AD DS的域组分为两种类型安全组、通用组且他们两个之间可以相互转换

安全组(Security Group):用来分配权限。例如可以指定安全组对某个文件具备读写的权限

通用组(Distribution Group):用在域安全无关的工作上,例如可以作为通讯组发送电子邮件,但是无法为通用组分配权限


组的使用范围分为:本地域组、全局组、通用组

1.本地域组(Domain Local Group):主要被用来分配所属域内的访问资源权限,以便可是访问该域内的资源,其成员可以包含任何一个域内的用户、全局组、通用组;也可以包含相同域内内的的本地域组;但无法包含其他域内的本地域组。本地域组只能访问该域内的资源,无法访问其他不通域内的资源;


2.全局组(Global Group):主要用来组织用户,也就是可以将多个即将被赋予相同权限的的用户账户加入到同一个组之内。全局组可以访问任何一个域的资源,也就是说可以在任何一个域内设置全局组的权限(这个全局组可以位于任何一个域内)以便让此全局组具备权限来反问该域内的资源。


3.通用组(Universal Group):他可以在所有域内被分配访问权限,以便访问域内的资源。通用组具备万用领域的特性,起成员可以包含林中任何一个域内的用户、全局组、通用组。但是它无法包含任何一个域内的本地域组。通用组可以访问任何一个域的资源,也就是说可以在任何一个域内设置通用组的权限(这个通用组可以位于任何一个域内)以便让此通用组具备权限来反问该域内的资源。


下表中展示了域内组的一些特性:


 本地域组
 全局组
 通用组

可包含哪些成员

 所有域内的用户、全局组、通用组;相同域内的本地域组 相同域内的用户与全局组 所有域内的用户、全局组、通用组
可以在哪一个域内被分配权限 同一个域 所有域 所有域
组转换 可以被转换成通用组(只要原组内的成员不包含本地域组即可) 可以被转换成通用组(只要原组不隶属于任何一个全局组即可) 可以被转换成本地域组;可以被转换成全局组(只要原组内的成员不包含通用组即可)