Active Directory 的組範圍和群組類型

 

轉載：http://hi.baidu.com/chin/blog/item/543ce5dd3eea79ef77c63862.html

              

             

 

在Active Directory中組分為兩類：安全性群組和通訊群組。安全性群組是給共用資源指派許可權的，通訊群組沒有安全方面的功能，基本只應用於電子郵件程式中，所以通訊群組不多作介紹，下面將著重分析Active Directory中的安全性群組的範圍及其功能。 組一般都有自己的範圍的，用來確定樹或林中該組的應用範圍。在Active Directory中有三種不同的組的範圍：通用，全域和本地區。相對應的就劃分為三種不同的組即萬用群組，全域群組和網域本機群組（在windows2003以前是沒有通用範圍的，這裡所介紹的是以windows server 2003為基礎的）。 萬用群組：是一種集全域群組和網域本機群組優點於一身的組，可以包含森林中任何的帳戶，全域群組和萬用群組，不能隸屬於全域群組，當只有在win2000原生模式或以上時才能被建立。 全域群組：可以在林中任意使用，體現的是全域性，也就是說可以利用全域群組授予訪問任何域上的資源的許可權，但其成員只能是相同域的帳戶和全域群組（在win2000原生模式或以上），在混合模式時成員只能是相同域的帳戶。 網域本機群組：通常情況下用於授予在本域資源的存取權限，成員包含林中的帳戶，全域群組，萬用群組（在混合模式下沒有萬用群組）。 具體的環境中怎樣使用這三個組呢？ 先來說說這三個組的特點： 萬用群組的主要作用是用來合并跨越不同域的組，由於萬用群組萬用群組儲存在全域編錄 (GC) 中，因此對萬用群組的修改都會複製到全域編錄中，當一個萬用群組頻繁的修改的時候，無形之中就增加了網路的開銷，因此一個設計優秀的網路中的萬用群組一定是不經常變更的。所以將帳戶添加到具有全域範圍的組並且將這些組嵌套在具有通用範圍的組內。這樣當人員頻繁的發生變動時，也只是修改全域群組，而萬用群組依然不動。 全域群組是屬於本域的，它的修改不在自身域外複製，所以全域群組允許內部頻繁的修改（添加刪除使用者等等），雖然可以利用全域群組授予訪問任何域上的資源的許可權，但一般不直接用它來進行許可權管理。 網域本機群組可被添加到其他本地區組並且僅在相同域中指派許可權，因此網域本機群組就被完全限制了在本域內，所以對於一個多域的環境，由於其它域不能評估本地區組，因此不應該用網域本機群組來為Active Directory中的對象分配許可權。正是因為這一特點，使它只能夠分配資源，因為資源不具有流動性（一個域中的印表機不可能跑到另一個域中）。  基於以上三個組的特點我們可以很明確的給出幾個原則： A→G←P   整個林中只有一個域和非常少的使用者，並且不準備其它的網域加入到林中 A→DL←P   整個林中只有一個域和非常少的使用者，並且不準備其它的網域加入到林中，且域中沒有NT4.0的成員伺服器 A→G→DL←P   整個林中包含一個或多個域，並且將來也需要添加域 A→G→U→DL←P    林中有多個需要管理員集中管理全域群組的域 A→G→L←P   將NT4.0升級到win2003 A (account):使用者帳戶 G (Global group):全域群組 DL (Domain local group):網域本機群組 L  (local group):本機群組 P (Permission):許可 因此可以說全域群組的主要作用是基於組織圖、行政結構規劃；網域本機群組的作用是基於資源規劃。而萬用群組的主要作用是讓組織圖、行政結構與資源規劃連通的一個組。用一句俗語可以很好的說明：“人以群分，物以類聚”。全域群組用來劃分人，網域本機群組用來劃分資源也就是物，萬用群組把人與資源集合起來。