2022年通用组、全局组、本地域组的区别推荐 .pdf

通用组、全局组、本地域组的区别1、本地域组：多域用户访问单域资源（访问同一个域）本地域组的成员可包括Windows Server2003、Windows 2000或 WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限。2、全局组：单域用户访问多域资源（必须是一个域里面的用户）全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；3、通用组：多域用户访问多域资源通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。本地域组：可以从任何域添加用户账户、通用组和全局组。 域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。全局组：只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中 （注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。通用组： 通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。比如：有两个域， A 和 B，A 中的 5 个财务人员和B 中的 3 个财务人员都需要访问B 中的“FINA”文件夹。这时，可以在B 中建一个DL，因为 DL 的成员可以来自所有的域，然后把这 8 个人都加入这个DL，并把 FINA 的访问权赋给DL。这样做的坏处是什么呢？因为DL是在 B 域中，所以管理权也在B 域，如果 A 域中的 5 个人变成6 个人，那只能A 域管理员通知 B 域管理员，将DL 的成员做一下修改，B 域的管理员太累了。这时候，我们改变一下，在A 和 B 域中都各建立一个全局组（G），然后在B 域中建立一个 DL，把这两个G 都加入 B 域中的 DL 中，然后把FINA 的访问权赋给DL。哈哈，这下两个 G 组都有权访问FINA 文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G 分布在 A 和 B 域中，也就是 A 和 B 的管理员都可以自己管理自己的G 啦，只要把那5 个人和名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 16 页 - - - - - - - - - 3 个人加入G 中，就可以了！ 以后有任何修改，都可以自己做了，不用麻烦 B 域的管理员！这就是 A-G-DL-P 。注：A 表示用户账号， G 表示全局组， U 表示通用组， DL 表示域本地组， P 表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域。本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的。打个比方，现在有两个域domainA,domainB,用户 UseA,UseB. 在 DomainA 上有一个文件夹 Resource.UseB属于 domainB, 他想访问 Resource. 这个时候就应该先在domainB 上建一个全局组GlobalB, 然后将 UseB 加入 GlobalB, 然后到Domain 域中建立一个域本地组LocalA, 将全局组 GlobalB 加入域本地组LocalA, 再针对域本地组 LocalA 授权对 Resource的访问权限。外一篇：从组的使用范围来分，可以分为三种：全局组、本地域组和通用组。全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组，可以访问任何一个域内的资源。本地域组具有所属域的访问权限，以便访问本域的资源。本地域组的成员可以是同一个域的本地域组，也可以是任何域内的账户、全局组和通用组，他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源，通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。安装域控制器时，系统会自动生成一些组，称为内置组。这些组都定义了一些常用权限，通过将用户加入到这些内置组中，可使用户获得相应的权限。“Active Directory 用户和计算机”控制台的 “Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中，内置的全局组在“Users”组织单元中。1.内建组：在“Active Directory 用户及计算机 ” 的管理工具中，点树状目录下的“Builtin”文件夹，Windows2000建立了内建组。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 16 页 - - - - - - - - - Account Operators（账户操作员）：该组的成员能操作用户管理员所属域的账号和组，并可设置其权限。但是该组成员无法修改Administrators及 Operators组及权限。Administrators（管理员）：该组的成员可以完全不受限制地存取计算机/域的资源，是最具权力的一个组。通常，Administrators账户与 Domain Admins组都是它的成员。Backup Operators：该组的成员可使用Windows备份工具来进行备份/还原工作。Guests ：该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常，Guest账户与 Domain Guest都是该组的成员。Printer Operators： 该组的成员可以管理网络打印机，包括建立、 管理以及删除网络打印机。Replicator ：该组的成员支持域中的文件复写，可启动目录复制程序进行目录复制。Server Operators：该组的成员可以管理域服务器，包括：建立/管理 /删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。Users ： 该组的成员只可以执行得到授权的应用程序，而且不可执行大部分的继承应用程序。2.通用组：在“Active Directory 用户及计算机 ” 的管理工具中，点树状目录下的“Users”文件夹，Windows2000建立了内建的通用组来组织不同状态的用户账户（一般用户、 Administrators以及 Guests ）。Domain Admins：该组可以代表具有操作域权力的用户，通常，Domain Admins会属于Administrators组，因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中，而内建的Administrator账户是其唯一的成员。因此，如果您希望某一用户成为域系统管理器，则我们建议您将该用户加至Domain Admins组中，而不要直接加至Administrators组中。Domain Guests：所有域来宾，Windows2000会自动将 Guest 用户账户加至该组，并将该组加至内建域Guests 组中。Domain Users ： 所有域的成员， 在预设的情况下， 任何我们所建立的用户账户都会是Domain Users 组的成员， 而任何所建立的计算机账户都会是Domain Computers组成员。 因此如果我们想要让所有的账户都具有某种资源存取权限，则可以将该权限指定给Domain Users组或让 Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域 Users 组的成员。转其他论坛贴：（作者:tonybb ）上课了，这节课讲，域本地组（DL）和全局组（G）。请记好：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 16 页 - - - - - - - - - 域本地组：成员范围：所有的域使用范围：自己所在的域全局组：成员范围：自己所在的域使用范围：所有的域假设，你有两个域，A 和 B，A 中的 5 个财务人员和B 中的 3 个财务人员都需要访问B 中的“FINA”文件夹，这时，你可以在B 中建一个 DL，因为 DL 的成员可以来自所有的域，然后把这 8 个人都加入这个DL，并把 FINA 的访问权赋给DL。这样做的坏处是什么呢？因为DL 是在 B 域中，所以管理权也在B 域，如果A 域中的 5 个人变成6 个人，那只能A 域管理员通知 B 域管理员，将DL 的成员做一下修改，B 域的管理员太累了。这时候，我们改变一下，在A 和 B 域中都各建立一个全局组（G），然后在B 域中建立一个 DL，把这两个G 都加入 B 域中的 DL 中，然后把FINA 的访问权赋给DL。哈哈，这下两个 G 组都有权访问FINA 文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G 分布在 A 和 B 域中，也就是 A 和 B 的管理员都可以自己管理自己的G 啦，只要把那5 个人和3 个人加入G 中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B 域的管理员啦！这就是 AGDLP 。下课了！组的类型1、安全组：安全组主要是用来设置权限用的。2、分布式组：是用在与安全无关的任务上。可以将email 发到某个分布式组，但不能设置分布组的基本权限。分布式组只能用在活动目录中。 组的使用领域组的使用领域，win2000server域内的组分为以下三个组。a、全局组b、本地域组c、通用组全局组：1、全局组的含义：是用来组织用户，也就是可以将多个权限想念的用户帐户加入到同一个全局内。2、全局组的特征：a、全局组的成员，只能够包含该组所属的域内的用户与全局组。b。全局组可以访问任何一个域内的资源。本地域组：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 16 页 - - - - - - - - - 1、本地域组的含义：本地域组，主要是被用来指派其所在域内的访问权限。以便可以访问该域内的资源2、本地域组的特征：a、成员：包含任何一个域内用户帐户、通用组、全局组，可以包含同一个域内的本地域组，但不包含其他域内的本地域组。b、本地域组只能访问同一个域内的资源。通用组：1、通用组的含义：是被用来指派在所有域内的访问权限，以便可以访问每一个域内资源。2、通用组的特点：a、成员：能够包含任何一个域内的用户帐户、通用组、全局组，但不能任何一个域内本地域组。b、通用组可以访问任何一个域内的资源。注：只有本机模式才有通用组的存在；另外也只有在本机模式下，全局组内的成员才可以饮食另一个全局组。 更改域的模式win2000域模式分为混合模式与本机模式两种。混合模式：1、含义： win2000 域被默认为混合模式，域控制器可以包括winnt 计算机。2、混合模式的特征：a、不支持通用性。b、只有本地域组可以包含全局组，而且是单一层次的嵌套；不支持其他嵌套。二、本地域组：1、含义：所有的域控制都必须是win2000 的计算机。 winnt 可以是成员服务器。2、特征： a、支持所有的组。b、支持所有的组的嵌套功能。而且是支持多层嵌套功能。三、更改域的模式：1、 开始 程序 管理工具 活动目录用户和计算机 单击域名 鼠标右键） 属性。2、“ 常规 ” 选项卡 更改模式。3、单击 “ 是” 来执行更改操作。注：一旦更改为本机模式，就无法再更改回混合模式。 组的使用准则为了更容易管理网络，利用组来管理网络资源时，建议采用以下两种最常用的使用准则。全局组与本地域组的使用：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 16 页 - - - - - - - - - 1、建立一个全局组，然后将具备相同权限的用户帐户加入到此组内。2、建立一个本地域组，而你即将设置让此组对某些资源具备适当的权限。3、将所有即将拥有权限访问此资源的全局组加入到本地域组内。4、指定适当的权限给本地域组。另外两种使用组的方法，不过与上述方法使用会有一点缺点：1、方法一：将用户增加到本地域内。然后直接设置此组对某些资源的权限。缺点是：无法设置其他域内设置本地域组的权限。2、方法二：将用户帐户加入到全局域内，然后直接设置此对某资源的权限。它的缺点：如果网络内包含多个域，而每个域内都有一些全局组需要对些资源具备相同的权限的话，则必须分别替每个全局组设置权限。浪费时间。全局组与通用组的配合使用：1、在每个域内建立一个全局组，然后将具备相同权限的用户帐户加入到该域的全局组内。2、在某域内建立一个通用组。而你即将设置让此组拥有对某些资源具备适当的权限3、将所有即将拥有权限访问此资源的全局组加入到此通用组内。4、指定适当的权限给此通用组。 域组的建立组的添加、删除与更名1、组的建立：a、 活动目录用户和计算机 域名 user 组织单位 鼠标右键 新建 组 输入域组名 是。2、域组的更名：组帐户 鼠标右键 重命名。3、组帐户的删除：组帐户 鼠标右键 删除。添加组成员：开始 程序 管理工具 活动目录用户和计算机 users 组织单位 域组帐户 鼠标右键 属性 成员 添加 确定。 本地组的建立本地组是建立在win2000 独立服务器、成员服务器或win2000pro的本地安全 数据库。而不是在域控制内，本地组只能够访问此组所在计算机内的资源。本地组内的成员按是否加入域的形式分两类：1、未加入域的本地组成员：只包含本地计算机的用户帐户。2、已加入域的本地组成员：本地计算机的用户帐户、所属域的域用户帐户、所属域的全局组、通用组；所信任域的域用户帐户；所信任域内的全局组，通用组。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 16 页 - - - - - - - - - 增加本地组的步骤：开始 设置 控制面板 管理工具 计算机管理 系统工具 本地用户和组 组 鼠标右键 添加 确定。 内置的组win2000域内含多个内置的组：本地域组、全局组、系统组，而win2000 成员服务器，独立服务器及win2000pro内则饮食了一些内置的本地组与系统组。内置的本地域组：administrators、server operators、account operators、printer operators、backup operators、 users 、guests 。内置的全局组：domain admins、domain admins、domain guests、enterprise guests。内置的本地组：administrators、backup operators、users 、power users 全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？问：全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？答：很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS 建议的规则：基于组织结构、行政结构规划。域本地组： 只能在本域的域控制器DC 上使用。MS 建议的规则： 基于资源（夹、打印机 ）规划。在域的混合模式下，只能把全局组加入到域本地组，即AGDLP 原则。注意： 2000/03 域的默认模式为：混合模式。则域本地组：只能在本域的域控制器DC 上使用。若域功能级别转成本机模式（或称2000 纯模式），甚至03 模式，域本地组可在全域范围内使用。说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用， 即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明（以混合模式下为例）：例 1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3 对非DC 的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。例 2：只有在域的DC 上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators； 但在非 DC 的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC 上使用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 16 页 - - - - - - - - - 通用组：组的成员情况，记录在全局目录GC 中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。AGDLP A (account): 用户帐户G (Global group):全局组DL (Domain local group):域本地组P (Permission):许可按照 AGDLP 的原则对用户进行组织和管理起来更容易在 AGDLP 形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、 文件、目录、打印机等共享资源的访问，还可以向一组用户发送电子邮件。在 Windows 2000域中，组根据其类型可以分为安全组（Securiy Group）和分布组（Distribution ），根据其范围又可以分为全局组（Global Group ）、域本地组 （Domain Local Group ）和通用组（ Universal Group）。组的类型决定组可以管理哪些类型的任务，组的范围决定组可以作用的范围。1. 组的类型（1）分布组：分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件，由于它不能用于与安全有关的功能，不能列于资源和对象权限的选择性访问控制表（DACL ）中。因此，只有在电子邮件应用程序（如Exchange ）中才用到分布组。（2）安全组：安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表（DACL ），控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、 目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。安全组具有分布组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。2. 组的范围（1）全局组：全局组的成员关系和范围如表1。表 1 全局组的成员关系和范围混合模式本机模式可包含的成员本域中的用户账号可加入的组域本地组作用范围在本域和所有的信任域中都是可见的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 16 页 - - - - - - - - - 权限范围森林中所有的域（2）域本地组：域本地组的成员关系和范围如表2。表 2 域本地组的成员关系和范围混合模式本机模式可包含的成员任何域中的用户账户和全局组森林中任何域中的用户账户、全局组和通用组以及本域中的域本地组可加入的组不能是任何组的成员本域中的域本地组作用范围只在其自己的域中可见权限范围域本地组所在的域（3）通用组：域本地组的成员关系和范围见表3。表 3 域本地组的成员关系和范围混合模式本机模式可包含的成员不能创建通用组森林中任何域中的用户账户、全局组和其他的通用组可加入的组不能创建通用组任何域中的域本地组和通用组作用范围在森林中的所有域中都是可见的权限范围目录林中的所有域如果要在域目录林中实现对于资源（可以是文件夹或打印机）的访问授权，推荐使用“AGDLP ” 规则。即首先把用户账户（Account ）加入到全局组（Global group ），然后把全局组加入到域本地组（Domain Local group，可以是本域或其他域的域本地组），最后，对于域本地组进行授权（Permissions ）。到了现在， 你可能在想 “ 为什么我要用其它组类型，而不用通用组？它给了我要的一切! ”答案是，因为通用组和它的成员被列在全局编目里(GC) 。每次 GC 在你的森林的域之间复制时，都包括通用组的成员。与通用组类似， 全局组和域本地组也被列在GC 里，但是， 它们的成员并不列在GC 中。通过在合适的位置使用全局组和域本地组，你能够减小你的AD DC 的尺寸，这样就会明显地降低保持GC 最新所产生的复制流量。在选择组范围时， 应当仔细选择。 在你的域运行在混合模式下时，你不能改变组的范围。如果你运行在纯(Native) 模式，就允许你把全局组转变通用组，前题是全局组不是另外一个全局的成员， 也可以把域本地组转变成通用组，前提是域本地组中不包括另一个域本地组作为它的成员。现在知道了组的范围，再让我们简略地谈谈建立新组最简单的部分组的名称。在你为组起名时， 全局组和域本地组在你创建它们的域里必须是唯一的。而通用组， 则必须在整个森林里是唯一的。特别注意的是，由于GC 中不仅包含通用组，还包含有通用组的成员信息，因此每次对通用的修改（成员增加/删除），都会引发GC 复制流量。所以，通用组的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 16 页 - - - - - - - - - 成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外，WIN2000在登录时系统需要向 GC 查询用户的通用组成员身份，以生成访问令牌， 所以在 GC 不可用时，WIN2000用户有可能不能正常访问网络资源。（转） Windows 2000 域环境中的组（正式版）http:/ E-mail: - 前言Native Mode （本地模式）和Mixed Mode （混合模式）之区别本地模式和混合模式是两种域的操作模式，默认新建的域为混合模式。如果你不清楚可以在Active Directory 域和信任关系中查到当前域的操作模式。本地模式要求所有的域控制器是Windows 2000,注意 ,是域控制器，也就是安装了Active Directory的服务器，并非成员服务器（没有装AD ）。成员服务器和客户机依然可以运行Windows NT ,Windows 9X 系列。混合模式下域控制器中还可以有Windows NT Server，所以微软在说明混合模式主要用于域迁移过程中，如从NT4 Domain 升级到2000 Domain 。俺的补充 域模式的提升是不可逆的，一旦提升至本级模式将不能返回混合模式，俺这里没有其它域控制器，域直接创建成本机模式正文A.OU （组织单元）与Group （组）之对比首先我们要明确OU 与 Group 是完全不同的概念， OU 的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说，你不能为一个OU 设置权限， 但是，你可以为一个OU 指定组策略，并且，你可以为一个OU 将权力委派控制（在2000 中是这么说的，但说成是 “ 下放 ” 也不为过） 给特定的用户， 组，或计算机 （有点儿象人事部？），让他（她，它）们对 OU 内的成员有额外的权利。Group 相比起 OU，分类更为复杂一些。但你可以为组分配权力和权限，这一点OU 是做不到的。微软对组的作用的解释是：1管理用户和计算机对资源（网络共享、文件、目录、打印机，以及AD 内对象的属性）的访问。2建立E-Mail 发送列表。3过滤（或筛选）组策略总而言之，一句经典的话可以概括OU 与 Group 的不同名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 16 页 - - - - - - - - - - OU 定义的是谁可以管理我组定义的是我可以管理谁- B.现在我们明确了Group 和 OU 的区别，下面我们来说一下组作用域和组类型的问题。1.组作用域组作用域分为三类：Domain Local Group（本地域）， Global Group （全局）， Universal（通用）。 这三类之间的区别， 又要分为两种域模式Native Mode （本地模式） 和 Mixed Mode（混合模式）的不同来区别对待。通用作用域- 在本机模式域中， 可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。在本机模式域中，不能创建有通用作用域的安全组。组可被放入其他组（当域处于本机模式时）并且在任何域中指派权限。不能转换为任何其他组作用域。全局作用域- 在本机模式域中，可将其成员作为来自相同域的帐户和来自相同域的全局组。在本机模式域中，可将其成员作为来自相同域的帐户。组可被放入其他组并且在任何域中指派权限。只要它不是有全局作用域的任何其他组的成员，则可以转换为通用作用域。域本地作用域- 在本机模式域中， 可将其成员作为来自任何域的帐户、全局组和通用组，以及来自相同域的域本地组。在本机模式域中，可将其成员作为来自任何域的帐户和全局组。组可被放入其他域本地组并且仅在相同域中指派权限。只要它不把具有域本地作用域的其他组作为其成员，则可转换为通用作用域。俺的补充 微软的定义：http:/ . f804e.mspx?mfr=true 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 16 页 - - - - - - - - - 以上表从微软Windows 2000帮助中摘来，可以看到在本机模式下组的功能有多么强大，而在混合模式中， 你仅仅可以做到以下：将全局组加入域内本地组。微软推荐这样的一套管理策略： A G DL P 也就是说：a.根据管理需要建立全局组（Global Group ），同时将用户加入全局组内b.建立域本地组（Domain Local Group），将全局组加入不同的域本地组内c.将资源的权限给予域本地组。事实上，对处于混合模式的域来说，这样的管理出现以下的危机：你只能将本地（域控制器上）文件夹的权限以域本地组，而对成员服务器（没有装AD 的服务器）而言，个人在AD中建立的域本地组是不可见的。这样的话， 只能在 DC 上给域本地组指派权限，而无法在成员服务器上给域本地组指派权限，这样新建的域本地组岂不是根本没用。2.组类型Windows 2000 的域拥有两种组类型，安全组（Security Groups）与分布组（Distribution Groups ）。然而，事实上操作系统用到的只有安全组，你可以给安全组赋权，默认情况下我们建立的也是安全组。你不能把对象的权限给予分布组，分布组主要是为某些应用程序准备的，而且此应用程序不能用做安全用途。 当你需要给同一组的人发送邮件时可能会用到它，这时当然不会涉及到安全问题。俺的补充 Windows 2003中分布组叫做通讯组可以组合使用全局组、域本地组和通用组，以控制对网络资源的访问。全局组的基本用途是把用户组织到代表其相应域的管理容器之中。通用组可以用于包括来自各种域的全局组，进而在授予权限时进一步管理域层次结构。可以全局组添加到通用组中，然后给资源在物理上所在域本地组分配权限。使用这些方法创建组，管理员就可以在每个域的全局组中添加或删除用户，对整个企业资源的访问进行控制，而无需在多个位置进行更改。再抄一个过来，这个解释的通俗些全局组、域本地组、通用组到底有什么区别？它们之间的关系如何? 2006-6-28 11:25:49 | By: zaqzxc 很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS 建议的规则：基于组织结构、行政结构规划。域本地组： 只能在本域的域控制器DC 上使用。MS 建议的规则： 基于资源（夹、打印机 ）规划。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 16 页 - - - - - - - - - 在域的混合模式下，只能把全局组加入到域本地组，即AGDLP 原则。注意： 2000/03 域的默认模式为：混合模式。则域本地组：只能在本域的域控制器DC 上使用。若域功能级别转成本机模式（或称2000 纯模式），甚至03 模式，域本地组可在全域范围内使用。说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用， 即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明（以混合模式下为例）：例 1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3 对非 DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中， 张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。例 2： 只有在域的DC 上， 对资源 （如：文件 /夹） 设置权限，你可以指派域本地组administrators；但在非 DC 的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC 上使用。通用组：组的成员情况，记录在全局目录GC 中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。AGDLP A (account): 用户帐户G (Global group):全局组DL (Domain local group):域本地组P (Permission):许可按照 AGDLP 的原则对用户进行组织和管理起来更容易在 AGDLP 形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了域本地组生效范围域本地组所属的域。全局组本域和所有被信任的域。通用组森林中所有的域。域模式不同，可成为的成员不同。域本地组成员的生效范围是本域，主要用于权限访问的ALP 策略。单域环境下直接把用户账号加入全局组，给全局组赋予权限就可以了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 16 页 - - - - - - - - - 作用域可见性可包含域本地域 用户、域本地、全局或通用组全局林 用户或全局组通用林 用户、全局或通用组组是可包含用户、 计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问，还可以向一组用户发送电子邮件。在 Windows 2000域中，组根据其类型可以分为安全组（Securiy Group）和分布组（Distribution ），根据其范围又可以分为全局组（Global Group ）、域本地组 （Domain Local Group ）和通用组（ Universal Group）。组的类型决定组可以管理哪些类型的任务，组的范围决定组可以作用的范围。1. 组的类型（1）分布组：分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件，由于它不能用于与安全有关的功能，不能列于资源和对象权限的选择性访问控制表（DACL ）中。因此，只有在电子邮件应用程序（如Exchange ）中才用到分布组。（2）安全组：安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表（DACL ），控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、 目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。安全组具有分布组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。2. 组的范围（1）全局组：全局组的成员关系和范围如表1。表 1 全局组的成员关系和范围混合模式本机模式可包含的成员本域中的用户账号可加入的组域本地组作用范围在本域和所有的信任域中都是可见的权限范围森林中所有的域（2）域本地组：域本地组的成员关系和范围如表2。表 2 域本地组的成员关系和范围名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 16 页 - - - - - - - - - 混合模式本机模式可包含的成员任何域中的用户账户和全局组森林中任何域中的用户账户、全局组和通用组以及本域中的域本地组可加入的组不能是任何组的成员本域中的域本地组作用范围只在其自己的域中可见权限范围域本地组所在的域（3）通用组：域本地组的成员关系和范围见表3。表 3 域本地组的成员关系和范围混合模式本机模式可包含的成员不能创建通用组森林中任何域中的用户账户、全局组和其他的通用组可加入的组不能创建通用组任何域中的域本地组和通用组作用范围在森林中的所有域中都是可见的权限范围目录林中的所有域如果要在域目录林中实现对于资源（可以是文件夹或打印机）的访问授权，推荐使用“AGDLP ” 规则。即首先把用户账户（Account ）加入到全局组（Global group ），然后把全局组加入到域本地组（Domain Local group，可以是本域或其他域的域本地组），最后，对于域本地组进行授权（Permissions ）。到了现在， 你可能在想 “ 为什么我要用其它组类型，而不用通用组？它给了我要的一切! ”答案是，因为通用组和它的成员被列在全局编目里(GC) 。每次 GC 在你的森林的域之间复制时，都包括通用组的成员。与通用组类似， 全局组和域本地组也被列在GC 里，但是， 它们的成员并不列在GC 中。通过在合适的位置使用全局组和域本地组，你能够减小你的AD DC 的尺寸，这样就会明显地降低保持GC 最新所产生的复制流量。在选择组范围时， 应当仔细选择。 在你的域运行在混合模式下时，你不能改变组的范围。如果你运行在纯(Native) 模式，就允许你把全局组转变通用组，前题是全局组不是另外一个全局的成员， 也可以把域本地组转变成通用组，前提是域本地组中不包括另一个域本地组作为它的成员。现在知道了组的范围，再让我们简略地谈谈建立新组最简单的部分组的名称。在你为组起名时， 全局组和域本地组在你创建它们的域里必须是唯一的。而通用组， 则必须在整个名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 16 页 - - - - - - - -