Windows 2003 Active Diretory全攻略（五）--規劃和建立組

簡單來說，將組看成一個邏輯單位，它可以包含一組使用者帳戶或是其它的組，我們將許可權指派給組後，任何加入這個組的對象都會擁有這個組具有的許可權。

域內的組，和使用者帳戶一樣，也具有一個獨一無二的SID，這些能夠被賦予許可權的對象（帳戶或組），我們稱之為安全性原則。注意一下：能夠指派許可權的組又稱為安全性群組，另外還有一種不能指派許可權的通訊群組。

下面來認識下組範圍：不管是哪一個組都有其範圍，即是指派這個組的“使用範圍”。1、它能夠用於指派位於域或林資源的許可權。2、能夠放在域或林的其它組之中。3、能夠包含來自域或林的使用者和組。

03一共有三種組範圍：

1、本地區：使用範圍是本域的組，叫做本地區組。

本地區組可以包含三種成員：1任何域的使用者帳戶。2任何域的全域群組。3、如果功能等級設為WINDOWS2003純粹模式或WINDOWS SERVER2003模式，則還可以包含任何域的萬用群組和同域的本地區組。這可能與上定義的本地區組有些混淆。上面指的是使用範圍，指的是許可權範圍只限於同域內的資源。也即是他們只能夠享受本地哉的資源。注意一下：若組中包含其它的組（其它域地區、通用域萬用群組），稱為組的嵌套。本地區組只限於訪問同域的資源，無法訪問其它域的資源。實際應用中我們會把隸屬同一部門的使用者組織成全域群組，然後再將全域群組加入本地區組中。

下面再來區分一下本機群組與本地區組：WIN2000/XP和網域控制站外的獨立伺服器或者成員伺服器都不會有組範圍，它們只有本機群組（LOCAL GROUP）。其許可權範圍只限於本機電腦。只有原生資源能夠指派給本機群組。若用戶端與獨立伺服器加入域中，則本機群組除了可包含本機使用者帳戶外，還可以包含：1同域的域使用者帳戶，2、同域的本地區組和整個林的全域群組與萬用群組，但是一般我們都不會使用本機群組，加入域後都使用權本地區組來進行管理域內的資源。

2、全域：指派許可權時使用範圍可涉及林，但只能夠含同域的其它帳戶或組。叫做全域群組。全域群組可包含兩種成員：1、同域的使用者帳戶，2、若域功能等級設為WINSOWS2000純粹模式或WINDOWS SERVER 2003模式，則可包含同域的其它全域群組。

全域群組的許可權範圍是整個林，也就是說，我們可以將A域資源的存取權限指派給B、C、D等域的全域群組，但是在實際應用上，最好將全域群組加入本地區組中而不要直接將許可權指派給全域群組。

應用：利用本地區組與全域群組來管理單一域。其規劃方式稱為“AGDLP”。下面舉個例子：把需要相同許可權的使用者帳戶加入同一個萬用群組，如將產品部門的員工加入PRODUCTS，會計部門的員工加入ACCOUNTINGS全域群組中。把全域群組加入本地區中，將PRODUCTS和ACCOUNTSINGS加入PRINTERS這個本地區組中。將域內資源的存取權限指派給本地區組。比如將印表機的存取權限指派給PRINTERS本地區組，則PROUDUCTS與ACCOUNTINGS就可以使用印表機了。使用刪除和加入都是許可權分配與否，非常方便。