组作用域类型
http://baike.baidu.com/link?url=YZ-0eNipWshHdzw_8DOZco0Be00wMPjwynqIfi8VONPa4uM570IYVWqTIqda03SSxN-9kWvfkCzyd_mdiLq_pa
具有域本地作用域的组可以将其作为来自Windows server 2003或Windows NT域的组和账户,且可用于仅在域中授予权限。具有本地作用域的组成为本地组
_______________________________________________________________
组的作用域
http://blog.163.com/ryne99@126/blog/static/27645476200711885934102/
2007-12-08 08:59:34| 分类:Windows2003 相关|举报|字号订阅
组的作用域决定了组的作用范围、组中可以拥有的成员以及组之间的嵌套关系。在Windows Server 2003域模式下组有3种组作用域:全局组作用域、本地组作用域和通用组作用域。
在详细了解全局组作用域、本地组作用域和通用组作用域之前,先来了解一下Windows Server 2003下域功能级别。Windows Server 2003下域功能级别一共有4种,它们是Windows 2000混合(默认)、Windows 2000本机、Windows Server 2003临时和Windows Server 2003。默认情况下,域以Windows 2000混合功能级别操作。如表4-1所示,列出了域功能级别以及相应的所支持的域控制器。
表4-1
域功能级别 |
支持的域控制器 |
Windows 2000 混合(默认) |
Windows NT 4.0 |
Windows 2000 |
|
Windows Server 2003 家族 |
|
Windows 2000 本机 |
Windows 2000 |
Windows Server 2003 家族 |
|
Windows Server 2003 临时 |
Windows NT 4.0 |
Windows Server 2003 家族 |
|
Windows Server 2003 |
Windows Server 2003 家族 |
打开“Active Directory用户和计算机”窗口,在域名上右击,选择“提升域功能级别”命令,如图4-30所示。
在“提升域功能级别”对话框中选择一个可用的域功能级别,如图4-31所示。单击“提升”按钮,在弹出的警告信息提示框中单击“确定”按钮,如图4-32所示,即可提升域功能级别。
 |
| 图4-30 |
 |
| 图4-31 |
 |
| 图4-32 |
全局组的成员可包括只在其中定义该组的域中的其他组和账户,而且可在林中的任何域中指派权限。
本地域组的成员可包括Windows Server 2003、Windows 2000或Windows NT域中的其他组和账户,而且只能在域内指派权限。
表4-2总结了不同组作用域的行为。
表4-2
通用作用域 |
全局作用域 |
本地域作用域 |
当域功能级别被设置为Windows 2000本机或Windows Server 2003时,通用组的成员可包括来自任何域的账户、全局组和通用组 |
当域功能级别被设置为Windows 2000本机或Windows Server 2003时,全局组的成员可包括来自相同域的账户或全局组 |
当域功能级别被设置为Windows 2000本机或Windows Server 2003时,本地域组的成员可包括来自任何域的账户、全局组或通用组,以及来自相同域的本地域组 |
当域功能级别被设置为Windows 2000混合时,不能创建具有通用组的安全组 |
当域功能级别被设置为Windows 2000混合时,全局组的成员可包括来自相同域的账户 |
当域功能级别被设置为Windows 2000本机或Windows Server 2003时,本地域组的成员可包括来自任何域的账户或全局组 |
当域功能级别被设置为Windows 2000本机或Windows Server 2003时,组可被添加到其他组并在任何域中指派权限 |
组可被添加到其他组并且在任何域中指派权限 |
组可被添加到其他本地域组并且仅在相同域中指派权限 |
组可转换为本地域作用域。只要组中没有其他通用组作为其成员,就可以转换为全局作用域 |
只要组不是具有全局作用域的任何其他组的成员,就可以转换为通用作用域 |
只要组不把具有本地域作用域的其他组作为其成员,就可转换为通用作用域 |
A(Accounts)指的是在Windows Server 2003的域用户账户。
G(Global Group)指的是将上述的用户账户添加到某个全局组中。
DL(Domain Local Group)指的是将全局组添加到某个域本地组中,可以使用内置的域本地组,也可以创建一个新的域本地组来接纳全局组的成员。
P(Permission)指的是最后将访问资源的权限赋予相应的域本地组,则域本地组中的成员就可以在权限的控制下访问资源了。
 |
| 图4-33 |
AGDLP策略很好地控制了资源访问的权限,极大方便了网络管理员的工作。
以下是微软官方的解释 点击这里
组作用域
组(不论是安全组还是通讯组)都有一个作用域,用来确定在域树或林中该组的应用范围。有三种组作用域:通用、全局和本地域。
| ? | 通用组的成员可包括域树或林中任何域中的其他组和帐户,而且可在该域树或林中的任何域中指派权限。 |
| ? | 全局组的成员可包括只在其中定义该组的域中的其他组和帐户,而且可在林中的任何域中指派权限。 |
| ? | 本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户,而且只能在域内指派权限。 |
下表总结了不同组作用域的行为。
通用作用域 |
全局作用域 |
本地域作用域 |
当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时,通用组的成员可包括来自任何域的帐户、全局组和通用组。 |
当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时,全局组的成员可包括来自相同域的帐户或全局组。 |
当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时,本地域组的成员可包括来自任何域的帐户、全局组或通用组,以及来自相同域的本地域组。 |
当域功能级别被设置为 Windows 2000 混合时,不能创建具有通用组的安全组。 |
当域功能级别被设置为 Windows 2000 混合时,全局组的成员可包括来自相同域的帐户。 |
当域功能级别被设置为 Windows2000 混合时,本地域组的成员可包括来自任何域的帐户或全局组。 |
当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时,组可被添加到其他组并在任何域中指派权限。 |
组可被添加到其他组并且在任何域中指派权限。 |
组可被添加到其他本地域组并且仅在相同域中指派权限。 |
组可转换为本地域作用域。只要组中没有其他通用组作为其成员,就可以转换为全局作用域。 |
只要组不是具有全局作用域的任何其他组的成员,就可以转换为通用作用域。 |
只要组不把具有本地域作用域的其他组作为其成员,就可转换为通用作用域。 |
何时使用具有本地域作用域的组
具有本地域作用域的组将帮助您定义和管理对单个域内资源的访问。这些组可将以下组或帐户作为它的成员:
| ? | 具有全局作用域的组 |
| ? | 具有通用作用域的组 |
| ? | 帐户 |
| ? | 具有本地域作用域的其他组 |
| ? | 上述任何组或帐户的混合体 |
例如,要使五个用户访问特定的打印机,您可在打印机权限列表中添加全部五个用户。如果您以后希望这五个用户都能访问新的打印机,则需要再次在新打印机的权限列表中指定全部五个帐户。
如果采用简单的规划,您可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将五个用户帐户放在具有全局作用域的组中,并且将该组添加到有本地域作用域的组。当您希望使五个用户访问新打印机时,可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。
何时使用具有全局作用域的组
使用具有全局作用域的组管理那些需要每天维护的目录对象,如用户和计算机帐户。因为有全局作用域的组不在自身的域之外复制,所以具有全局作用域的组中的帐户可以频繁更改,而不需要对全局编录进行复制以免增加额外通讯量。有关组和复制的详细信息,请参阅复制的工作原理。
虽然权利和权限指派只在指派它们的域内有效,但是通过在相应的域中统一应用具有全局作用域的组,可以合并对具有类似用途的帐户的引用。这将简化不同域之间的管理,并使之更加合理化。例如,在具有两个域(如 Europe 和 UnitedStates)的网络中,如果 UnitedStates 域中有一个称作 GLAccounting 的具有全局作用域的组,则 Europe 域中也应有一个称作 GLAccounting 的组(除非 Europe 域中不存在帐户管理功能)。
强力推荐在指定复制到全局编录的域目录对象的权限时,使用全局组或通用组,而不是本地域组。详细信息,请参阅全局编录复制。
何时使用具有通用作用域的组
使用具有通用作用域的组来合并跨越不同域的组。为此,请将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略,对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。
例如,在具有 Europe 和 UnitedStates 这两个域的网络中,在每个域中都有一个名为 GLAccounting 全局作用域的组,创建名为 GLAccounting 且具有通用作用域的组,可以将两个 GLAccounting 组 UnitedStates\GLAccounting 和 Europe\GLAccounting 作为它的成员。这样就可在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组的成员身份所做的任何更改都不会引起 UAccounting 组的复制。
具有通用作用域的组成员身份不应频繁更改,因为对这些组成员身份的任何更改都将引起整个组的成员身份复制到树林中的每个全局编录中。有关通用组和复制的详细信息,请参阅全局编录和站点。
更改组作用域
创建新组时,在默认情况下,新组配置为具有全局作用域的安全组,而与当前域功能级别无关。尽管在域功能级别设置为 Windows 2000 混合的域中不允许更改组作用域,但在其域功能级别设置为 Windows 2000 本机或 Windows Server 2003 的域中,允许进行下列转换:
| ? | 全局到通用。只有当要更改的组不是另一个全局作用域组的成员时,允许进行该转换。 |
| ? | 本地域到通用。只有当要更改的组没有另一个本地域组作为其成员时,允许进行该转换。 |
| ? | 通用到全局。只有当要更改的组没有另一个通用组作为其成员时,允许进行该转换。 |
| ? | 通用到本地域。该操作没有限制。 |
详细信息,请参阅更改组作用域。
在客户端计算机和独立服务器上的组
某些组功能,诸如通用组、组嵌套以及安全组和通讯组之间的区分,仅在 Active Directory 域控制器和成员服务器上提供。在 Windows 2000 Professional、Windows XP Professional、Windows 2000 Server 和运行 Windows Server 2003 的独立服务器上的组帐户与 Windows NT 4.0 中的组帐户工作原理相同:
| ? | 在计算机上只能在本地创建本地组。 |
| ? | 创建于其中一台计算机上的本地组只能在该计算机上被指派权限。 |