資源描述:
《通用組��、全局組�����、本地域組的區(qū)別.doc》由會員上傳分享���,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1、.通用組����、全局組、本地域組的區(qū)別1�����、本地域組:多域用戶訪問單域資源(訪問同一個域)???本地域組的成員可包括WindowsServer2003����、Windows2000或WindowsNT域中的其他組和賬戶�,而且只能在其所在域內(nèi)指派權(quán)限。?2���、全局組:??單域用戶訪問多域資源(必須是一個域里面的用戶)???全局組的成員可包括其所在域中的其他組和賬戶����,而且可在林中的任何域中指派權(quán)限����;3、通用組:??多域用戶訪問多域資源???通用組的成員可包括域樹或林中任何域的其他組和賬戶�����,而且可在該域樹或林中的任何域中指派權(quán)限;?
2���、??當(dāng)域功能級別設(shè)置為Windows2000混合模式時�,不能創(chuàng)建具有通用組的安全組����。本地域組:可以從任何域添加用戶賬戶、通用組和全局組�����。域本地組不能嵌套于其他組中���。它主要是用于授予位于本域資源的訪問權(quán)限����。全局組:只能在創(chuàng)建該全局組的域上進行添加用戶賬戶和全局組�,但全局組可以嵌套在其他組中?�?梢詫⒛硞€全局組添加到同一個域上的另一個全局組中,或添加到其他域的通用組和域本地組中(注意這里不能它加入到不同域的全局組中��,全局組只能在創(chuàng)建它的域中添加用戶和組)��。雖然可以利用全局組授予訪問任何域上的資源的權(quán)限��,但一般不直接用
3����、它來進行權(quán)限管理。通用組:通用組是集合了上面兩種組的優(yōu)點���,即可以從任何域中添加用戶和組����,可以嵌套于其他域組中��。比如:有兩個域�����,A和B��,A中的5個財務(wù)人員和B中的3個財務(wù)人員都需要訪問B中的“FINA”文件夾�����。這時��,可以在B中建一個DL���,因為DL的成員可以來自所有的域����,然后把這8個人都加入這個DL�,并把FINA的訪問權(quán)賦給DL。這樣做的壞處是什么呢�����?因為DL是在B域中�,所以管理權(quán)也在B域,如果A域中的5個人變成6個人����,那只能A域管理員通知B域管理員,將DL的成員做一下修改��,B域的管理員太累了�����。這時候,我們改變一下
4����、,在A和B域中都各建立一個全局組(G)�����,然后在B域中建立一個DL����,把這兩個G都加入B域中的DL中,然后把FINA的訪問權(quán)賦給DL�。哈哈,這下兩個G組都有權(quán)訪問FINA文件夾了�,是嗎?組嵌套造成權(quán)限繼承嘛�!這時候�����,兩個G分布在A和word范文.B域中�,也就是A和B的管理員都可以自己管理自己的G啦�����,只要把那5個人和3個人加入G中���,就可以了!以后有任何修改�,都可以自己做了,不用麻煩B域的管理員���!這就是A-G-DL-P��。注:A表示用戶賬號�,G表示全局組���,U表示通用組��,DL表示域本地組��,P表示資源權(quán)限���。A-G-DL-P策
5、略是將用戶賬號添加到全局組中��,將全局組添加到域本地組中,然后為域本地組分配資源權(quán)限����。本地域組的成員可以來自所有域的用戶和組,但其作用域只能是當(dāng)前域���。全局組的成員只能來自當(dāng)前域的用戶和組�,而作用域可以是所有的域�。本地域組的權(quán)利是自身的,全局域的權(quán)利是來自其屬于的本地域組的��。打個比方����,現(xiàn)在有兩個域domainA,domainB,用戶UseA,UseB.在DomainA上有一個文件夾Resource.UseB屬于domainB,他想訪問Resource.這個時候就應(yīng)該先在domainB上建一個全局組GlobalB,然
6、后將UseB加入GlobalB,然后到Domain域中建立一個域本地組LocalA,將全局組GlobalB加入域本地組LocalA,再針對域本地組LocalA授權(quán)對Resource的訪問權(quán)限��。---------------------------------------------------外一篇:從組的使用范圍來分��,可以分為三種:全局組���、本地域組和通用組�����。全局組主要是用來組織用戶的��。全局組內(nèi)可以包含同一個域的用戶賬戶與全局組�����,可以訪問任何一個域內(nèi)的資源�。本地域組具有所屬域的訪問權(quán)限�����,以便訪問本域的資源��。本地
7�����、域組的成員可以是同一個域的本地域組�,也可以是任何域內(nèi)的賬戶、全局組和通用組�����,他們能訪問的資源只是該本地域組所在域的資源���。通用組可以訪問任何一個域內(nèi)的資源����,通用組可以包含所有域內(nèi)的用戶賬戶、全局組和通用組���。當(dāng)然上面所說的訪問權(quán)限是要經(jīng)過設(shè)定的���。安裝域控制器時,系統(tǒng)會自動生成一些組�����,稱為內(nèi)置組�。這些組都定義了一些常用權(quán)限,通過將用戶加入到這些內(nèi)置組中�����,可使用戶獲得相應(yīng)的權(quán)限�����。“ActiveDirectory用戶和計算機”控制臺的“Builtin”和“Users”組織單元中就是內(nèi)置組��。內(nèi)置的本地域組在“Builtin
8����、”組織單元中�����,內(nèi)置的全局組在“Users”組織單元中��。1.內(nèi)建組:?在“ActiveDirectory用戶及計算機”的管理工具中�����,點樹狀目錄下的“Builtin”文件夾��,word范文.Windows2000建立了內(nèi)建組���。?AccountOperators(賬戶操作員):該組的成員能操作用戶管理員所屬域的賬號和組����,并可設(shè)置其權(quán)限���。但是該組成員無法修改Administrators及Oper
