1、本地域組：多域用戶訪問(wèn)單域資源（訪問(wèn)同一個(gè)域）本地域組的成員可包括Windows Server2003、Windows 2000或WindowsNT 域中的其他組和賬戶，而且只能在其所在域內(nèi)指派權(quán)

1、本地域組：多域用戶訪問(wèn)單域資源（訪問(wèn)同一個(gè)域）

本地域組的成員可包括Windows Server2003、Windows 2000或WindowsNT 域中的其他組和賬戶，而且只能在其所在域內(nèi)指派權(quán)限。

2、全局組： 單域用戶訪問(wèn)多域資源（必須是一個(gè)域里面的用戶）

全局組的成員可包括其所在域中的其他組和賬戶，而且可在林中的任何域中指派權(quán)限；

3、通用組： 多域用戶訪問(wèn)多域資源

通用組的成員可包括域樹或林中任何域的其他組和賬戶，而且可在該域樹或林中的任何域中指派權(quán)限；

當(dāng)域功能級(jí)別設(shè)置為Windows2000混合模式時(shí)，不能創(chuàng)建具有通用組的安全組。

本地域組： 可以從任何域添加用戶賬戶、通用組和全局組。域本地組不能嵌套于其他組中。它主要是用于授予位于本域資源的訪問(wèn)權(quán)限。

全局組： 只能在創(chuàng)建該全局組的域上進(jìn)行添加用戶賬戶和全局組，但全局組可以嵌套在其他組中。

可以將某個(gè)全局組添加到同一個(gè)域上的另一個(gè)全局組中，或添加到其他域的通用組和域本地組中（注意這里不能它加入到不同域的全局組中，全局組只能在創(chuàng)建它的域中添加用戶和組）。雖然可以利用全局組授予訪問(wèn)任何域上的資源的權(quán)限，但一般不直接用它來(lái)進(jìn)行權(quán)限管理。 通用組：通用組是集合了上面兩種組的優(yōu)點(diǎn)，即可以從任何域中添加用戶和組，可以嵌套于其他域組中。

比如： 有兩個(gè)域，A 和B ，A 中的5個(gè)財(cái)務(wù)人員和B 中的3個(gè)財(cái)務(wù)人員都需要訪問(wèn)B 中的“FINA”文件夾。這時(shí)，可以在B 中建一個(gè)DL ，因?yàn)镈L 的成員可以來(lái)自所有的域，然后把這8個(gè)人都加入這個(gè)DL ，并把FINA 的訪問(wèn)權(quán)賦給DL 。這樣做的壞處是什么呢？因?yàn)镈L 是在B 域中，所以管理權(quán)也在B 域，如果A 域中的5個(gè)人變成6個(gè)人，那只能A 域管理員通知B 域管理員，將DL 的成員做一下修改，B 域的管理員太累了。

這時(shí)候，我們改變一下，在A 和B 域中都各建立一個(gè)全局組（G ），然后在B 域中建立一個(gè)DL ，把這兩個(gè)G 都加入B 域中的DL 中，然后把FINA 的訪問(wèn)權(quán)賦給DL 。哈哈，這下兩個(gè)G 組都有權(quán)訪問(wèn)FINA 文件夾了，是嗎？組嵌套造成權(quán)限繼承嘛！這時(shí)候，兩個(gè)G 分布在A 和B 域中，也就是A 和B 的管理員都可以自己管理自己的G 啦，只要把那5個(gè)人和

3個(gè)人加入G 中，就可以了！以后有任何修改，都可以自己做了，不用麻煩B 域的管理員！這就是A-G-DL-P 。

注：A 表示用戶賬號(hào)，G 表示全局組，U 表示通用組，DL 表示域本地組，P 表示資源權(quán)限。A-G-DL-P 策略是將用戶賬號(hào)添加到全局組中，將全局組添加到域本地組中，然后為域本地組分配資源權(quán)限。

本地域組的成員可以來(lái)自所有域的用戶和組，但其作用域只能是當(dāng)前域。全局組的成員只能來(lái)自當(dāng)前域的用戶和組，而作用域可以是所有的域。

本地域組的權(quán)利是自身的，全局域的權(quán)利是來(lái)自其屬于的本地域組的。

打個(gè)比方，現(xiàn)在有兩個(gè)域domainA,domainB, 用戶UseA,UseB. 在DomainA 上有一個(gè)文件夾Resource.UseB 屬于domainB, 他想訪問(wèn)Resource.

這個(gè)時(shí)候就應(yīng)該先在domainB 上建一個(gè)全局組GlobalB, 然后將UseB 加入GlobalB, 然后到Domain 域中建立一個(gè)域本地組LocalA, 將全局組GlobalB 加入域本地組LocalA, 再針對(duì)域本地組LocalA 授權(quán)對(duì)Resource 的訪問(wèn)權(quán)限。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

外一篇：

從組的使用范圍來(lái)分，可以分為三種：全局組、本地域組和通用組。

全局組主要是用來(lái)組織用戶的。全局組內(nèi)可以包含同一個(gè)域的用戶賬戶與全局組，可以訪問(wèn)任何一個(gè)域內(nèi)的資源。本地域組具有所屬域的訪問(wèn)權(quán)限，以便訪問(wèn)本域的資源。本地域組的成員可以是同一個(gè)域的本地域組，也可以是任何域內(nèi)的賬戶、全局組和通用組，他們能訪問(wèn)的資源只是該本地域組所在域的資源。通用組可以訪問(wèn)任何一個(gè)域內(nèi)的資源，通用組可以包含所有域內(nèi)的用戶賬戶、全局組和通用組。當(dāng)然上面所說(shuō)的訪問(wèn)權(quán)限是要經(jīng)過(guò)設(shè)定的。 安裝域控制器時(shí)，系統(tǒng)會(huì)自動(dòng)生成一些組，稱為內(nèi)置組。這些組都定義了一些常用權(quán)限，通過(guò)將用戶加入到這些內(nèi)置組中，可使用戶獲得相應(yīng)的權(quán)限?！癆ctive Directory用戶和計(jì)算機(jī)”控制臺(tái)的“Builtin”和“Users”組織單元中就是內(nèi)置組。內(nèi)置的本地域組在“Builtin”組織單元中，內(nèi)置的全局組在“Users”組織單元中。

1. 內(nèi)建組：

在“Active Directory用戶及計(jì)算機(jī)”的管理工具中，點(diǎn)樹狀目錄下的“Builtin”文件夾，Windows2000建立了內(nèi)建組。

Account Operators（賬戶操作員）：該組的成員能操作用戶管理員所屬域的賬號(hào)和組，并可設(shè)置其權(quán)限。但是該組成員無(wú)法修改Administrators 及Operators 組及權(quán)限。

Administrators （管理員）：該組的成員可以完全不受限制地存取計(jì)算機(jī)/域的資源，是最具權(quán)力的一個(gè)組。通常，Administrators 賬戶與Domain Admins組都是它的成員。 Backup Operators：該組的成員可使用Windows 備份工具來(lái)進(jìn)行備份/還原工作。

Guests ：該組的成員只能享有管理員授與的權(quán)限以及存取指定權(quán)限的資源。通常，Guest 賬戶與Domain Guest都是該組的成員。

Printer Operators：該組的成員可以管理網(wǎng)絡(luò)打印機(jī)，包括建立、管理以及刪除網(wǎng)絡(luò)打印機(jī)。 Replicator ：該組的成員支持域中的文件復(fù)寫，可啟動(dòng)目錄復(fù)制程序進(jìn)行目錄復(fù)制。

Server Operators：該組的成員可以管理域服務(wù)器，包括：建立/管理/刪除任何服務(wù)器的共享目錄、管理網(wǎng)絡(luò)打印機(jī)、備份任何服務(wù)器的文件、格式化服務(wù)器硬盤、鎖定服務(wù)器以及變更服務(wù)器的系統(tǒng)時(shí)間等權(quán)限。

Users ：該組的成員只可以執(zhí)行得到授權(quán)的應(yīng)用程序，而且不可執(zhí)行大部分的繼承應(yīng)用程序。

2. 通用組：

在“Active Directory用戶及計(jì)算機(jī)”的管理工具中，點(diǎn)樹狀目錄下的“Users”文件夾，

Windows2000建立了內(nèi)建的通用組來(lái)組織不同狀態(tài)的用戶賬戶（一般用戶、Administrators 以及Guests ）。

Domain Admins：該組可以代表具有操作域權(quán)力的用戶，通常，Domain Admins會(huì)屬于Administrators 組，因此該組的成員可以在域中執(zhí)行管理工作。Windows2000 Server不會(huì)將任何我們所建立的賬戶放到Domain Admins 組中，而內(nèi)建的Administrator 賬戶是其唯一的成員。因此，如果您希望某一用戶成為域系統(tǒng)管理器，則我們建議您將該用戶加至Domain Admins組中，而不要直接加至Administrators 組中。

Domain Guests：所有域來(lái)賓，Windows2000會(huì)自動(dòng)將Guest 用戶賬戶加至該組，并將該組加至內(nèi)建域Guests 組中。

Domain Users：所有域的成員，在預(yù)設(shè)的情況下，任何我們所建立的用戶賬戶都會(huì)是Domain Users 組的成員，而任何所建立的計(jì)算機(jī)賬戶都會(huì)是Domain Computers組成員。因此如果我們想要讓所有的賬戶都具有某種資源存取權(quán)限，則可以將該權(quán)限指定給Domain Users組或讓Domain Users組屬于具有該權(quán)限的組。Domain Users組在預(yù)設(shè)的情況下上內(nèi)建域局域Users 組的成員。

轉(zhuǎn)其他論壇貼：（作者:tonybb）

上課了，這節(jié)課講，域本地組（DL ）和全局組（G ）。

請(qǐng)記好：

域本地組：

成員范圍：所有的域

使用范圍：自己所在的域

全局組：

成員范圍：自己所在的域

使用范圍：所有的域

假設(shè)，你有兩個(gè)域，A 和B ，A 中的5個(gè)財(cái)務(wù)人員和B 中的3個(gè)財(cái)務(wù)人員都需要訪問(wèn)B 中的“FINA”文件夾，這時(shí)，你可以在B 中建一個(gè)DL ，因?yàn)镈L 的成員可以來(lái)自所有的域，然后把這8個(gè)人都加入這個(gè)DL ，并把FINA 的訪問(wèn)權(quán)賦給DL 。這樣做的壞處是什么呢？因?yàn)镈L 是在B 域中，所以管理權(quán)也在B 域，如果A 域中的5個(gè)人變成6個(gè)人，那只能A 域管理員通知B 域管理員，將DL 的成員做一下修改，B 域的管理員太累了。

這時(shí)候，我們改變一下，在A 和B 域中都各建立一個(gè)全局組（G ），然后在B 域中建立一個(gè)DL ，把這兩個(gè)G 都加入B 域中的DL 中，然后把FINA 的訪問(wèn)權(quán)賦給DL 。哈哈，這下兩個(gè)G 組都有權(quán)訪問(wèn)FINA 文件夾了，是嗎？組嵌套造成權(quán)限繼承嘛！這時(shí)候，兩個(gè)G 分布在A 和B 域中，也就是A 和B 的管理員都可以自己管理自己的G 啦，只要把那5個(gè)人和3個(gè)人加入G 中，就可以了！以后有任何修改，都可以自己做了，不用麻煩B 域的管理員啦！

這就是AGDLP 。

下課了！

組的類型

1、安全組：安全組主要是用來(lái)設(shè)置權(quán)限用的。

2、分布式組：是用在與安全無(wú)關(guān)的任務(wù)上。可以將email 發(fā)到某個(gè)分布 式組，但不能設(shè)置分布組的基本權(quán)限。分布式組只能用在活動(dòng)目錄中。

□ 組的使用領(lǐng)域

組的使用領(lǐng)域，win2000server 域內(nèi)的組分為以下三個(gè)組。

a 、全局組

b 、本地域組

c 、通用組

全局組：

1、全局組的含義：是用來(lái)組織用戶，也就是可以將多個(gè)權(quán)限想念的用戶帳戶加入到 同一個(gè)全局內(nèi)。

2、全局組的特征：

a 、全局組的成員，只能夠包含該組所屬的域內(nèi)的用戶與全局組。

b 。全局組可以訪問(wèn)任何一個(gè)域內(nèi)的資源。

本地域組：

1、本地域組的含義：

本地域組，主要是被用來(lái)指派其所在域內(nèi)的訪問(wèn)權(quán)限。以便可以訪問(wèn)該域內(nèi)的資源

2、本地域組的特征：

a 、成員：包含任何一個(gè)域內(nèi)用戶帳戶、通用組、全局組，可以包含同一個(gè)域內(nèi)的本 地域組，但不包含其他域內(nèi)的本地域組。

b 、本地域組只能訪問(wèn)同一個(gè)域內(nèi)的資源。

通用組：

1、通用組的含義：是被用來(lái)指派在所有域內(nèi)的訪問(wèn)權(quán)限，以便可以訪問(wèn)每一個(gè)域內(nèi) 資源。

2、通用組的特點(diǎn)：

a 、成員：能夠包含任何一個(gè)域內(nèi)的用戶帳戶、通用組、全局組，但不能任何一個(gè)域 內(nèi)本地域組。

b 、通用組可以訪問(wèn)任何一個(gè)域內(nèi)的資源。

注：只有本機(jī)模式才有通用組的存在；另外也只有在本機(jī)模式下，全局組內(nèi)的成員 才可以飲食另一個(gè)全局組。

□ 更改域的模式

win2000域模式分為混合模式與本機(jī)模式兩種。

混合模式：

1、含義：win2000域被默認(rèn)為混合模式，域控制器可以包括winnt 計(jì)算機(jī)。

2、混合模式的特征：a 、不支持通用性。b 、只有本地域組可以包含全局組，而且是 單一層次的嵌套；不支持其他嵌套。

二、本地域組：

1、含義：所有的域控制都必須是win2000的計(jì)算機(jī)。winnt 可以是成員服務(wù)器。

2、特征：a 、支持所有的組。b 、支持所有的組的嵌套功能。而且是支持多層嵌套功 能。

三、更改域的模式：

1、開始——程序——管理工具——活動(dòng)目錄用戶和計(jì)算機(jī)——單擊域名——鼠標(biāo)右 鍵）——屬性。

2、“常規(guī)”選項(xiàng)卡——更改模式。

3、單擊“是”來(lái)執(zhí)行更改操作。注：一旦更改為本機(jī)模式，就無(wú)法再更改回混合模 式。

□ 組的使用準(zhǔn)則

為了更容易管理網(wǎng)絡(luò)，利用組來(lái)管理網(wǎng)絡(luò)資源時(shí)，建議采用以下兩種最常用的使用 準(zhǔn)則。

全局組與本地域組的使用：

1、建立一個(gè)全局組，然后將具備相同權(quán)限的用戶帳戶加入到此組內(nèi)。

2、建立一個(gè)本地域組，而你即將設(shè)置讓此組對(duì)某些資源具備適當(dāng)?shù)臋?quán)限。

3、將所有即將擁有權(quán)限訪問(wèn)此資源的全局組加入到本地域組內(nèi)。

4、指定適當(dāng)?shù)臋?quán)限給本地域組。

另外兩種使用組的方法，不過(guò)與上述方法使用會(huì)有一點(diǎn)缺點(diǎn)：

1、方法一：將用戶增加到本地域內(nèi)。然后直接設(shè)置此組對(duì)某些資源的權(quán)限。缺點(diǎn)是： 無(wú)法設(shè)置其他域內(nèi)設(shè)置本地域組的權(quán)限。

2、方法二：將用戶帳戶加入到全局域內(nèi)，然后直接設(shè)置此對(duì)某資源的權(quán)限。它的缺 點(diǎn)：如果網(wǎng)絡(luò)內(nèi)包含多個(gè)域，而每個(gè)域內(nèi)都有一些全局組需要對(duì)些資源具備相同的 權(quán)限的話，則必須分別替每個(gè)全局組設(shè)置權(quán)限。浪費(fèi)時(shí)間。

全局組與通用組的配合使用：

1、在每個(gè)域內(nèi)建立一個(gè)全局組，然后將具備相同權(quán)限的用戶帳戶加入到該域的全局 組內(nèi)。

2、在某域內(nèi)建立一個(gè)通用組。而你即將設(shè)置讓此組擁有對(duì)某些資源具備適當(dāng)?shù)臋?quán)限

3、將所有即將擁有權(quán)限訪問(wèn)此資源的全局組加入到此通用組內(nèi)。

4、指定適當(dāng)?shù)臋?quán)限給此通用組。

□ 域組的建立

組的添加、刪除與更名

1、組的建立：

a 、活動(dòng)目錄用戶和計(jì)算機(jī)——域名——user 組織單位——鼠標(biāo)右鍵——新建——組 ——輸入域組名——是。

2、域組的更名：組帳戶——鼠標(biāo)右鍵——重命名。

3、組帳戶的刪除：組帳戶——鼠標(biāo)右鍵——?jiǎng)h除。

添加組成員：

開始——程序——管理工具——活動(dòng)目錄用戶和計(jì)算機(jī)——users 組織單位——域組

帳戶——鼠標(biāo)右鍵——屬性——成員——添加——確定。

□ 本地組的建立

本地組是建立在win2000獨(dú)立服務(wù)器、成員服務(wù)器或win2000pro 的本地安全庫(kù)。

而不是在域控制內(nèi)，本地組只能夠訪問(wèn)此組所在計(jì)算機(jī)內(nèi)的資源。

本地組內(nèi)的成員按是否加入域的形式分兩類：

1、未加入域的本地組成員：只包含本地計(jì)算機(jī)的用戶帳戶。

2、已加入域的本地組成員：本地計(jì)算機(jī)的用戶帳戶、所屬域的域用戶帳戶、所屬域 的全局組、通用組；所信任域的域用戶帳戶；所信任域內(nèi)的全局組，通用組。

增加本地組的步驟：

開始——設(shè)置——控制面板——管理工具——計(jì)算機(jī)管理——系統(tǒng)工具——本地用 戶和組——組——鼠標(biāo)右鍵——添加——確定。

□ 內(nèi)置的組

win2000域內(nèi)含多個(gè)內(nèi)置的組：本地域組、全局組、系統(tǒng)組，而win2000成員服務(wù)器， 獨(dú)立服務(wù)器及win2000pro 內(nèi)則飲食了一些內(nèi)置的本地組與系統(tǒng)組。

內(nèi)置的本地域組：

administrators 、server operators、account operators、printer operators、 backup operators、users 、guests 。

內(nèi)置的全局組：

domain admins、domain admins、domain guests、enterprise guests。

內(nèi)置的本地組：

administrators 、backup operators、users 、power users

全局組、域本地組、通用組到底有什么區(qū)別？它們之間的關(guān)系如何？

問(wèn)：全局組、域本地組、通用組到底有什么區(qū)別？它們之間的關(guān)系如何？

答：很多初級(jí)網(wǎng)管員對(duì)全局組、域本地組、通用組之間區(qū)別、關(guān)系比較模糊。對(duì)于這個(gè)問(wèn)題我們首先要明確全局組、域本地組、通用組的的作用范圍。

全局組：可以全局使用。即：可在本域和有信任關(guān)系的其它域中使用，體現(xiàn)的是全局性。MS 建議的規(guī)則：基于組織結(jié)構(gòu)、行政結(jié)構(gòu)規(guī)劃。

域本地組：只能在本域的域控制器DC 上使用。MS 建議的規(guī)則：基于資源（夾、打印機(jī)……）規(guī)劃。

在域的混合模式下，只能把全局組加入到域本地組，即AGDLP 原則。

注意：2000/03域的默認(rèn)模式為：混合模式。則域本地組：只能在本域的域控制器DC 上使用。若域功能級(jí)別轉(zhuǎn)成本機(jī)模式（或稱2000純模式），甚至03模式，域本地組可在全域范圍內(nèi)使用。

說(shuō)明：全局組和域本地組的關(guān)系，非常類似于域用戶帳號(hào)和本地帳號(hào)的關(guān)系。域用戶帳號(hào)，可以全局使用，即在本域和其它關(guān)系的其它域中都可以使用，而本地帳號(hào)只能在本地機(jī)上使用。下面我來(lái)舉兩個(gè)例子來(lái)進(jìn)一步說(shuō)明（以混合模式下為例）：

例1：將用戶張三（域帳號(hào)Z3）加入到域本地組administrators 中，并不能使Z3對(duì)非DC 的域成員計(jì)算機(jī)有任何特權(quán)，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對(duì)域成員計(jì)算機(jī)是有特權(quán)的。

例2：只有在域的DC 上，對(duì)資源（如：文件/夾）設(shè)置權(quán)限，你可以指派域本地組administrators ；但在非DC 的域成員計(jì)算機(jī)上，你是無(wú)法設(shè)置域本地組administrators 的權(quán)限的。因?yàn)樗怯虮镜亟M，只能在DC 上使用。

通用組：組的成員情況，記錄在全局目錄GC 中，非常適于林中跨域訪問(wèn)使用。集成了全局組和域本地組的長(zhǎng)處。

AGDLP

A (account):用戶帳戶

G (Global group):全局組

DL (Domain local group):域本地組

P (Permission):許可

按照AGDLP 的原則對(duì)用戶進(jìn)行組織和管理起來(lái)更容易

在AGDLP 形成以后當(dāng)給一個(gè)用戶某一個(gè)權(quán)限的時(shí)候, 只要把這個(gè)用戶加入到某一個(gè)本地域組就可以了

組是可包含用戶、計(jì)算機(jī)和其他組的活動(dòng)目錄或本機(jī)對(duì)象。使用組可以控制和管理用戶和計(jì)算機(jī)對(duì)活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享位置、文件、目錄、打印機(jī)等共享資源的訪問(wèn)，還可以向一組用戶發(fā)送電子郵件。

在Windows 2000域中，組根據(jù)其類型可以分為安全組（Securiy Group）和分布組（Distribution ），根據(jù)其范圍又可以分為全局組（Global Group）、域本地組（Domain Local Group ）和通用組（Universal Group）。組的類型決定組可以管理哪些類型的任務(wù)，組的范圍決定組可以作用的范圍。

1. 組的類型

（1）分布組：分布組一般用于組織用戶。使用分布組可以向一組用戶發(fā)送電子郵件，由于它不能用于與安全有關(guān)的功能，不能列于資源和對(duì)象權(quán)限的選擇性訪問(wèn)控制表（DACL ）中。因此，只有在電子郵件應(yīng)用程序（如Exchange ）中才用到分布組。

（2）安全組：安全組一般用于與安全性有關(guān)的授權(quán)功能。使用安全組可以定義資源和對(duì)象權(quán)限的選擇性訪問(wèn)控制表（DACL ），控制和管理用戶和計(jì)算機(jī)對(duì)活動(dòng)目錄對(duì)象及其屬性、網(wǎng)絡(luò)共享位置、文件、目錄和打印機(jī)等資源和對(duì)象的訪問(wèn)。安全組中的成員會(huì)自動(dòng)繼承其所屬安全組的所有權(quán)限。

安全組具有分布組的全部功能，也可用作電子郵件實(shí)體。當(dāng)向安全組發(fā)送電子郵件時(shí)，會(huì)將郵件發(fā)給安全組的所有成員。

2. 組的范圍

（1）全局組：全局組的成員關(guān)系和范圍如表1。

表1 全局組的成員關(guān)系和范圍

混合模式 本機(jī)模式

可包含的成員 本域中的用戶賬號(hào)

可加入的組 域本地組

作用范圍 在本域和所有的信任域中都是可見(jiàn)的

權(quán)限范圍 森林中所有的域

（2）域本地組：域本地組的成員關(guān)系和范圍如表2。

表2 域本地組的成員關(guān)系和范圍

混合模式 本機(jī)模式

可包含的成員 任何域中的用戶賬戶和全局組 森林中任何域中的用戶賬戶、全局組和通用組

以及本域中的域本地組

可加入的組 不能是任何組的成員 本域中的域本地組

作用范圍 只在其自己的域中可見(jiàn)

權(quán)限范圍 域本地組所在的域

（3）通用組：域本地組的成員關(guān)系和范圍見(jiàn)表3。

表3 域本地組的成員關(guān)系和范圍

混合模式 本機(jī)模式

可包含的成員 不能創(chuàng)建通用組 森林中任何域中的用戶賬戶、全局組和其他的通用組 可加入的組 不能創(chuàng)建通用組 任何域中的域本地組和通用組

作用范圍 在森林中的所有域中都是可見(jiàn)的

權(quán)限范圍 目錄林中的所有域

如果要在域目錄林中實(shí)現(xiàn)對(duì)于資源（可以是文件夾或打印機(jī)）的訪問(wèn)授權(quán)，推薦使用

“AGDLP”規(guī)則。即首先把用戶賬戶（Account ）加入到全局組（Global group），然后把全局組加入到域本地組（Domain Local group，可以是本域或其他域的域本地組），最后，對(duì)于域本地組進(jìn)行授權(quán)（Permissions ）。

到了現(xiàn)在，你可能在想“為什么我要用其它組類型，而不用通用組？它給了我要的一切!”答案是，因?yàn)橥ㄓ媒M和它的成員被列在全局編目里 (GC)。

每次GC 在你的森林的域之間復(fù)制時(shí)，都包括通用組的成員。與通用組類似，全局組和域本地組也被列在GC 里，但是，它們的成員并不列在GC 中。通過(guò)在合適的位置使用全局組和域本地組，你能夠減小你的AD DC的尺寸，這樣就會(huì)明顯地降低保持GC 最新所產(chǎn)生的復(fù)制流量。

在選擇組范圍時(shí)，應(yīng)當(dāng)仔細(xì)選擇。在你的域運(yùn)行在混合模式下時(shí)，你不能改變組的范圍。如果你運(yùn)行在純(Native)模式，就允許你把全局組轉(zhuǎn)變通用組，前題是全局組不是另外一個(gè)全局的成員，也可以把域本地組轉(zhuǎn)變成通用組，前提是域本地組中不包括另一個(gè)域本地組作為它的成員。

現(xiàn)在知道了組的范圍，再讓我們簡(jiǎn)略地談?wù)劷⑿陆M最簡(jiǎn)單的部分－組的名稱。在你為組起名時(shí)，全局組和域本地組在你創(chuàng)建它們的域里必須是唯一的。而通用組，則必須在整個(gè)森林里是唯一的。 特別注意的是，由于GC 中不僅包含通用組，還包含有通用組的成員信息，因此每次對(duì)通用的修改（成員增加/刪除），都會(huì)引發(fā)GC 復(fù)制流量。所以，通用組的

成員不要經(jīng)常頻繁的發(fā)生變化。否則會(huì)帶來(lái)大量的復(fù)制流量。另外，WIN2000在登錄時(shí)系統(tǒng)需要向GC 查詢用戶的通用組成員身份，以生成訪問(wèn)令牌，所以在GC 不可用時(shí)，WIN2000用戶有可能不能正常訪問(wèn)網(wǎng)絡(luò)資源。

（轉(zhuǎn)）Windows 2000 域環(huán)境中的組（正式版）

蒙蒙蟲 QQ ：1724940

E-mail:

-----------------------------------------------------------------

前言

Native Mode（本地模式）和Mixed Mode（混合模式）之區(qū)別

本地模式和混合模式是兩種域的操作模式，默認(rèn)新建的域?yàn)榛旌夏Ｊ?。如果你不清楚可以?Active Directory 域和信任關(guān)系中查到當(dāng)前域的操作模式。本地模式要求所有的域控制器是Windows 2000,注意, 是域控制器，也就是安裝了Active Directory的服務(wù)器，并非成員服務(wù)器（沒(méi)有裝AD ）。成員服務(wù)器和客戶機(jī)依然可以運(yùn)行Windows NT ,Windows 9X 系列。混合模式下域控制器中還可以有Windows NT Server，所以微軟在說(shuō)明混合模式主要用于域遷移過(guò)程中，如從NT4 Domain 升級(jí)到 2000 Domain。

[俺的補(bǔ)充]域模式的提升是不可逆的，一旦提升至本級(jí)模式將不能返回混合模式，俺這里沒(méi)有其它域控制器，域直接創(chuàng)建成本機(jī)模式

正文

A.OU （組織單元）與Group （組）之對(duì)比

首先我們要明確OU 與Group 是完全不同的概念，OU 的主要是為進(jìn)行管理上層次組織以及組策略的實(shí)施而設(shè)立的容器。簡(jiǎn)單的說(shuō)，你不能為一個(gè)OU 設(shè)置權(quán)限，但是，你可以為一個(gè)OU 指定組策略，并且，你可以為一個(gè)OU 將權(quán)力委派控制（在2000中是這么說(shuō)的，但說(shuō)成是“下放”也不為過(guò)）給特定的用戶，組，或計(jì)算機(jī)（有點(diǎn)兒象人事部？），讓他（她，它）們對(duì)OU 內(nèi)的成員有額外的權(quán)利。

Group 相比起OU ，分類更為復(fù)雜一些。但你可以為組分配權(quán)力和權(quán)限，這一點(diǎn)OU 是做不到的。微軟對(duì)組的作用的解釋是：

1．管理用戶和計(jì)算機(jī)對(duì)資源（網(wǎng)絡(luò)共享、文件、目錄、打印機(jī)，以及AD 內(nèi)對(duì)象的屬性）的訪問(wèn)。

2．建立 E-Mail 發(fā)送列表。

3．過(guò)濾（或篩選）組策略

總而言之，一句經(jīng)典的話可以概括OU 與Group 的不同