Security Group: Domain Local, Global, 和Universal 有什么区别?
发现在Domain Controller里的Active Directory Users and Computers里有个叫做Builtin的文件夹节点. 其中包含的用户组的类型都是Security Group- Domain Local. 发现还有其他的类型, 比如Global, Universal. 他们之间有什么区别呢?
这个问题的知识范畴属于Active Directory的Group Scope.
Domain local group可以包含任何一种universal group, global group, 本domain内的其他local group, 本forest内的任何domain的account。
Local security group可以被赋予可以访问仅存在于本domain中的资源的权限。
Global group可以在它所在的domain内使用,还有其内的成员服务器或工作站,还有信任本domain的domain中使用。在所有这些地方,你可以赋予global group权限,也可以让global group成为local group的成员。然而,global group仅能包含它所在domain的用户帐户。
Universal group是包含本forest内的任何domain内的用户,组,计算机的security goup或distribution group。你可以给universal group在本forest中的任何domain中的资源上赋权限。
何时使用domain local scope?
==============
比方说,我们想赋予五个用户访问一个打印机的权限。 我们可以创建一个local group,赋予这个local group权限访问该打印机。
然后创建一个global group,将这五个账户放入其中。
再将这个global group添加到local group中。
这样,这五个账户就可以访问该打印机了。
如果稍后我们又添了个打印机,就直接让那个local group有权限访问新打印机就好了。
何时使用global scope?
==============
比如说,网络中有两个domain, 一个US, 一个Euro, 假设我们在USdomain里有个叫做GLAccounting的global group. 那么我么也应该在Euro的domain里也创建一个同样名字的叫做GLAccounting的global group.
何时使用universal scope?
==============
还是举US和Euro domain的例子, 两个domain中都有个叫做GLAccounting的global group. 我们应该创建一个叫做UAccounting的universal group, 然后把那两个GLAccounting添加为这个UAccounting组的成员, 这样整个企业内都可以使用UAccounting的group了. 任何GLAccounting组内的人员变更不会引发UAccounting组的变更复制(replication).
尽量不要频繁变更universal group的成员, 因为任何修改都会导致该group的membership在forest中的所有的Global catalog中复制.
参考资料:
Group Scope
http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx