Dbabc.Net

一、域组的分类

1、本地域组：主要用来分配所属域内的访问权限，以便访问该域的资源

范围：来自全林用于本域本地域组成员，可以包含林内任何一个域的用户、全局组、通用组和相同域内的本地组

权限：位于本地域组内的用户和组，只能设置其访问本地域的权限。

2、全局组：可将多个即将被赋予相同权限的用户帐户加入到一个全局组。

范围：来自本域用于全林全局组内的成员，只能够包含相同域内的用户与全局组

权限：位于全局组内的用户和组，任何域都可以赋予其访问本域的权限

3、通用组：来自全林用于全林，通用组具备通用作用域的特性

范围：其成员能够包含林中任何一个域的用户、全局组、通用组，但不能包括任何域内的本地组

权限：位于通用组内的用户和组，可以在所有域内赋予其访问本域的权限

二、安全组与通讯组

安全组：可被用来指定权限与权利，如要指定其对文件的读取权限。比如在域间做共享权限设置之类，需要采用安全组。

通讯组：与安全无关的工作，如收发mail，一般用在Exchange Server。

三、组嵌套策略

首先了解组的相关表示：

A：用户帐户（user Account）         G：全局组(Global group)

DL：本地域组(Domain Local group)     U：通用组(Universal group)

P：权限(Permission)

策略：

1、本地权限策略

假如财务部门有子域，并且共享本地服务器上一些不能公开的资料，创建一个本地域组并把财务人员用户名加入其中比较合适。权限即为A-DL-P（用户帐户-本地-权限）

可用图表示为

2、A-G-DL-P策略

即用户加入全局组，再将全局组加入本地组使其拥有权限。

例：A域内一部分人需要访问B域内某共享权限。先在A域创建一个全局组，将这部分人加入，再将全局组加入B域的本地组。即可。

3、A-G-G-DL-P策略

同上例，A域内两不同部门的人要访问B域共享，将两部门分别建立两个全局组，再归入一个大的全局组，加入B域的本地域组。

4、A-G-U-DL-P策略

参照上例，若是A域内一个部门和B域内一个部门要访问C域的共享资源。就无法采用A-G-G-DL-P，因为全局组内只能包含本域的全局组。所以第二个G应该改为U，即：将A域和B域两部门分别建立一个全局组，再加入一个通用组，然后加入C域的本地域组。

5、A-G-G-U-DL-P

不必再说了吧。