活动目录中各种组之间的区别
从组的使用范围可以分为:
通用组
全局组
域本地组….
通用组
通用组可以设定在所有域内的访问权限,以便访问每一个域内的资源,通用组的特性如下所示:
Ø 通用组具备“通用领域(universal scope)”的特性,其成员能够包含整个林中的任何一个域内的用户、通用组与全局组,但是它无法包含任何一个域内的域本地组。
Ø 通用组可以访问一个域内的资源,也就是说可以在任何一个域内设置通用组的权限
(这个通用组可以是在同一个域内、也可以是在另一个域内)。
全局组
全局组主要用来组织用户,即可以将多个被赋予相同权限的用户账户加入到同一个全局组内。全局组的特性如下:
Ø 全局组内的成员,只能够包含所属域内的用户与全局组,即只能够将同一个域内的
用户或其他全局组加入到全局组内。
Ø 全局组可以访问任何一个域内的资源,即可以在任何一个域内设置全局组的使用权
限(这个全局组可以是在同一个域内、也可以是在另一个域内)。
域本地组
域本地组主要用来指派在其所属域内的访问权限,以便访问该域内的资源。域本地组的特性如下:
Ø 域本地组内的成员可以是任何一个域内的用户、通用组与全局组,也可以是同一个
域内的域本地组,但无法是其他域内的域本地组。
Ø 域本地组只能够访问同一个域内的资料,无法访问其他不同域内的资源。换句话说,
当在某台计算机上设置权限时,可以设置同一个域内的域本地组的权限,但是无法设置其他域内的域本地组的权限。
说明:组加入到其他组内的操作,被称之为“group nesting”。
下表详细的列出了各个组的特性。
组 特性 | 通用组 | 全局组 | 域本地组 |
成员(域功能级别是Windows 2000混合模式) | 不支持安全性的通用组 | 同一个域内的用户 | 所有域内的用户、全局组 |
成员(域功能级别是Windows 2000纯模式或Windows Server 2003) |
|
| 所有域内的用户、全局组、通用组,同一个域内的域本地组 |
可以在哪一个域内被设置使用权限 | 所有域(域功能级别必须是Windows 2000纯模式或Windows Server 2003) | 所有域 | 同一个域 |
组转换 | 可以被换成域本地组或全局组(只要此组内的成员不含通用组) | 可以被换成通用组(只要此组不属于任何一个全局组) | 可以被换成通用组(只要此组内的成员不含域本地组) |