- 通用组:组的成员情况,记录在全局目录GC中,非常适于林中跨域访问使用。集成了全局组和域本地组的长处。
- 全局组:可以全局使用。即:可在本域和有信任关系的其它域中使用,体现的是全局性。MS建议的规则:基于组织结构、行政结构规划。
- 域本地组:只能在本域的域控制器DC上使用。MS建议的规则:基于资源(夹、打印机……)规划。
在域的混合模式下,只能把全局组加入到域本地组,即AGDLP原则。注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控 制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。
说明:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本 地帐号只能在本地机上使用。
**AGDLP:指将域用户的账号(A)添加到全局组(G)中,将全局组添加到域本地组 (DL),然后给域本地组分配资源的权限(P)。
以上三种组别用来区分组的作用域,另外win2003还有2种组类型,即安全组和通讯 组。
- 安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等 等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络 的维护和管理。
- 通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。
任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于混合模式时不能转换组。下表总结了域模式对组的作 用
No comments:
Post a Comment