全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。

本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。但是只能在域处于本机模式的时候使用,也就是说所有域控都必须是2000以上系统。

比如:有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。

这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是AGDLP。

注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域

全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域

本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的

转载于:https://blog.51cto.com/3750706/1752825

AD本地域组和全局组的区别相关推荐

  1. 域本地组,全局组,通用组的应用

    上面我们看到了全局组和域本地组带来的管理上的方便性.你也许会问,通用组来自全林用于全林,看起来似乎比全局组更方便,可以完全取代全局组的,为什么不这么做? 因为正是由于通用组内部成员来自于全林,而且它信 ...

  2. Windows server 2003域下全局组、本地域组及通用组之间的关系详解

    WINDOWS SERVER 2003 组的简介: 定义: 组(Group)是用户帐号的集合. 作用: 通过向一组用户分配权限从而不必向每个用户分配权限,简化管理.就是为用户和嵌套在里面的组等单元提供 ...

  3. 全局组、域本地组、通用组到底有什么区别?它们之间的关系如何?

    全局组:可以全局使用.即:可在本域和有信任关系的其它域中使用,体现的是全局性.MS建议的规则:基于组织结构.行政结构规划. 域本地组:只能在本域的域控制器DC上使用.MS建议的规则:基于资源(夹.打印 ...

  4. [基础]全局组、域本地组、通用组的区别与联系

    很多初级网管员对全局组.域本地组.通用组之间区别.关系比较模糊.对于这个问题我们首先要明确全局组.域本地组.通用组的的作用范围. 全局组:可以全局使用.即:可在本域和有信任关系的其它域中使用,体现的是 ...

  5. AD(活动目录)中组的类型与工作范围

    一.组的类型 在活动目录中,有两种不同类型的组:通讯组和安全组.  通讯组:其存储了用户的联系方式,用来实现批量用户账号的通信,例如群发邮件.视频会议等,它没有安全特性,不可用于授权.  安全组: ...

  6. Windows Server 2016 AD中新建组织单位、组、用户

    Windows Server 2016 AD中新建组织单位.组.用户 https://blog.51cto.com/lumay0526/2046851 新建组织单位 新建组 新建用户 新建组织单位 组 ...

  7. windows server2019 AD域控制器组策略 打开组策略提示域控制器不存在

    环景: windows sever 2019AD域(ad域+DNS管理器) 客户端win 10 专业版 AD域名:xxxxtech.com 问题描述: 之前更改了AD域名,现在域控制器组策略 打开组策 ...

  8. 【正则表达式系列】一些概念(字符组、捕获组、非捕获组)

    前言 本文介绍一些正则中的常用名词以及对应概念,譬如字符组,捕获组.非捕获组.反向引用.转义和\s \b等 大纲 字符组 捕获组 反向引用 非捕获组 ..\s和\S \b \转义 字符组 []字符组表 ...

  9. 阿里云安全组——添加安全组规则(开放端口)

    阿里云ECS处于安全考虑,默认的安全组规则只开通了22和3389号端口,而我们在实际使用当中可能会需要80.8888.21等端口号,"安全组未设置任何自定义放行规则,会导致无法访问实例端口, ...

最新文章

  1. ASP.NET中树形图的实现
  2. cvs linux权限,Linux下CVS+ACL的权限控制是什么? 爱问知识人
  3. 你奋斗这么辛苦,这辈子要证明什么?
  4. 主瓣、栅瓣和旁瓣的定义
  5. Yahoo!网站性能最佳体验的34条黄金守则
  6. Android Studio 怎样打JAR包
  7. Oracle RAC在思科UCS上的应用
  8. cron表达式 每隔8小时_cron表达式详解
  9. 2019.8.13 sdfzoier
  10. 即时大数据流处理=即时风暴
  11. CSS快速学习2:选择符权重和字体类属性
  12. 电商后台管理系统-权限管理模块
  13. 软体机器人与类脑智能机器人
  14. 如何让html 兼容IE和chrome,chrome兼容模式如何切换成IE兼容模式_chrome兼容模式切换成IE兼容模式的方法-系统城...
  15. 人工智能来了 微智全景首款刷脸支付终端亮相
  16. 《遥远的救世主》遵守客观规律(五)——文化属性
  17. 新浪云存储 php,【PHP】新浪云SAE平台将本地图片和远程图片保存至Storage
  18. LeetCode二叉树中序遍历
  19. 开源软件、自由软件、Copyleft、CC都是啥,傻傻分不清楚?
  20. 毕业设计总结(惯性导航)

热门文章

  1. java是纯_让你真正了解Java(纯干货)
  2. Rtworld防洪系统全解开源完整源码
  3. 随行笔记小程序个人信息页源码
  4. 常用个人密码管理软件 .
  5. FCKEditor在.net的使用 cnblogs
  6. Chrome 开发工具 (Chrome Developer Tools):Network Panel说明
  7. 在Windows环境下用Editplus打造一个Python编辑调试环境
  8. Python_操作txt、xls、csv、PDF
  9. LeetCode 523. Continuous Subarray Sum
  10. 【AI视野·今日NLP 自然语言处理论文速览 第十期】Fri, 18 Jun 2021