新进化论

道生一,一生二,二生三,三生万物。
  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::
组的作用域
组作用域

组作用域

任何组(不论是安全组还是通讯组)都有一个作用域,用来识别在域树或林中该组的应用范围。组作用域的边界或范围也由所驻留的域的域功能级别设置决定。有三种组作用域:通用、全局和本地域。

下表描述了各个组的作用域之间的差别。

 

组作用域

组可以包括…作为其成员

组可以在…中分配权限

组作用域可以转换为…

通用
  • 来自此通用组所驻留的林内的任何域的帐户

  • 来自此通用组所驻留的林内的任何域的全局组

  • 来自此通用组所驻留的林内的任何域的通用组

任何域或林
  • 本地域

  • 全局(只要是没有其他通用组作为成员存在)

全局
  • 与父全局组来自同一域的帐户

  • 与父全局组来自同一域的全局组

可以在任何域中分配成员权限

通用(只要不是任何其他全局组中的成员)

本地域
  • 来自任何域的帐户

  • 来自任何域的全局组

  • 来自任何域的通用组

  • 仅与父域本地组来自同一域的域本地组

成员权限只能在与父域本地组相同的域中分配

通用(只要没有其他域本地组作为成员存在)

noteNote
此表中的信息暗指域功能级别设置为 Windows 2000 本机模式、Windows Server 2003 或 Windows Server 2003 过渡版。当域功能级别设置为 Windows 2000 混合模式时,不能创建具有通用作用域的安全组,但仍允许具有通用作用域的通讯组。

何时使用具有本地域作用域的组

具有本地域作用域的组将帮助您定义和管理对单个域内资源的访问。例如,要使五个用户帐户访问特定的打印机,您可以将所有五个用户添加到打印机权限列表中。但是,如果您以后希望这五个用户都能访问新的打印机,则必须再次在新打印机的权限列表中指定这五个帐户。

如果采用简单的规划,您可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将五个用户帐户放在具有全局作用域的组中,然后将该组添加到有域本地作用域的组中。当您希望使五个用户访问新打印机时,可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。

何时使用具有全局作用域的组

使用具有全局作用域的组管理那些需要每天维护的目录对象,如用户和计算机帐户。因为有全局作用域的组未在自身的域之外复制,所以您可以在具有全局作用域的组中频繁更改帐户,不会对全局编录生成复制流量。有关组和复制的详细信息,请参阅复制的工作原理

虽然权利和权限指派只在指派它们的域内有效,但是通过在相应的域中统一应用具有全局作用域的组,可以合并对具有类似用途的帐户的引用。这样可以简化不同域之间的管理,并使之合理化。例如,在具有两个域(如 Europe 和 UnitedStates)的网络中,如果 UnitedStates 域中有一个具有全局作用域的组称作 GLAccounting,则在 Europe 域中创建一个称作 GLAccounting 的组(除非 Europe 域中不存在帐户功能)。

强烈建议在指定复制到全局编录的域目录对象的权限时,使用全局组或通用组,而不是域本地组。有关详细信息,请参阅全局编录复制

noteNote
当域功能级别设置为 Windows 2000 混合模式时,全局组的成员只能包括来自相同域的帐户。

何时使用具有通用作用域的组

使用具有通用作用域的组来合并跨越不同域的组。为此,请将帐户添加到具有全局作用域的组,然后将这些组嵌套在具有通用作用域的组内。使用此策略时,对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。

例如,在具有 Europe 和 UnitedStates 这两个域的网络中,每个域中都有一个名为 GLAccounting 的全局作用域的组,请创建一个具有名为 UAccounting 的通用作用域的组,该组具有两个 GLAccounting 成员组:UnitedStates\GLAccounting 和 Europe\GLAccounting。这样就可在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组的成员身份所做的任何更改都不会引起 UAccounting 组的复制。

不要频繁更改具有通用作用域的组成员身份,因为对这些组成员身份的任何更改都将导致整个组的成员身份复制到林中的每个全局编录中。有关通用组和复制的详细信息,请参阅全局编录和站点

noteNote
当域功能级别设置为 Windows 2000 混合模式时,不能创建具有通用作用域的安全组。

更改组作用域

创建新组时,默认情况下,新组配置为具有全局作用域的安全组,而不考虑当前域功能级别。尽管在域功能级别设置为 Windows 2000 混合模式的域中不允许更改组作用域,但在其域功能级别设置为 Windows 2000 本机模式或 Windows Server 2003 的域中,允许进行下列转换:

  • 全局到通用。只有当要更改的组不是另一个全局作用域组的成员时,才允许进行该转换。

  • 本地域到通用。只有当要更改的组没有另一个域本地组作为其成员时,才允许进行该转换。

  • 通用到全局。只有当要更改的组没有另一个通用组作为其成员时,才允许进行该转换。

  • 通用到本地域。此操作没有限制。

有关详细信息,请参阅更改组作用域

在客户端计算机和独立服务器上的组

某些组功能,诸如通用组、组嵌套以及安全组和分发组之间的区分,仅在 Active Directory 域控制器和成员服务器上提供。在 Windows 2000 Professional、Windows XP Professional、Windows 2000 Server 和运行 Windows Server 2003 的独立服务器上的组帐户与 Windows NT 4.0 中的组帐户工作原理相同:

  • 在计算机上只能在本地创建本地组。

  • 如果本地组是在其中一台计算机上创建的,则只能在此计算机上向本地组分配权限。

posted on 2009-04-12 15:51  岌岌可危  阅读(503)  评论(0编辑  收藏  举报