Windows server 2003域下全局组、本地域组及通用组之间的关系详解
2024-06-15 01:13:30
WINDOWS SERVER 2003
组的简介:
定义: 组(Group)是用户帐号的集合。
作用: 通过向一组用户分配权限从而不必向每个用户分配权限,简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。
类型: 1)安全组,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了,这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便,简化网络的维护和管理工作。
2)通讯组,只能用在电子邮件通讯。
提示:在windows server 2000的域中,通讯组的名称是:“分布组”和通讯组功能想似。
注意:一般情况下,管理Active Directory使用的都是安全组。安全组和通讯组在有些时候是可以互转的,这要取决于Active Directory中域 的模式。
组的作用域:
安全组下可创建3种作通知域组:如下图所示。
注意:2K/2003安装之后,域的默认模式为:混合模式。(安装了windows server 2003域控后,域的模式为“windows 2000 混合模式“)则本地域组只能在本域的控制器DC 上使用。若域功能级别转成本机模式(或称为2K纯模式),或是03模式,本地域组才可在全域范围内使用。
1. 本地域组。(local domain group)
Windows 2000 混合模式
用户范围:任何域中的用户帐户和全局组。森林中任何域中的用户帐户,全 局组和通用组以及本地域中的本地域组。
可加入的组:不能是任何组成员,只能是本域中的本地域组。
作用范围: 只在其自己的域中可见。
权限范围: 只能在本地域组所在的本域中
MS建议的规则:基于资源(夹、打印机……)规划。
2. 全局组。(global group)
Windows 2000 混合模式
用户范围: 本域中的所有用户。
可加入的组:林中所有任域的本地域组。
作用范围: 在本域和所有信任域中都是可见的。
权限范围: 森林中所有的域。
MS建议的规则:基于组织结构、行政结构规划。
注意:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。以下例题为“混合模式”下:
例1:将用户张三(域帐号Z3)加入到域本地组administrators中,并不能使Z3对非DC的域成员计算机有任何特权,但若加入到全局组Domain Admins中,张三就是域管理员了,可以在全局使用,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。
例2:只有在域的DC上,对资源(如:文件/夹)设置权限,你可以指派域本地组administrators;但在非DC的域成员计算机上,你是无法设置域本地组administrators的权限的。因为它是域本地组,只能在DC上使用。
3. 通用组(universal group)
Windows 2000 混合模式。
用户范围:森林中任何域中的用户帐户。全局组和其他的通用组。
可加入的组:任何域中的本地域组和通用组。
作用范围: 在森林中的所有域中都是可见的。
权限范围: 整个林和所有的信任域。
通 用 组: 组的成员情况,记录在全局目录GC(全局编录)中,非常适于林中的跨域访问使用,集成了全局组和本地域组的优处。
注意:通用组和全局组的权限范围是相似的。那么通用组和全局组有什么差别之处呢?
主要在于创建和查询性能方面有差别。以下是通用组不同处的详细说明:
1) 通用组的创建。
如果域功能级别是windows 2000混合模式,则不能创建通用安全组。(如上图所示,选择组类型为安全组,则组作用域不能选择通用组)。如果要创建通用组,第一,就是先要提升域功能级别。域功能级别有3种:“windows 2000混合模式‘ “windows 2000纯模式和windows server 2003 。
当域功能级别从windows 2000 混合模式提升为windows 2000纯模式或windows server 2003. 这样就可以创建安全的通用组了。
2) 通用组的全局身份在全局编录中。
在多域环境下,通用组的成员身份信息在全局编录中。而全局组成员身份存储在每个域中,
在多域环境下,通用组成员登录或者查询速度较快。
注意:具有通用组成员身份不应频繁更改,因为对这些组成员身份的任何更改都会引起整个组的成员身份复制到树林中的每个全局编录中,增加了复制的流量。
重点:全局编录(Global Catalog,简称GC)是域林中所有对象的集合,是一台特殊的域控制器。默认情况下,在林中的初始域控制器上,会自动创建全局编录,其他域控制器也可以被指派为全局编录服务器,用于实现网络负载平衡和冗余。全局编录服务器负责响应网络中所有的全局编录查询,一旦出现问题,用户将无法查询和登录。建议网络安全要求较高的用户,配置多台全局编录服务器,以提高系统的可用性和可靠性。但需要注意的是,网络中GC之间的复制可能会增加一定的网络带宽开销。
在一个目录林是可以有多台全局编录服务器的。默认情况下,每个域林中只有一台全局编录服务器,即根域控制器。全局编录由目录林中的初始域控制器自动创建,并且每个目录林必须有至少一个全局编录。如果使用多个站点,希望在每个站点都将一个域控制器指定为全局编录,因为需要全局编录(决定了帐户的组成员身份)完成登录身份验证进程
全局编录中包含所有活动目录对像常用的属性,其主要目的是加快活动目录查询速度。
4. 林中和域中资源互访所应用的规则“AGDLP/AGUDLP”详解。
1)“AGDLP“规则:应用于windows 2000 混合模式(在其它两种模式下也是可以用的)
A (account):用户帐户。
G (Global group):全局组。
DL(Domain local group):本地域组。
P (Permission ):许可。
按照AGDLP的原则对用户进行组织和管理起来更容易。
在AGDLP 形成以后当给一个用户某一个权限时,只要将这个用户加入到某一个本地域组就可以了。
注意:在混合模式下,只能将全局组加入本地域组。也就是“AGDLP”
2)“AGUDLP”规则:只能应用于windows 2000纯模式和windows server 2003 下。
A (account):用户帐户。
G (Global group):全局组。
U (Universal group):通用组。
DL (Domain local group):本地域组。
P (Permission):许可。
注意: DC安装时默认U组不可用,其选项为灰色,这时此DC的域处于混合模式(MIX),表示当前域内可能还有基于WIN-NT操作系统的域控制器在使用。如果域内没有基于WIN-NT操作系统的域,并且森林内有多域共存时就可将DC转换到本地模式(Native),U组才能使用。这样做是为了保持操作系统版本的兼容性。须知,就是在有了windows server 2003的今天,全球还有很多大中型企业的网络平稳地运行在WIN-NT的平台上。
当U组可用时,已建的G组和DL组可以有条件的转换为U组,根据“AGUDLP”。G组转换为U组的前提是此G组不是另一个G组的成员;和此相反,将DL组转换成U组的前提条件是此DL组内没有另一个DL组作为它的成员。
多域环境中(称为森林),为保持各个域之间的用户信息共享,U组和它的全部成员都被写入了一个名为全局编录(Global Caltalog,GC)的数据库中,保存于森林内第一台DC之中,此GC 会在森林内各个域的DC之间进行复制,虽然G组和DL组也被写入了GC,但是有组名,没有成员。由此可见,如果将所有成员都加入U组的话,会使得GC在森林内进行域间复制时的网络流量剧增,造成网速下降;而通过建立适当的G组和DL组,并且在U组内避免直接添加用户,就能够显著降低了GC容量的大小,从而降低GC复制时带来的网络流量。
虽然可以对每个用户单独授权,但是优秀的系统管理员通常是将用户添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授予权。
转载于:https://blog.51cto.com/ilanni/557214
Windows server 2003域下全局组、本地域组及通用组之间的关系详解相关推荐
- Windows server 2003域控直接迁移到2012[史上最详细]
Windows server 2003域控直接迁移到2012[史上最详细] 有问题请联系QQ:185426445,或者加群微软统一沟通中国(一),群号:222630797, 也可以和我本人联系,手机: ...
- Windows Server 2003域和活动目录
Windows Server 2003域和活动目录 转载于:https://blog.51cto.com/xwg999/35231
- windows server 2003 域控制器重命名
http://book.51cto.com/art/200911/163121.htm<?xml:namespace prefix = o ns = "urn:schemas-micr ...
- 基于Windows Server 2003 ntbackup下数据文件的完整备份与差异备份
前面有说到一些关于Windows Server 2012 R2的数据备份与恢复,但毕竟现在用Windows Server 2003的公司不在少数,所以这里简单说一下关于Windows Server 2 ...
- 联想旭日410M笔记本,在Windows Server 2003系统下的声卡驱动安装问题
我的本本型号是联想旭日410M430X4512060Bb,其声卡型号是Conexant HD Audio 5045,装完系统之后,无法安装声卡驱动,给联想的客服打电话,他们也解决不了,说没有针对Win ...
- windows server 2003 IIS下配置PHP
在IIS下配置PHP,一共4大步骤. 步骤/方法 首先下载Windows的PHP安装包.随后将该包解压至C:\PHP.完成上面的步骤后,将C:\php目录下的php.ini-dist文件改名为php. ...
- Windows Server 2003的功能级别
域级别 如果您已经部署了 Windows 2000 Active Directory,那么您一定对域模式的概念很熟悉.使用 Windows 2000 Active Directory,有两种域模式可供 ...
- 使用Windows Server 2003轻松建立森林间信任
Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中,这个结构就是活动目录森林,这在Windows NT 4.0中是不可能的.许多在NT 4.0域中不能共存的商业单元现在可以在活动 ...
- 全面了解Windows Server 2003 和 Windows XP 附带的系统服务
简介 系统服务的处理不同于其他设置,因为所有服务的漏洞.对策及潜在影响在本质上都一样.第一次安装 Microsoft Windows Server 2003 时,系统将在启动时创建并配置默认服务. ...
最新文章
- c语言编程存航线,C语言编程飞机订票系统如何设计?
- 通过Excel生成批量SQL语句
- javascript实战pdf_《TypeScript开发实战》总结
- 神策 2021 数据驱动大会,科特勒、桑文锋等发出营销未来之强音
- 奇怪的问题,.Net 2.0发送邮件失败...
- Hackthissite realistic 6解密题后的记录
- 我到底去考研,还是工作啊?好纠结
- idea启动java Maven项目,出现“ java: 程序包xxxx不存在“
- JavaScript跳转到页面某个锚点#
- Button with Round Progress
- Java入门第37课——猜字母游戏之设计数据结构
- XNA 三维入门讲解
- 微信小程序——调查问卷案例
- ajax请求406,SpringMVC ajax请求406 错误解决方案
- 重型柴油车OBD系统进入逻辑
- java画五角星_java 画五角星 填充五角星
- NP管理器 NPManager v3.0.49 安卓APK逆向反编译工具
- 华为计算机平台芯片,华为连发两款AI芯片,计算力远超谷歌及英伟达
- Ubuntu设置终端打开时的默认窗口大小和位置坐标
- 【CEC2017】CEC2017优化算法目标测试函数综述以及CEC2017的matlab实现