資源描述:
《ad 全局組,通用組,和域本地組的區(qū)別》由會(huì)員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、AD?全局組�����,通用組,和域本地組的區(qū)別(2010-04-2608:18:37)轉(zhuǎn)載from:http://shimenguan.spaces.live.com/Blog/cns!CEA7D79E512BD447!224.entry?全局組�,通用組�,和域本地組的區(qū)別(轉(zhuǎn)載)轉(zhuǎn)載:http://blog.sina.com.cn/s/blog_4e14825c01009tri.html首先我們需要明確一點(diǎn):為什么我們需要建立組�����?答案很簡(jiǎn)單:為了管理方便�!其實(shí)計(jì)算機(jī)文件或者文件夾的控制權(quán)限是在屬性的安全的選項(xiàng)卡中設(shè)定的,如下圖所示:1.jpg(37.21KB)2007-12-2716
2���、:28在“組或用戶名稱”中可以添加對(duì)此文件夾行使權(quán)限的用戶或者組。現(xiàn)在來(lái)看這樣一種情況:你是一個(gè)域的管理員��,在文件服務(wù)器上建立了一個(gè)共享文件夾,用來(lái)放置一些財(cái)務(wù)部專用文檔����,假如你有兩個(gè)選擇:1.在安全屬性頁(yè)中一個(gè)一個(gè)添加財(cái)務(wù)部的人員并配置相應(yīng)的權(quán)限。2.在域控制器中創(chuàng)建財(cái)務(wù)部的組(包含所有財(cái)務(wù)部人員)��,在安全屬性頁(yè)中添加財(cái)務(wù)部組假設(shè)財(cái)務(wù)部又新來(lái)了N位員工���,如果你選擇第一種方案����,你就需要在安全屬性中添加并配置N位員工�,而選擇第二種方案,你只需要在域控制器上創(chuàng)建用戶帳戶的時(shí)候指定他們的組為財(cái)務(wù)部就可以了����,而無(wú)需修改安全屬性中的角色列表���。所以�����,很顯然你應(yīng)該選擇第二種方式。尤其是你有
3���、很多共享文件夾進(jìn)行管理的時(shí)候,使用組來(lái)管理的好處就更能夠體現(xiàn)出來(lái)了��。通過(guò)這個(gè)例子你也能夠體會(huì)到:使用組其實(shí)是為了管理方便,用最少的工作獲得最好的效果��!明確了組的作用后就來(lái)看看本地組�����、全局組、域本地組和通用組的概念和區(qū)別����。什么是本地組呢�?很多時(shí)候本地組被人認(rèn)為是域本地組的簡(jiǎn)稱���。其實(shí)嚴(yán)格來(lái)說(shuō),本地計(jì)算機(jī)上也可以創(chuàng)建屬于本機(jī)的組��,這些組才應(yīng)該稱為“本地組”�����。它的成員可以來(lái)自本地計(jì)算機(jī)或者所有的可信任域。本地組存儲(chǔ)在本地計(jì)算機(jī)中���,而域本地組存儲(chǔ)在域控制器上�。你如果使用過(guò)域��,應(yīng)該有這種體驗(yàn):使用域帳戶登錄域中任意一臺(tái)計(jì)算機(jī)后����,默認(rèn)情況下是普通的Users組權(quán)限���,如果要提升成管理員權(quán)限��,
4�、需要把這個(gè)域帳戶添加到本地計(jì)算機(jī)的Administrators組中���。全局組的特點(diǎn)是什么呢���?全局組成員來(lái)自于同一域的用戶賬戶和全局組,在林范圍內(nèi)可用�。也就是說(shuō)能夠添加到全局組的成員是本域的成員或者全局組(這樣就構(gòu)成了組的嵌套)���。如果在上海的域中創(chuàng)建了全局組A,那么能添加到A中的人只能是上海域中的對(duì)象或者是其他可信任域��,如北京或大連的全局組�����。域本地組的特點(diǎn)是什么呢�����?域本地組成員來(lái)自林中任何域中的用戶賬戶����、全局組和通用組以及本域中的域本地組�,在本域范圍內(nèi)可用。通用組的特點(diǎn)是什么呢����?通用組成員來(lái)自林中任何域中的用戶賬戶��、全局組和其他的通用組��,在全林范圍內(nèi)可用���。但是注意通用組的成員不是
5���、保存在各自的域控制器上,而是保存在全局編錄中�,當(dāng)發(fā)生變化時(shí)能夠全林復(fù)制�。規(guī)則就這些,請(qǐng)不要記混���?�?梢院?jiǎn)單這樣記憶:全局組??來(lái)自本域用于全林通用組??來(lái)自全林用于全林域本地組來(lái)自全林用于本域因?yàn)橹挥杏虮镜亟M專用于在本地賦予權(quán)限�����,所以����,通常情況下,域本地組總是最后被應(yīng)用�����。下面我們通過(guò)幾個(gè)例子來(lái)講述他們的應(yīng)用:康博公司是一個(gè)大型的軟件公司�。公司的業(yè)務(wù)發(fā)展很快�,目前在北京擁有自己的辦公大樓,總部也因此設(shè)在那里��,另外在上海也有分公司。公司在企業(yè)內(nèi)部建立了域名為comboo.com的域����,由于上海的分公司主營(yíng)外包業(yè)務(wù)���,相對(duì)比較獨(dú)立,于是為其創(chuàng)建了子域os.comboo.com,從而形成了
6、域樹(shù)。后來(lái)公司管理層經(jīng)過(guò)商議與另外一個(gè)物流公司A合作創(chuàng)辦了一個(gè)電子物流公司��,名為博通,總部設(shè)在大連��。博通在總公司的林中創(chuàng)建了自己的域環(huán)境botong.com�。為了充分利用所有的資源�����,在子公司和總公司之間建立了信任關(guān)系����,以便能夠相互訪問(wèn)資源��。整個(gè)的邏輯結(jié)構(gòu)圖如下所示:2.jpg(24KB)2007-12-2716:28在上面的例子中,大連的公司財(cái)務(wù)部門出了一點(diǎn)問(wèn)題�,需要從北京�����、上海都找10個(gè)人支援一下,大連公司的賬目資料都保存在一臺(tái)財(cái)務(wù)部專用服務(wù)器上�����。因?yàn)槭枪緳C(jī)密信息,安全性比較高�����,所有資料僅僅允許財(cái)務(wù)部門的人訪問(wèn)。管理員為了方便管理����,就為財(cái)務(wù)部門創(chuàng)建了一個(gè)域本地組dlf�����,在
7、服務(wù)器上賦予dlf組權(quán)限(這種策略的簡(jiǎn)寫就是A-DL-P��,Account-domainlocalgroup-permission)��。然后上海和北京的管理員分別為各自要幫助大連的10個(gè)人創(chuàng)建了一個(gè)全局組bjf和shf(這就是A-G,Account-globalgroup)���,這樣然后大連的管理員僅僅添加bjf和shf到dlf即可完成權(quán)限的添加,而不需要關(guān)心到底是哪些人來(lái)支持財(cái)務(wù)部工作���,然后一個(gè)一個(gè)添加了。而對(duì)于最終資源來(lái)說(shuō)��,它感覺(jué)自己沒(méi)有變化,因?yàn)樽约菏冀K都是允許被blf訪問(wèn)���,并沒(méi)有發(fā)生變化。這就是著名的A
