通用组全局组本地域组地区别.docx
《通用组全局组本地域组地区别.docx》由会员分享,可在线阅读,更多相关《通用组全局组本地域组地区别.docx(13页珍藏版)》请在冰豆网上搜索。
通用组全局组本地域组地区别
通用组、全局组、本地域组的区别
1、本地域组:
多域用户访问单域资源(访问同一个域)
本地域组的成员可包括WindowsServer2003、Windows2000或WindowsNT域中的其他组和账户,而且只能在其所在域指派权限。
2、全局组:
单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
3、通用组:
多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。
本地域组:
可以从任何域添加用户账户、通用组和全局组。
域本地组不能嵌套于其他组中。
它主要是用于授予位于本域资源的访问权限。
全局组:
只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。
虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
通用组:
通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。
比如:
有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。
这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。
这样做的坏处是什么呢?
因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。
哈哈,这下两个G组都有权访问FINA文件夹了,是吗?
组嵌套造成权限继承嘛!
这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!
以后有任何修改,都可以自己做了,不用麻烦B域的管理员!
这就是A-G-DL-P。
注:
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。
全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
打个比方,现在有两个域domainA,domainB,用户UseA,UseB.在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。
---------------------------------------------------
外一篇:
从组的使用围来分,可以分为三种:
全局组、本地域组和通用组。
全局组主要是用来组织用户的。
全局组可以包含同一个域的用户账户与全局组,可以访问任何一个域的资源。
本地域组具有所属域的访问权限,以便访问本域的资源。
本地域组的成员可以是同一个域的本地域组,也可以是任何域的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。
通用组可以访问任何一个域的资源,通用组可以包含所有域的用户账户、全局组和通用组。
当然上面所说的访问权限是要经过设定的。
安装域控制器时,系统会自动生成一些组,称为置组。
这些组都定义了一些常用权限,通过将用户加入到这些置组中,可使用户获得相应的权限。
“ActiveDirectory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是置组。
置的本地域组在“Builtin”组织单元中,置的全局组在“Users”组织单元中。
1.建组:
在“ActiveDirectory用户及计算机”的管理工具中,点树状目录下的“Builtin”文件夹,Windows2000建立了建组。
AccountOperators(账户操作员):
该组的成员能操作用户管理员所属域的账号和组,并可设置其权限。
但是该组成员无法修改Administrators及Operators组及权限。
Administrators(管理员):
该组的成员可以完全不受限制地存取计算机/域的资源,是最具权力的一个组。
通常,Administrators账户与DomainAdmins组都是它的成员。
BackupOperators:
该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests:
该组的成员只能享有管理员授与的权限以及存取指定权限的资源。
通常,Guest账户与DomainGuest都是该组的成员。
PrinterOperators:
该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:
该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
ServerOperators:
该组的成员可以管理域服务器,包括:
建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users:
该组的成员只可以执行得到授权的应用程序,而且不可执行大部分的继承应用程序。
2.通用组:
在“ActiveDirectory用户及计算机”的管理工具中,点树状目录下的“Users”文件夹,Windows2000建立了建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guests)。
DomainAdmins:
该组可以代表具有操作域权力的用户,通常,DomainAdmins会属于Administrators组,因此该组的成员可以在域中执行管理工作。
Windows2000Server不会将任何我们所建立的账户放到DomainAdmins组中,而建的Administrator账户是其唯一的成员。
因此,如果您希望某一用户成为域系统管理器,则我们建议您将该用户加至DomainAdmins组中,而不要直接加至Administrators组中。
DomainGuests:
所有域来宾,Windows2000会自动将Guest用户账户加至该组,并将该组加至建域Guests组中。
DomainUsers:
所有域的成员,在预设的情况下,任何我们所建立的用户账户都会是DomainUsers组的成员,而任何所建立的计算机账户都会是DomainComputers组成员。
因此如果我们想要让所有的账户都具有某种资源存取权限,则可以将该权限指定给DomainUsers组或让DomainUsers组属于具有该权限的组。
DomainUsers组在预设的情况下上建域局域Users组的成员。
转其他论坛贴:
(作者:
tonybb)
上课了,这节课讲,域本地组(DL)和全局组(G)。
请记好:
域本地组:
成员围:
所有的域
使用围:
自己所在的域
全局组:
成员围:
自己所在的域
使用围:
所有的域
假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,你可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。
这样做的坏处是什么呢?
因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。
哈哈,这下两个G组都有权访问FINA文件夹了,是吗?
组嵌套造成权限继承嘛!
这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!
以后有任何修改,都可以自己做了,不用麻烦B域的管理员啦!
这就是AGDLP。
下课了!
组的类型
1、安全组:
安全组主要是用来设置权限用的。
2、分布式组:
是用在与安全无关的任务上。
可以将email发到某个分布 式组,但不能设置分布组的基本权限。
分布式组只能用在活动目录中。
□组的使用领域
组的使用领域,win2000server域的组分为以下三个组。
a、全局组
b、本地域组
c、通用组
全局组:
1、全局组的含义:
是用来组织用户,也就是可以将多个权限想念的用户加入到
同一个全局。
2、全局组的特征:
a、全局组的成员,只能够包含该组所属的域的用户与全局组。
b。
全局组可以访问任何一个域的资源。
本地域组:
1、本地域组的含义:
本地域组,主要是被用来指派其所在域的访问权限。
以便可以访问该域的资源
2、本地域组的特征:
a、成员:
包含任何一个域用户、通用组、全局组,可以包含同一个域的本
地域组,但不包含其他域的本地域组。
b、本地域组只能访问同一个域的资源。
通用组:
1、通用组的含义:
是被用来指派在所有域的访问权限,以便可以访问每一个域
资源。
2、通用组的特点:
a、成员:
能够包含任何一个域的用户、通用组、全局组,但不能任何一个域
本地域组。
b、通用组可以访问任何一个域的资源。
注:
只有本机模式才有通用组的存在;另外也只有在本机模式下,全局组的成员
才可以饮食另一个全局组。
□更改域的模式
win2000域模式分为混合模式与本机模式两种。
混合模式:
1、含义:
win2000域被默认为混合模式,域控制器可以包括winnt计算机。
2、混合模式的特征:
a、不支持通用性。
b、只有本地域组可以包含全局组,而且是
单一层次的嵌套;不支持其他嵌套。
二、本地域组:
1、含义:
所有的域控制都必须是win2000的计算机。
winnt可以是成员服务器。
2、特征:
a、支持所有的组。
b、支持所有的组的嵌套功能。
而且是支持多层嵌套功
能。
三、更改域的模式:
1、开始——程序——管理工具——活动目录用户和计算机——单击域名——鼠标右
键)——属性。
2、“常规”选项卡——更改模式。
3、单击“是”来执行更改操作。
注:
一旦更改为本机模式,就无法再更改回混合模
式。
□组的使用准则
为了更容易管理网络,利用组来管理网络资源时,建议采用以下两种最常用的使用
准则。
全局组与本地域组的使用:
1、建立一个全局组,然后将具备相同权限的用户加入到此组。
2、建立一个本地域组,而你即将设置让此组对某些资源具备适当的权限。
3、将所有即将拥有权限访问此资源的全局组加入到本地域组。
4、指定适当的权限给本地域组。
另外两种使用组的方法,不过与上述方法使用会有一点缺点:
1、方法一:
将用户增加到本地域。
然后直接设置此组对某些资源的权限。
缺点是:
无法设置其他域设置本地域组的权限。
2、方法二:
将用户加入到全局域,然后直接设置此对某资源的权限。
它的缺
点:
如果网络包含多个域,而每个域都有一些全局组需要对些资源具备相同的
权限的话,则必须分别替每个全局组设置权限。
浪费时间。
全局组与通用组的配合使用:
1、在每个域建立一个全局组,然后将具备相同权限的用户加入到该域的全局
组。
2、在某域建立一个通用组。
而你即将设置让此组拥有对某些资源具备适当的权限
3、将所有即将拥有权限访问此资源的全局组加入到此通用组。
4、指定适当的权限给此通用组。
□域组的建立
组的添加、删除与更名
1、组的建立:
a、活动目录用户和计算机——域名——user组织单位——鼠标右键——新建——组
——输入域组名——是。
2、域组的更名:
组——鼠标右键——重命名。
3、组的删除:
组——鼠标右键——删除。
添加组成员:
开始——程序——管理工具——活动目录用户和计算机——users组织单位——域组
——鼠标右键——属性——成员——添加——确定。
□本地组的建立
本地组是建立在win2000独立服务器、成员服务器或win2000pro的本地安全数据库。
而不是在域控制,本地组只能够访问此组所在计算机的资源。
本地组的成员按是否加入域的形式分两类:
1、未加入域的本地组成员:
只包含本地计算机的用户。
2、已加入域的本地组成员:
本地计算机的用户、所属域的域用户、所属域
的全局组、通用组;所信任域的域用户;所信任域的全局组,通用组。
增加本地组的步骤:
开始——设置——控制面板——管理工具——计算机管理——系统工具——本地用
户和组——组——鼠标右键——添加——确定。
□置的组
win2000域含多个置的组:
本地域组、全局组、系统组,而win2000成员服务器,
独立服务器及win2000pro则饮食了一些置的本地组与系统组。
置的本地域组:
administrators、serveroperators、accountoperators、printeroperators、
backupoperators、users、guests。
置的全局组:
domainadmins、domainadmins、domainguests、enterpriseguests。
置的本地组:
administrators、backupoperators、users、powerusers
全局组、域本地组、通用组到底有什么区别?
它们之间的关系如何?
问:
全局组、域本地组、通用组到底有什么区别?
它们之间的关系如何?
答:
很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。
对于这个问题我们首先要明确全局组、域本地组、通用组的的作用围。
全局组:
可以全局使用。
即:
可在本域和有信任关系的其它域中使用,体现的是全局性。
MS建议的规则:
基于组织结构、行政结构规划。
域本地组:
只能在本域的域控制器DC上使用。
MS建议的规则:
基于资源(夹、打印机……)规划。
在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。
注意:
2000/03域的默认模式为:
混合模式。
则域本地组:
只能在本域的域控制器DC上使用。
若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域围使用。
说明:
全局组和域本地组的关系,非常类似于域用户和本地的关系。
域用户,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地只能在本地机上使用。
下面我来举两个例子来进一步说明(以混合模式下为例):
例1:
将用户三(域Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组DomainAdmins中,三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:
只有在域的DC上,对资源(如:
文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。
因为它是域本地组,只能在DC上使用。
通用组:
组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。
集成了全局组和域本地组的长处。
AGDLP
A(account):
用户
G(Globalgroup):
全局组
DL(Domainlocalgroup):
域本地组
P(Permission):
许可
按照AGDLP的原则对用户进行组织和管理起来更容易
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了
组是可包含用户、计算机和其他组的活动目录或本机对象。
使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问,还可以向一组用户发送电子。
在Windows2000域中,组根据其类型可以分为安全组(SecuriyGroup)和分布组(Distribution),根据其围又可以分为全局组(GlobalGroup)、域本地组(DomainLocalGroup)和通用组(UniversalGroup)。
组的类型决定组可以管理哪些类型的任务,组的围决定组可以作用的围。
1.组的类型
(1)分布组:
分布组一般用于组织用户。
使用分布组可以向一组用户发送电子,由于它不能用于与安全有关的功能,不能列于资源和对象权限的选择性访问控制表(DACL)中。
因此,只有在电子应用程序(如Exchange)中才用到分布组。
(2)安全组:
安全组一般用于与安全性有关的授权功能。
使用安全组可以定义资源和对象权限的选择性访问控制表(DACL),控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。
安全组中的成员会自动继承其所属安全组的所有权限。
安全组具有分布组的全部功能,也可用作电子实体。
当向安全组发送电子时,会将发给安全组的所有成员。
2.组的围
(1)全局组:
全局组的成员关系和围如表1。
表1全局组的成员关系和围
混合模式本机模式
可包含的成员本域中的用户账号
可加入的组域本地组
作用围在本域和所有的信任域中都是可见的
权限围森林中所有的域
(2)域本地组:
域本地组的成员关系和围如表2。
表2域本地组的成员关系和围
混合模式本机模式
可包含的成员任何域中的用户账户和全局组森林中任何域中的用户账户、全局组和通用组
以及本域中的域本地组
可加入的组不能是任何组的成员本域中的域本地组
作用围只在其自己的域中可见
权限围域本地组所在的域
(3)通用组:
域本地组的成员关系和围见表3。
表3域本地组的成员关系和围
混合模式本机模式
可包含的成员不能创建通用组森林中任何域中的用户账户、全局组和其他的通用组
可加入的组不能创建通用组任何域中的域本地组和通用组
作用围在森林中的所有域中都是可见的
权限围目录林中的所有域
如果要在域目录林中实现对于资源(可以是文件夹或打印机)的访问授权,推荐使用“AGDLP”规则。
即首先把用户账户(Account)加入到全局组(Globalgroup),然后把全局组加入到域本地组(DomainLocalgroup,可以是本域或其他域的域本地组),最后,对于域本地组进行授权(Permissions)。
到了现在,你可能在想“为什么我要用其它组类型,而不用通用组?
它给了我要的一切!
”答案是,因为通用组和它的成员被列在全局编目里(GC)。
每次GC在你的森林的域之间复制时,都包括通用组的成员。
与通用组类似,全局组和域本地组也被列在GC里,但是,它们的成员并不列在GC中。
通过在合适的位置使用全局组和域本地组,你能够减小你的ADDC的尺寸,这样就会明显地降低保持GC最新所产生的复制流量。
在选择组围时,应当仔细选择。
在你的域运行在混合模式下时,你不能改变组的围。
如果你运行在纯(Native)模式,就允许你把全局组转变通用组,前题是全局组不是另外一个全局的成员,也可以把域本地组转变成通用组,前提是域本地组中不包括另一个域本地组作为它的成员。
现在知道了组的围,再让我们简略地谈谈建立新组最简单的部分-组的名称。
在你为组起名时,全局组和域本地组在你创建它们的域里必须是唯一的。
而通用组,则必须在整个森林里是唯一的。
特别注意的是,由于GC中不仅包含通用组,还包含有通用组的成员信息,因此每次对通用的修改(成员增加/删除),都会引发GC复制流量。
所以,通用组的成员不要经常频繁的发生变化。
否则会带来大量的复制流量。
另外,WIN2000在登录时系统需要向GC查询用户的通用组成员身份,以生成访问令牌,所以在GC不可用时,WIN2000用户有可能不能正常访问网络资源。
(转)Windows2000域环境中的组(正式版)
蒙蒙虫QQ:
1724940
E-mail:
-----------------------------------------------------------------
前言
NativeMode(本地模式)和MixedMode(混合模式)之区别
本地模式和混合模式是两种域的操作模式,默认新建的域为混合模式。
如果你不清楚可以在ActiveDirectory域和信任关系中查到当前域的操作模式。
本地模式要求所有的域控制器是Windows2000,注意,是域控制器,也就是安装了ActiveDirectory的服务器,并非成员服务器(没有装AD)。
成员服务器和客户机依然可以运行WindowsNT,Windows9X系列。
混合模式下域控制器中还可以有WindowsNTServer,所以微软在说明混合模式主要用于域迁移过程中,如从NT4Domain升级到2000Domain。
[俺的补充]域模式的提升是不可逆的,一旦提升至本级模式将不能返回混合模式,俺这里没有其它域控制器,域直接创建成本机模式
正文
A.OU(组织单元)与Group(组)之对比
首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。
简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?
),让他(她,它)们对OU的成员有额外的权利。
Group相比起OU,分类更为复杂一些。
但你可以为组分配权力和权限,这一点OU是做不到的。
微软对组的作用的解释是:
1.