转载:http://hi.baidu.com/chin/blog/item/543ce5dd3eea79ef77c63862.html
|
在Active Directory中组分为两类:安全组和通讯组。安全组是给共享资源指派权限的,通讯组没有安全方面的功能,基本只应用于电子邮件程序中,所以通讯组不多作介绍,下面将着重分析Active Directory中的安全组的作用域及其功能。 组一般都有自己的作用域的,用来确定树或林中该组的应用范围。在Active Directory中有三种不同的组的作用域:通用,全局和本地域。相对应的就划分为三种不同的组即通用组,全局组和域本地组(在windows2003以前是没有通用作用域的,这里所介绍的是以windows server 2003为基础的)。 通用组:是一种集全局组和域本地组优点于一身的组,可以包含森林中任何的帐户,全局组和通用组,不能隶属于全局组,当只有在win2000本机模式或以上时才能被新建。 全局组:可以在林中任意使用,体现的是全局性,也就是说可以利用全局组授予访问任何域上的资源的权限,但其成员只能是相同域的帐户和全局组(在win2000本机模式或以上),在混合模式时成员只能是相同域的帐户。 域本地组:通常情况下用于授予在本域资源的访问权限,成员包含林中的帐户,全局组,通用组(在混合模式下没有通用组)。 具体的环境中怎样使用这三个组呢? 先来说说这三个组的特点: 通用组的主要作用是用来合并跨越不同域的组,由于通用组通用组存储在全局编录 (GC) 中,因此对通用组的修改都会复制到全局编录中,当一个通用组频繁的修改的时候,无形之中就增加了网络的开销,因此一个设计优秀的网络中的通用组一定是不经常变更的。所以将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。这样当人员频繁的发生变动时,也只是修改全局组,而通用组依然不动。 全局组是属于本域的,它的修改不在自身域外复制,所以全局组允许内部频繁的修改(添加删除用户等等),虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。 域本地组可被添加到其他本地域组并且仅在相同域中指派权限,因此域本地组就被完全限制了在本域内,所以对于一个多域的环境,由于其它域不能评估本地域组,因此不应该用域本地组来为Active Directory中的对象分配权限。正是因为这一特点,使它只能够分配资源,因为资源不具有流动性(一个域中的打印机不可能跑到另一个域中)。 基于以上三个组的特点我们可以很明确的给出几个原则: A→G←P 整个林中只有一个域和非常少的用户,并且不准备其它的域加入到林中 A→DL←P 整个林中只有一个域和非常少的用户,并且不准备其它的域加入到林中,且域中没有NT4.0的成员服务器 A→G→DL←P 整个林中包含一个或多个域,并且将来也需要添加域 A→G→U→DL←P 林中有多个需要管理员集中管理全局组的域 A→G→L←P 将NT4.0升级到win2003 A (account):用户帐户 因此可以说全局组的主要作用是基于组织结构、行政结构规划;域本地组的作用是基于资源规划。而通用组的主要作用是让组织结构、行政结构与资源规划连通的一个组。用一句俗语可以很好的说明:“人以群分,物以类聚”。全局组用来划分人,域本地组用来划分资源也就是物,通用组把人与资源集合起来。 |