Security Group: Domain Local, Global, 和Universal 有什么区别?

发现在Domain Controller里的Active Directory Users and Computers里有个叫做Builtin的文件夹节点. 其中包含的用户组的类型都是Security Group- Domain Local. 发现还有其他的类型, 比如Global, Universal. 他们之间有什么区别呢?

 

这个问题的知识范畴属于Active Directory的Group Scope.

 

Domain local group可以包含任何一种universal group, global group, 本domain内的其他local group, 本forest内的任何domain的account。

Local security group可以被赋予可以访问仅存在于本domain中的资源的权限。

 

Global group可以在它所在的domain内使用,还有其内的成员服务器或工作站,还有信任本domain的domain中使用。在所有这些地方,你可以赋予global group权限,也可以让global group成为local group的成员。然而,global group仅能包含它所在domain的用户帐户。

 

Universal group是包含本forest内的任何domain内的用户,组,计算机的security goup或distribution group。你可以给universal group在本forest中的任何domain中的资源上赋权限。

 

何时使用domain local scope?

==============

比方说,我们想赋予五个用户访问一个打印机的权限。 我们可以创建一个local group,赋予这个local group权限访问该打印机。

然后创建一个global group,将这五个账户放入其中。

再将这个global group添加到local group中。

这样,这五个账户就可以访问该打印机了。

如果稍后我们又添了个打印机,就直接让那个local group有权限访问新打印机就好了。

 

何时使用global scope?

==============

比如说,网络中有两个domain, 一个US, 一个Euro, 假设我们在USdomain里有个叫做GLAccounting的global group. 那么我么也应该在Euro的domain里也创建一个同样名字的叫做GLAccounting的global group.

 

何时使用universal scope?

==============

还是举US和Euro domain的例子, 两个domain中都有个叫做GLAccounting的global group. 我们应该创建一个叫做UAccounting的universal group, 然后把那两个GLAccounting添加为这个UAccounting组的成员, 这样整个企业内都可以使用UAccounting的group了. 任何GLAccounting组内的人员变更不会引发UAccounting组的变更复制(replication).

尽量不要频繁变更universal group的成员, 因为任何修改都会导致该group的membership在forest中的所有的Global catalog中复制.

 

参考资料:

Group Scope

http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx

http://support.microsoft.com/kb/884417

posted on 2010-03-09 11:08  中道学友  阅读(7829)  评论(0编辑  收藏  举报

导航

技术追求准确,态度积极向上