第4章_Windows_server_2003管理用户、组要点.pptVIP

（1）全局组的成员是对网络具有相同访问权限的用户。全局组的作用范围是整个域树，因此，全局组可以在属于同一个域树的域中被赋予权限。全局组的成员只能来自于定义该组的本域中的其他组和账户。全局组可以成为其他组的成员，这些组可以是和该全局组是同一个域或是不同的域。由于全局组可以在不同的域中存在，因此，全局组中的成员可以访问其他域中的资源。 （2）本地域组的作用范围只是在创建此本地域组的本域内，因此只能在域内指派权限。成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户，本地域组具有开放的成员资格，即可以接受任何一种账户成为该组的成员，这些账户可以是同一个域中的其他本地组（必须在本机模式中）、域树中的任何域用户账户、域树中的任何域的全局组、域树中的任何域的通用组（必须在本机模式中）。但是本地域组不能成为其他任何组的成员。 （3）通用组可在该域树或域森林中的任何域中指派权限。其成员可包括域树或域森林中任何域中的其他组和账户，但只有当域处于本机模式时，才能创建具有通用组的安全组。 创建新组时，在默认情况下，新组被设置为具有全局作用域的安全组，而与当前域功能级别无关。尽管在域功能级别为Windows 2000混合模式中不允许更改组作用域，但在其域功能级别为Windows 2000纯模式和Windows Server 2003模式中