天天看点

全局组、域本地组、通用组的区别及关系

很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。 

全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。

域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。

在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。

注意:2k/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2k纯模式),甚至03模式,域本地组可在全域范围内使用。

说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):

例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。

例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。

通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

AGDLP

A (account):用户帐户

G (Global group):全局组

DL (Domain local group):域本地组

P (Permission):许可

按照AGDLP的原则对用户进行组织和管理起来更容易

在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了

域本地组 生效范围 域本地组所属的域。

全局组 本域和所有被信任的域。

通用组 森林中所有的域。

域模式不同,可成为的成员不同。

域本地组成员的生效范围是本域,主要用于权限访问的ALP策略。

单域环境下直接把用户账号加入全局组,给全局组赋予权限就可以了。

作用域 可见性 可包含

域本地 域 用户、域本地、全局或通用组

全局 林 用户或全局组

通用 林 用户、全局或通用组

组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。 

  在Windows 2k域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。 

 

   1. 组的类型 

(1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。 

(2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。 

  安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。

  

    2. 组的范围

(1)全局组:全局组的成员关系和范围如表1。 

表1 全局组的成员关系和范围 

混合模式 本机模式 

可包含的成员 本域中的用户账号   

可加入的组 域本地组   

作用范围 在本域和所有的信任域中都是可见的 

权限范围 森林中所有的域 

(2)域本地组:域本地组的成员关系和范围如表2。 

表2 域本地组的成员关系和范围 

可包含的成员 任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组 

以及本域中的域本地组 

可加入的组 不能是任何组的成员 本域中的域本地组 

作用范围 只在其自己的域中可见 

权限范围 域本地组所在的域 

(3)通用组:域本地组的成员关系和范围见表3。 

表3 域本地组的成员关系和范围 

可包含的成员 不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组 

可加入的组 不能创建通用组 任何域中的域本地组和通用组 

作用范围 在森林中的所有域中都是可见的 

权限范围 目录林中的所有域 

如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用“AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。 

到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。 

  每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。 

  在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。 

  现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。