混合模式提升为windows 2000纯模式或windows server 2003. 这样就可以创建安全的通用组了。 2）? 通用组的全局身份在全局编录中。 在多域环境下，通用组的成员身份信息在全局编录中。而全局组成员身份存储在每个域中， 在多域环境下，通