在域环境中,为了方便对用户权限进行管理,需要将具有相同权限的用户划为一组。
这样,只要对这个用户组赋予一定的权限,那么该组内的用户就获得了相同的权限。
组(Group) 是用户账号的集合,按照用途,可以分为通讯组和安全组。
通讯组就是一个通讯群组。例如,把某部门的所有员工拉进同一个通讯组,当给这
个通讯组发信息时,组内的所有用户都能收到。
安全组则是用户权限的集合。例如,管理员在日常的网络管理中,不必向每个用户
账号都设置单独的访问权限,只需创建一个组,对这个组赋予特权,再将需要该特权的
用户拉进这个组即可。
根据组的作用范围,安全组可以分为域本地组、通用组和全局组。注意,这里的“作
用范围”指的是组在域树或域林中应用的范围。
域本地组作用于本域,主要用于访问同一个域中的资源。除了本组内的用户,域本地组还可以包含域林内的任何一个域和通用组、全局组的用户,但无法包含其他域中的域本地组。域本地组只能够访问本域中的资源,无法访问其他不同域中的资源。也就是说,当管理员进行域组管理时,只能为域本地组授予对本域的资源访问权限,无法授予对其他不同域中的资源访问权限。
当域林中多个域的用户想要访问一个域的资源时,可以从其他域向这个域的域本地组添加用户、通用组和全局组。比如,一个域林中只有林根域有Enterprise Admins组(通用组),然后其他子域的域本地组Administrators会添加林根域的Enterprise Admins组,所以林根域的Enterprise Admins组用户才能在整个域林中具备管理员权限。
常见的系统内置的域本地组及其权限如下。
Administrators:管理员组,该组的成员可以不受限制地访问域中资源,是域林强大的服务管理组。
Print Operators:打印机操作员组,该组的成员可以管理网络中的打印机,还可以在本地登录和关闭域控制器。
Backup Operators:备份操作员组,该组的成员可以在域控制器中执行备份和还原操作,还可以在本地登录和关闭域控制器。
Remote Desktop Users:远程登录组,只有该组的成员才有远程登录服务的权限。
Account Operators: 账号操作员组,该组的成员可以创建和管理该域中的用户和组,还为其设置权限,也可以在本地登录域控制器。
Server Operators:服务器操作员组,该该组的成员可以管理域服务器。
通用组可以作用于域林的所有域,其成员可以包括域林中任何域的用户账户、全局组和其他通用组,但是无法包含任何一个域中的域本地组。通用组可以嵌套在同一域林中的其他通用组或域本地组中。通