全局组,域本地组,通用组区别(AGDLP),OU(组织单元)与Group(组)之对比

1、本地域组:多域用户访问单域资源(访问同一个域)
    本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。
2、全局组:   单域用户访问多域资源(必须是一个域里面的用户)
    全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
3、通用组:   多域用户访问多域资源
    通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
    当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。


本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。

通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。

比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。

这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。

注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。

本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。

打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。

---------------------------------------------------
外一篇:

从组的使用范围来分,可以分为三种:全局组、本地域组和通用组。

全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。

安装域控制器时,系统会自动生成一些组,称为内置组。这些组都定义了一些常用权限,通过将用户加入到这些内置组中,可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中,内置的全局组在“Users”组织单元中。

1.内建组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Builtin”文件夹,Windows2000建立了内建组。
Account Operators(账户操作员):该组的成员能操作用户管理员所属域的账号和组,并可设置其权限。但是该组成员无法修改Administrators及Operators组及权限。
Administrators(管理员):该组的成员可以完全不受限制地存取计算机/域的资源,是最具权力的一个组。通常,Administrators账户与Domain Admins组都是它的成员。
Backup Operators:该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests:该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常,Guest账户与Domain Guest都是该组的成员。
Printer Operators:该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
Server Operators:该组的成员可以管理域服务器,包括:建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users:该组的成员只可以执行得到授权的应用程序,而且不可执行大部分的继承应用程序。

2.通用组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Users”文件夹,Windows2000建立了内建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guests)。
Domain Admins:该组可以代表具有操作域权力的用户,通常,Domain Admins会属于Administrators组,因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中,而内建的Administrator账户是其唯一的成员。因此,如果您希望某一用户成为域系统管理器,则我们建议您将该用户加至Domain Admins组中,而不要直接加至Administrators组中。
Domain Guests:所有域来宾,Windows2000会自动将Guest用户账户加至该组,并将该组加至内建域Guests组中。
Domain Users:所有域的成员,在预设的情况下,任何我们所建立的用户账户都会是Domain Users组的成员,而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有某种资源存取权限,则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域Users组的成员。

(转)Windows 2000 域环境中的组(正式版)
http://bbs.techtarget.com.cn/viewthread.php?tid=2292
蒙蒙虫 QQ:1724940
E-mail:
-----------------------------------------------------------------

前言
Native Mode(本地模式)和Mixed Mode(混合模式)之区别
本地模式和混合模式是两种域的操作模式,默认新建的域为混合模式。如果你不清楚可以在 Active Directory 域和信任关系中查到当前域的操作模式。本地模式要求所有的域控制器是Windows 2000,注意,是域控制器,也就是安装了Active Directory的服务器,并非成员服务器(没有装AD)。成员服务器和客户机依然可以运行Windows NT ,Windows 9X 系列。混合模式下域控制器中还可以有Windows NT Server,所以微软在说明混合模式主要用于域迁移过程中,如从NT4 Domain 升级到 2000 Domain。

[俺的补充]域模式的提升是不可逆的,一旦提升至本级模式将不能返回混合模式,俺这里没有其它域控制器,域直接创建成本机模式

正文

A.OU(组织单元)与Group(组)之对比
首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?),让他(她,它)们对OU内的成员有额外的权利。
Group相比起OU,分类更为复杂一些。但你可以为组分配权力和权限,这一点OU是做不到的。微软对组的作用的解释是:
1.管理用户和计算机对资源(网络共享、文件、目录、打印机,以及AD内对象的属性)的访问。
2.建立 E-Mail 发送列表。
3.过滤(或筛选)组策略
总而言之,一句经典的话可以概括OU与Group的不同
--------------------------------------------
OU定义的是谁可以管理我
组定义的是我可以管理谁
--------------------------------------------

B.现在我们明确了Group和OU的区别,下面我们来说一下组作用域和组类型的问题。

1.组作用域
组作用域分为三类:Domain Local Group(本地域),Global Group(全局),Universal(通用)。这三类之间的区别,又要分为两种域模式Native Mode(本地模式)和Mixed Mode(混合模式)的不同来区别对待。
通用作用域
-----------------
在本机模式域中,可将其成员作为来自任何域的帐户、来自任何域的全局组和来自任何域的通用组。
在本机模式域中,不能创建有通用作用域的安全组。
组可被放入其他组(当域处于本机模式时)并且在任何域中指派权限。
不能转换为任何其他组作用域。

全局作用域
-----------------
在本机模式域中,可将其成员作为来自相同域的帐户和来自相同域的全局组。
在本机模式域中,可将其成员作为来自相同域的帐户。
组可被放入其他组并且在任何域中指派权限。
只要它不是有全局作用域的任何其他组的成员,则可以转换为通用作用域。

域本地作用域
----------------
在本机模式域中,可将其成员作为来自任何域的帐户、全局组和通用组,以及来自相同域的域本地组。
在本机模式域中,可将其成员作为来自任何域的帐户和全局组。
组可被放入其他域本地组并且仅在相同域中指派权限。
只要它不把具有域本地作用域的其他组作为其成员,则可转换为通用作用域。

[俺的补充]微软的定义:
http://www.microsoft.com/technet ... f804e.mspx?mfr=true

以上表从微软Windows 2000帮助中摘来,可以看到在本机模式下组的功能有多么强大,而在混合模式中,你仅仅可以做到以下:将全局组加入域内本地组。微软推荐这样的一套管理策略:A G DL P 也就是说:
a.根据管理需要建立全局组(Global Group),同时将用户加入全局组内
b.建立域本地组(Domain Local Group),将全局组加入不同的域本地组内
c.将资源的权限给予域本地组。
事实上,对处于混合模式的域来说,这样的管理出现以下的危机:你只能将本地(域控制器上)文件夹的权限以域本地组,而对成员服务器(没有装AD的服务器)而言,个人在AD中建立的域本地组是不可见的。这样的话,只能在DC上给域本地组指派权限,而无法在成员服务器上给域本地组指派权限,这样新建的域本地组岂不是根本没用。

2.组类型
Windows 2000 的域拥有两种组类型,安全组(Security Groups)与分布组(Distribution Groups)。然而,事实上操作系统用到的只有安全组,你可以给安全组赋权,默认情况下我们建立的也是安全组。
你不能把对象的权限给予分布组,分布组主要是为某些应用程序准备的,而且此应用程序不能用做安全用途。当你需要给同一组的人发送邮件时可能会用到它,这时当然不会涉及到安全问题。

[俺的补充]Windows 2003中分布组叫做通讯组
可以组合使用全局组、域本地组和通用组,以控制对网络资源的访问。全局组的基本用途是把用户组织到代表其相应域的管理容器之中。通用组可以用于包括来自各种域的全局组,进而在授予权限时进一步管理域层次结构。可以全局组添加到通用组中,然后给资源在物理上所在域本地组分配权限。使用这些方法创建组,管理员就可以在每个域的全局组中添加或删除用户,对整个企业资源的访问进行控制,而无需在多个位置进行更改。

再抄一个过来,这个解释的通俗些
全局组、域本地组、通用组到底有什么区别?它们之间的关系如何?
[ 2006-6-28 11:25:49 | By: zaqzxc ]

很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。
全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。

域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。

在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。

注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。

说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明(以混合模式下为例):
例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。

通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

AGDLP
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
按照AGDLP的原则对用户进行组织和管理起来更容易
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了

域本地组     生效范围    域本地组所属的域。
全局组     本域和所有被信任的域。
通用组     森林中所有的域。

域模式不同,可成为的成员不同。
域本地组成员的生效范围是本域,主要用于权限访问的ALP策略。
单域环境下直接把用户账号加入全局组,给全局组赋予权限就可以了。

作用域             可见性                       可包含
域本地               域                  用户、域本地、全局或通用组
全局                   林                           用户或全局组
通用                   林                      用户、全局或通用组

组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子邮件。
  在Windows 2000域中,组根据其类型可以分为安全组(Securiy Group)和分布组(Distribution),根据其范围又可以分为全局组(Global Group)、域本地组(Domain Local Group)和通用组(Universal Group)。组的类型决定组可以管理哪些类型的任务,组的范围决定组可以作用的范围。
  1. 组的类型
  (1)分布组:分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。因此,只有在电子邮件应用程序(如Exchange)中才用到分布组。
  (2)安全组:安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。
  安全组具有分布组的全部功能,也可用作电子邮件实体。当向安全组发送电子邮件时,会将邮件发给安全组的所有成员。
  2. 组的范围
  (1)全局组:全局组的成员关系和范围如表1。

表1 全局组的成员关系和范围

                              混合模式         本机模式
可包含的成员:本域中的用户账号  
可加入的组:             域本地组  
作用范围:      在本域和所有的信任域中都是可见的
权限范围:           森林中所有的域

(2)域本地组:域本地组的成员关系和范围如表2。

表2 域本地组的成员关系和范围

                                    混合模式                        本机模式
可包含的成员:任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组以及本域中的域本地组
可加入的组:不能是任何组的成员            本域中的域本地组
作用范围:                           只在其自己的域中可见
权限范围:                           域本地组所在的域

(3)通用组:域本地组的成员关系和范围见表3。
表3 域本地组的成员关系和范围

                                混合模式                           本机模式
可包含的成员:不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组
可加入的组:不能创建通用组                任何域中的域本地组和通用组
作用范围:                 在森林中的所有域中都是可见的
权限范围:                          目录林中的所有域

如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用 “AGDLP”规则。即首先把用户账户(Account)加入到全局组(Global group),然后把全局组加入到域本地组(Domain Local group,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。

到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?它给了我要的一切!”答案是,因为通用组和它的成员被列在全局编目里 (GC)。

  每次GC在你的森林的域之间复制时,都包括通用组的成员。与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。通过在合适的位置使用全局组和域本地组,你能够减小你的AD DC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。

  在选择组范围时,应当仔细选择。在你的域运行在混合模式下时,你不能改变组的范围。如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。

  现在知道了组的范围,再让我们简略地谈谈建立新组最简单的部分-组的名称。在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。而通用组,则必须在整个森林里是唯一的。 特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。所以,通用组的成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。

你可能感兴趣的:(windows,网络,服务器,domain,permissions)