Windows 2003 Active Diretory全攻略（五）--规划和建立组

简单来说，将组看成一个逻辑单位，它可以包含一组用户帐户或是其它的组，我们将权限指派给组后，任何加入这个组的对象都会拥有这个组具有的权限。

域内的组，和用户帐户一样，也具有一个独一无二的SID，这些能够被赋予权限的对象（帐户或组），我们称之为安全策略。注意一下：能够指派权限的组又称为安全组，另外还有一种不能指派权限的通讯组。

下面来认识下组作用域：不管是哪一个组都有其作用域，即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。

03一共有三种组作用域：

1、本地域：使用范围是本域的组，叫做本地域组。

本地域组可以包含三种成员：1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式，则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围，指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下：若组中包含其它的组（其它域区域、通用域通用组），称为组的嵌套。本地域组只限于访问同域的资源，无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组，然后再将全局组加入本地域组中。

下面再来区分一下本地组与本地域组：WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域，它们只有本地组（LOCAL GROUP）。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中，则本地组除了可包含本地用户帐户外，还可以包含：1同域的域用户帐户，2、同域的本地域组和整个林的全局组与通用组，但是一般我们都不会使用本地组，加入域后都使用权本地域组来进行管理域内的资源。

2、全局：指派权限时使用范围可涉及林，但只能够含同域的其它帐户或组。叫做全局组。全局组可包含两种成员：1、同域的用户帐户，2、若域功能等级设为WINSOWS2000纯粹模式或WINDOWS SERVER 2003模式，则可包含同域的其它全局组。

全局组的权限范围是整个林，也就是说，我们可以将A域资源的访问权限指派给B、C、D等域的全局组，但是在实际应用上，最好将全局组加入本地域组中而不要直接将权限指派给全局组。

应用：利用本地域组与全局组来管理单一域。其规划方式称为“AGDLP”。下面举个例子：把需要相同权限的用户帐户加入同一个通用组，如将产品部门的员工加入PRODUCTS，会计部门的员工加入ACCOUNTINGS全局组中。把全局组加入本地域中，将PRODUCTS和ACCOUNTSINGS加入PRINTERS这个本地域组中。将域内资源的访问权限指派给本地域组。比如将打印机的访问权限指派给PRINTERS本地域组，则PROUDUCTS与ACCOUNTINGS就可以使用打印机了。使用删除和加入都是权限分配与否，非常方便。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!