一个父子多域环境,然后中国属于asia子域。中国有台文件服务器,需要设定NTFS权限,请问,权限设定时,不同的安全组,有什么不同的区别?譬如domain local,global ,universal, 等等。

回答:根据您的描述,我对这个问题的理解是:您想知道AD中的组的区别。
首先我们先看一下这些组的区别:

Global: 只能添加本域的帐号,但是可以被其他域用于权限委派。
Domain Local: 可以添加任何域的帐号和组,但是只能对本域的资源进行委派。
Universal: 以上2个组的集合,可以添加任意域的用户,可以被任意域用于权限委派。

由于设置Universal组会产生额外的AD复制流量,因此我们建议如果环境不是特别的复杂的话,我们可以通过Global + Domain Local结合的方式来对文件权限进行委派。

比如我在父域有个文件夹想让子域的用户访问,那首先我们在子域中将所有需要访问这个文件夹的用户添加到一个Global组中。然后在父域中新建一个Domain Local组,然后将子域的Global组加到这个Domain Local组中,然后对这个Domain Local组进行授权。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-3

有关详细信息,您可以参考以下文章:
Understanding User and Group Accounts
http://technet.microsoft.com/en-us/library/bb726978.aspx

Accessing resources across forests
http://technet.microsoft.com/en-us/library/cc772808(WS.10).aspx

是的,如果我们只有本地域的用户需要访问本地文件夹,我们只需要建立一个global或者是Domain Local组既可。当然,为了遵循最佳实践建议,我们依然推荐先将用户加到global组然后在将global组加到Domain Local再进行委派。

关于global和local domain的解释,应该没有什么问题,我自己又测试了一下,结果是正确的。您可以参考这个帖子,写的非常的详细:

全局组、域本地组、通用组到底有什么区别?它们之间的关系如何?
http://www.it588.com/openlab/forums/threads/281.aspx

朱诚 微软全球技术支持中心

域中文件服务器权限设置的相关文章请参考
File server文件夹权限变更记录

文件服务器迁移
文件服务器安全审核
文件服务器审核功能
文件服务器规划方案
文件服务器不建议放在控制器上
---gnaw0725