活动目录之组嵌套

组帐户
 
组是指用户与计算机帐户、联系人以及其他可以作为单个单位管理的组的集合。属于特定组的用户和计算机称为组成员。
Active Directory 域服务 (AD DS) 中的组都是驻留在域和组织单位 (OU) 容器对象中的目录对象。AD DS 在安装时会提供一组默认组。它还提供了用于创建组的选项。
使用 AD DS 中的组可以执行以下操作:
  • 通过将共享资源的权限分配给组而不是单个用户来简化管理。将权限分配给组会将对资源的相同访问权限分配给该组的所有成员。
  • 通过组策略将用户权限一次性分配给组来进行委派管理。然后可以向组添加那些希望和组具有相同权利的成员。
  • 创建电子邮件分发列表。
组的特征体现在它们的作用域和类型上。组作用域确定组在域或林内的应用程度。组类型确定可以使用组来分配共享资源的权限(对于安全组),还是仅将组用于电子邮件分发列表(对于分发组)。
此外,还存在您无法修改或查看其成员身份的组。这些组称为特殊身份组。根据不同环境,它们代表了不同时间内的不同用户。例如,Everyone 组是代表所有当前网络用户的特殊身份组,包括来自其他域的来宾和用户。
 
组的作用域
 
组的特征体现在用来标识组在域树或林中的应用程度的作用域。有三个组作用域:本地域、全局和通用。
 
本地域组
 
本地域组的成员可以包括 Windows Server 2003、Windows 2000、Windows NT、Windows Server 2008 和 Windows Server 2008 R2 域中的其他组和帐户。仅能在域内为这些组的成员分配权限。
具有本地域作用域的组帮助您定义和管理单一域内的资源访问权限。这些组的成员可以包括下列组:
  • 具有全局作用域的组
  • 具有通用作用域的组
  • 帐户
  • 具有本地域作用域的其他组
  • 上面任意组的组合
例如,若要授予五个用户访问特定打印机的权限,您可以在打印机权限列表中添加五个用户帐户。但是,如果您以后要授予这五个用户访问新打印机的权限,则必须重新在新打印机权限列表中指定这五个帐户。
稍作计划之后,通过创建具有本地域作用域的组并为其分配访问打印机的权限,即可简化此日常管理任务。将这五个用户帐户放在具有全局作用域的组中,并将此组添加到具有本地域作用域的组。若要授予这五个用户访问新打印机的权限,可以为具有本地域作用域的组分配新打印机的访问权限。具有全局作用域的组的所有成员都会自动获得对新打印机的访问权限。
 
全局组
 
全局组的成员可以只包括组定义所在域的其他组和帐户。可以在林中的任何域为这些组成员分配权限。
使用具有全局作用域的组来管理需要进行日常维护的目录对象,如用户和计算机帐户。由于具有全局作用域的组在自已的域外不会被复制,因此您可以经常更改具有全局作用域的组中的帐户,且不会对全局编录产生重复流量。
尽管权限分配只在分配它们的域内有效,但通过在多个相应域中统一应用具有全局作用域的组,您可以合并对具有类似用途的帐户的引用。这将使跨域范围的组管理简化和合理化。例如,在具有两个域(Europe 和 UnitedStates)的网络中,如果 UnitedStates 域中存在名为 GLAccounting 的具有全局作用域的组,那么在 Europe 域中也应存在名为 GLAccounting 的组(除非 Europe 域中不存在记帐功能)。
 
通用组
 
用组的成员可以包括域树或林中的任何域的其他组和帐户。可以在域树或林中的任何域为这些组成员分配权限。
使用具有通用作用域的组来合并跨域的组。为此,向具有全局作用域的组添加帐户,并在具有通用作用域的组内嵌套这些组。使用此策略时,对具有全局作用域的组成员身份的任何更改都不会影响具有通用作用域的组。
例如,在具有两个域(Europe 和 UnitedStates)的网络中,如果每个域中都存在名为 GLAccounting 的具有全局作用域的组,则创建名为 UAccounting 的具有通用作用域的组,该组的成员包括两个 GLAccounting 组,即 UnitedStates\GLAccounting 和 Europe\GLAccounting。然后可以在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组成员身份的任何更改都不会导致对 UAccounting 组的复制。
不要经常更改具有通用作用域的组的成员身份。对这类组的成员身份的任何更改都会导致该组的全部成员身份被复制到林中的各个全局编录中。
 
总结:通用组不属于任何域,通常用于域间访问。域本地组只能在域内使用。全局组属于某个域,但是作用域是整个森林。
 
嵌套原则
 
当对安全组做权限嵌套的时候,要注意两个原则:
      A->G->G->DL->P   
      A->G->U->DL->P 
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限,  
左边A是Account(账户),右边P是Permission(权限),群组嵌套(Nesting)就应该按照从左到有的原则来,如果您在一个群组中添加另外一个群组,却发现搜索不到那个群组,这很可能是你违反了这个嵌套原则。
 
相信在实际工作中如果能够灵活应用组嵌套可以使工作更加轻松 事半功倍
 
 
 
 
 
以上资料来自于网络
Mirosoft TechNet
活动目录SEO博客
 

你可能感兴趣的:(职场,嵌套,休闲,ad,活动目录)