在活动目录中的使用组
一、        组的类型
 活动目录中组两种类型: 安全组和通讯组
1、      安全组:有安全标识( SID),能够给其授权用户访问本地资源或网络资源。既能授权访问资源,也可以利用其群发电子邮件。
2、      通讯组:没有安全标识,不能授权其访问资源,只能用来群发电子邮件。
(访问资源与群发电邮来确定)
二、        组的作用域
 活动目录中组按照能够授权的范围,分为本地域组、全局组和通用组,下面将分别介绍这几类组的目的。
1、      本地域组
 本地域组代表的是对某种资源访问权限
 创建目的是针对某种资源的访问情况而创建的。例如,在处有一个激光打印机,针对该打印机的使用情况,可以创建一个“激光使用者”本地域组,然后使用该打印机。以后哪个用户或全局组需要使用打印机,可直接将用户或组添加到“激光打印机使用者”,就等于授权使用打印机了。可以针对服务器上“公共空间”文件夹创建一个“公共空间访问者”本地域组,然后授予该“公共空间访问者”对“公共空间”的读、写权限。
2、      全局组
全局组代表的是同类用户身份的用户帐户。目的是为了合并工作职责相似的用户帐户。只能将本域的用户和组添加到全局组。在多域不能合并其他域中的用户。
3、      通用组
和全局组的作用一样,目的是根据用户的职责合并用户。与全局组不同的是,在多域环境中它能够合并其他域中的域用户帐户。比如可以把两个域中的经理帐户添加到一个通用组。在多域环境中,可以在任何域中为其授权。
三、        在域环境中使用组的策略
将用户帐户( User Acounts)添加到全局组(Global Group),将用户帐户合并。
将为本地域组( Domain local group)授权(Permission)对某资源的访问。
授权的过程就变为将全局组( Global Group)添加到本地域组(Domain Local Group)的过程。
总结:
在单域中使用组的策略是 A-G-DL-P策略,如果域中的用户帐户不多,则可以直接授权用户或全局组访问某资源。如果用户帐户较多,最好使用推荐A-G-DL-P策略,调理清晰。
在多域环境中使用组的策略是 A-G-U-DL-P策略,U代表(Universal Group),即将用户帐户添加到本域的全局组,然后将各个域的全局组添加到通用绷带,将通用组添加到本地域组。为本地组授权。