很多初級網管員對全局組、域本地組、通用組之間差別、關系比較模糊。對于這個問題我們首先要明确全局組、域本地組、通用組的的作用範圍。
全局組:可以全局使用。即:可在本域和有信任關系的其它域中使用,展現的是全局性。MS建議的規則:基于組織結構、行政結構規劃。
域本地組:隻能在本域的域控制器DC上使用。MS建議的規則:基于資源(夾、列印機……)規劃。
在域的混合模式下,隻能把全局組加入到域本地組,即AGDLP原則。
注意:2k/03域的預設模式為:混合模式。則域本地組:隻能在本域的域控制器DC上使用。若域功能級别轉成本機模式(或稱2k純模式),甚至03模式,域本地組可在全域範圍内使用。
說明:全局組和域本地組的關系,非常類似于域使用者帳号和本地帳号的關系。域使用者帳号,可以全局使用,即在本域和其它關系的其它域中都可以使用,而本地帳号隻能在本地機上使用。下面我來舉兩個例子來進一步說明(以混合模式下為例):
例1:将使用者張三(域帳号Z3)加入到域本地組administrators中,并不能使Z3對非DC的域成員計算機有任何特權,但若加入到全局組Domain Admins中,張三就是域管理者了,可以在全局使用,對域成員計算機是有特權的。
例2:隻有在域的DC上,對資源(如:檔案/夾)設定權限,你可以指派域本地組administrators;但在非DC的域成員計算機上,你是無法設定域本地組administrators的權限的。因為它是域本地組,隻能在DC上使用。
通用組:組的成員情況,記錄在全局目錄GC中,非常适于林中跨域通路使用。內建了全局組和域本地組的長處。
AGDLP
A (account):使用者帳戶
G (Global group):全局組
DL (Domain local group):域本地組
P (Permission):許可
按照AGDLP的原則對使用者進行組織和管理起來更容易
在AGDLP形成以後當給一個使用者某一個權限的時候,隻要把這個使用者加入到某一個本地域組就可以了
域本地組 生效範圍 域本地組所屬的域。
全局組 本域和所有被信任的域。
通用組 森林中所有的域。
域模式不同,可成為的成員不同。
域本地組成員的生效範圍是本域,主要用于權限通路的ALP政策。
單域環境下直接把使用者賬号加入全局組,給全局組賦予權限就可以了。
作用域 可見性 可包含
域本地 域 使用者、域本地、全局或通用組
全局 林 使用者或全局組
通用 林 使用者、全局或通用組
組是可包含使用者、計算機和其他組的活動目錄或本機對象。使用組可以控制和管理使用者和計算機對活動目錄對象及其屬性、網絡共享位置、檔案、目錄、列印機等共享資源的通路,還可以向一組使用者發送電子郵件。
在Windows 2k域中,組根據其類型可以分為安全組(Securiy Group)和分布組(Distribution),根據其範圍又可以分為全局組(Global Group)、域本地組(Domain Local Group)和通用組(Universal Group)。組的類型決定組可以管理哪些類型的任務,組的範圍決定組可以作用的範圍。
1. 組的類型
(1)分布組:分布組一般用于組織使用者。使用分布組可以向一組使用者發送電子郵件,由于它不能用于與安全有關的功能,不能列于資源和對象權限的選擇性通路控制表(DACL)中。是以,隻有在電子郵件應用程式(如Exchange)中才用到分布組。
(2)安全組:安全組一般用于與安全性有關的授權功能。使用安全組可以定義資源和對象權限的選擇性通路控制表(DACL),控制和管理使用者和計算機對活動目錄對象及其屬性、網絡共享位置、檔案、目錄和列印機等資源和對象的通路。安全組中的成員會自動繼承其所屬安全組的所有權限。
安全組具有分布組的全部功能,也可用作電子郵件實體。當向安全組發送電子郵件時,會将郵件發給安全組的所有成員。
2. 組的範圍
(1)全局組:全局組的成員關系和範圍如表1。
表1 全局組的成員關系和範圍
混合模式 本機模式
可包含的成員 本域中的使用者賬号
可加入的組 域本地組
作用範圍 在本域和所有的信任域中都是可見的
權限範圍 森林中所有的域
(2)域本地組:域本地組的成員關系和範圍如表2。
表2 域本地組的成員關系和範圍
可包含的成員 任何域中的使用者賬戶和全局組 森林中任何域中的使用者賬戶、全局組和通用組
以及本域中的域本地組
可加入的組 不能是任何組的成員 本域中的域本地組
作用範圍 隻在其自己的域中可見
權限範圍 域本地組所在的域
(3)通用組:域本地組的成員關系和範圍見表3。
表3 域本地組的成員關系和範圍
可包含的成員 不能建立通用組 森林中任何域中的使用者賬戶、全局組和其他的通用組
可加入的組 不能建立通用組 任何域中的域本地組和通用組
作用範圍 在森林中的所有域中都是可見的
權限範圍 目錄林中的所有域
如果要在域目錄林中實作對于資源(可以是檔案夾或列印機)的通路授權,推薦使用“AGDLP”規則。即首先把使用者賬戶(Account)加入到全局組(Global group),然後把全局組加入到域本地組(Domain Local group,可以是本域或其他域的域本地組),最後,對于域本地組進行授權(Permissions)。
到了現在,你可能在想“為什麼我要用其它組類型,而不用通用組?它給了我要的一切!”答案是,因為通用組和它的成員被列在全局編目裡 (GC)。
每次GC在你的森林的域之間複制時,都包括通用組的成員。與通用組類似,全局組和域本地組也被列在GC裡,但是,它們的成員并不列在GC中。通過在合适的位置使用全局組和域本地組,你能夠減小你的AD DC的尺寸,這樣就會明顯地降低保持GC最新所産生的複制流量。
在選擇組範圍時,應當仔細選擇。在你的域運作在混合模式下時,你不能改變組的範圍。如果你運作在純(Native)模式,就允許你把全局組轉變通用組,前題是全局組不是另外一個全局的成員,也可以把域本地組轉變成通用組,前提是域本地組中不包括另一個域本地組作為它的成員。
現在知道了組的範圍,再讓我們簡略地談談建立新組最簡單的部分-組的名稱。在你為組起名時,全局組和域本地組在你建立它們的域裡必須是唯一的。而通用組,則必須在整個森林裡是唯一的。 特别注意的是,由于GC中不僅包含通用組,還包含有通用組的成員資訊,是以每次對通用的修改(成員增加/删除),都會引發GC複制流量。是以,通用組的成員不要經常頻繁的發生變化。否則會帶來大量的複制流量。另外,WIN2000在登入時系統需要向GC查詢使用者的通用組成員身份,以生成通路令牌,是以在GC不可用時,WIN2000使用者有可能不能正常通路網絡資源。