一、概念

全局组

   全局组创建是为了合并工作职责相似的用户账户。比如说将研发部所有人的账户就可以合并到“研发部全局组”中。


注:全局组只能将本域的用户和组添加到全局组,在多域环境中不能合并其他域中的的用户。能授权其访问整个雨中的资源,在多域环境中其他域的资源也能授权访问。



本地域组

   本地域组代表的是对某个资源的访问权限。本地域组是针对某个资源的访问情况而创建的,比如研发部有一个共享文件夹,针对这个共享文件夹的使用权限可以创建一个“研发部共享”的本地域组,然后授权改组使用该共享文件夹。以后那个用户或全局组需要使用该共享文件夹,直接将用户或组添加到“研发部共享”,就等于授权使用共享文件夹了。并且可以根据实际情况,创建多个研发部共享的本地区,如:“研发部共享_read”说明在此本地域组的成员只拥有读的权限。“研发部共享_edit”说明在此本地域组的成员拥有编辑,也就是读、写、修改的权限。


注:自己创建的本地域组,可以授权访问本域计算机上的资源,它代表的是访问资源的权限。其成员可以是本域的用户、组或其他域的用户组。只能授权其访问本域资源,其他域中的资源不能授权其访问。



通用组

   通用组和全局组的作用大致一样,目的是根据用户职责合并用户。但与全局组不同的是,在多域环境中它能够合并其他域中的域用户账户,比如把两个域中的研发组账户添加到一个通用组中。

二、使用的组策略

   在单域环境中使用组,顺序是:

   A->G->DL->P

   1.A(User Acounts)创建相应用户账户

   2.G(Global Group)将职责一致的用户账户添加到全局组

   3.DL(Domain Local Group)指定某个全局组用户添加到本地组

   4.P(Permission)将本地域组授权对某个资源的访问。

   其过程就是将全局组添加到本地域组的过程。

注:在域中用户账户不多时,也可以直接授权用户或全局组访问某资源。

   在多域环境中使用组,部署策略:

   A->G->U->DL->P

   1.A(User Acounts)创建相应用户账户

   2.G(Global Group)将职责一致的用户账户添加到全局组

   3.U(Universal Group)用户账户添加到全局组后,将各个域的全局组添加到通用组

   4.DL(Domain Local Group)指定某个通用组用户添加到本地组

   5.P(Permission)将本地域组授权对某个资源的访问。