通用组、全局组、本的地域组的区别.docxVIP

通用组、全局组、本地域组的区别1、本地域组：多域用户访问单域资源（访问同一个域）??? 本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限。?2、全局组：?? 单域用户访问多域资源（必须是一个域里面的用户）??? 全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；3、通用组：?? 多域用户访问多域资源??? 通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；??? 当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。本地域组：可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。全局组：只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。比如：有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时，可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。注：A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域。本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的。打个比方，现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－外一篇：从组的使用范围来分，可以分为三种：全局组、本地域组和通用组。全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组，可以访问任何一个域内的资源。本地域组具有所属域的访问权限，以便访问本域的资源。本地域组的成员可以是同一个域的本地域组，也可以是任何域内的账户、全局组和通用组，他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源，通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。安装域控制器时，系统会自动生成一些组，称为内置组。这些组都定义了一些常用权限，通过将用户加入到这些内置组中，可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中，内置的全局组在“Users”组织单元中。1.内建组：?在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Builtin”文件夹，Windows2000建立了内建组。?Account Operators（账户操作员）：该组的成员能操作用户管理员所属域的账号和组，并可设置其权限。但是该组成员无法修改Administrators及Operato