Active Diretory 全攻略（五）--规划和建立组

简单来说，将组看成一个逻辑单位，它可以包含一组用户帐户或是其它的组，我们将权限指派给组后，任何加入这个组的对象都会拥有这个组具有的权限。

域内的组，和用户帐户一样，也具有一个独一无二的SID，这些能够被赋予权限的对象（帐户或组），我们称之为安全策略。注意一下：能够指派权限的组又称为安全组，另外还有一种不能指派权限的通讯组。

下面来认识下组作用域：不管是哪一个组都有其作用域，即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。

03一共有三种组作用域：

1、本地域：使用范围是本域的组，叫做本地域组。

本地域组可以包含三种成员：1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式，则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围，指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下：若组中包含其它的组（其它域区域、通用域通用组），称为组的嵌套。本地域组只限于访问同域的资源，无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组，然后再将全局组加入本地域组中。

下面再来区分一下本地组与本地域组：WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域，它们只有本地组（LOCAL GROUP）。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中，则本地组除了可包含本地用户帐户外，还可以包含：1同域的域用户帐户，2、同域的本地域组和整个林的全局组与通用组，但是一般我们都不会使用本地组，加入域后都使用权本地域组来进行管理域内的资源。

2、全局：指派权限时使用范围可涉及林，但只能够含同域的其它帐户或组。叫做全局组。全局组可包含两种成员：1、同域的用户帐户，2、若域功能等级设为WINSOWS2000纯粹模式或WINDOWS SERVER 2003模式，则可包含同域的其它全局组。

全局组的权限范围是整个林，也就是说，我们可以将A域资源的访问权限指派给B、C、D等域的全局组，但是在实际应用上，最好将全局组加入本地域组中而不要直接将权限指派给全局组。

应用：利用本地域组与全局组来管理单一域。其规划方式称为“AGDLP”。下面举个例子：把需要相同权限的用户帐户加入同一个通用组，如将产品部门的员工加入PRODUCTS，会计部门的员工加入ACCOUNTINGS全局组中。把全局组加入本地域中，将PRODUCTS和ACCOUNTSINGS加入PRINTERS这个本地域组中。将域内资源的访问权限指派给本地域组。比如将打印机的访问权限指派给PRINTERS本地域组，则PROUDUCTS与ACCOUNTINGS就可以使用打印机了。使用删除和加入都是权限分配与否，非常方便。

3、通用：使用范围涉及到整个林。叫做通用组。通用组包括三种成员：1、任何域的用户帐户，2、任何域的全局组。3、任何域的通用组。由于跨域访问资源时，会利用全局编录来查询资源所在的位置，所以不同域的全局编录彼此间需要相互复制数据，以确保数据的同步。通用组的特性会把组名称和包含的成员都发布到全局编录上，如果其成员变动，就会触发全局编录之间的复制动作，造成网络可观的负载。然而，全局组和本地域组则只有组名称会记录于全局编录，组包含的成员信息不会放在那里，所以无论其成员如何变动，都不会影响到全局编录的属性而触发复制机制。

下面来看个利用通用组管理多个域。通用组存在的目的就是为了简化多域（林）的管理工作。假如：旗标公司在广州总部和梅州与湛江两个分公司，总部和各个分公司的财务人员都要能够访问彼此的财务报表，在不使用通用组时如下图。

然后看下使用通用组的图：

对比两图：通用组中并没有直接包含用户帐户，而是包含各域的全局组，这样就可以有效降低因全局编录间彼此复制所造成的负载。不使用通用组则必须将各个全局组加到本地域组中，才能够让所有财务人员都能够访问到各分公司财务报表，显然比较麻烦。

下面给也几个利用组规划的策略：1、将资源的访问权限指派给本地域组，然后将林中的全局组或通用组加到本地域组中，以获得该项资源的访问权。2、将域内相同权限的用户帐户组织在全局中，再将全局组加入各个本地域组中。3、在多域的环境中，将相同权限的全局组组织到通用组中，然后把通用组加入各个本地域组中，尽量不要在通用组中包含用户帐户。4、组中包含其它组的嵌套不要太复杂，建议采用单层结构即可。

下面来进行实战：利用组管理域

新建组：

这里在USERS容器中来建。

填好资料。先建立一个本地域组。

再建立一个全局组

建好后看上面。

现在来将用户加入全局组，点击PRODUCTS，属性。

将李小龙这个用户加入，可以检查下名称，看输入的对不对。

这里便加入了全局组。

也可以在隶属于选项卡中加入组中。

点击李小龙的属性可以看到加入了全局组。

下面来将全局组加入本地域组

点击PROUDUCTS属性。

点击添加。这里是输入加入到PRINTERS本地域组中。

点PRODUCTS属性可看到加入到了PRINTERS中。

点击PRINTERS属性也可看到其成员是PRODUCTS。

下面来看将资源访问权限指派给本地域组

执行开始-打印机和传真。点击属性。

点添加。输入要加入的PRINTERS组。

可看见加入了组。PRINTERS组便会有了打印的权限。

下面来看重新命名组。

注意：更改组名后，其SID并不会变，所以此组属性对话框中的设置，和已经指派给这个组的权限都不会变。

输入后按回车便出现对话框。

下面来认识下组类型：03支持安全组和通讯组这两种类型。

安全组和用户帐户一样，每个安全组都会有个独一无二的SID，所以我们可以直接将资源的使用权限指派给安全组。但在客户端和非域控制器的服务器中的本地组，并没有安全组与通讯组的差别，本地组都是安全组。

通讯组：并没有SID，因此不能够用它来指派对象的访问权限，它的功能是来组织其成员的电子邮件地址，注意邮件处理程序必须支持ACTIVE DIRECTORY才能够使用通讯组。如（EXCHANGE SERVER2000/2003。其实安全组也是通讯组来的。

联系人：无论是安全组还是通讯组都可以包含联系人对象，联系人也没有SID，即使指把联系人加入安全组也不会具有该组的权限。

新建联系人。

下面来认识下03内置组：有五种：内置本地组，内置的本地域组，内置的全局组，内置的通用组，内置的系统组。这些内置组都是事先设置好的用户权利。

非域控制器的内置本地组，安装WIN2003后，系统会自动建立内置本地组，但安装AD服务成为域控制器的计算机其中所有的本地组，包含内置的本地组都会被删除。所以我们只能够在独立服务器，成员服务器等非域控制器计算机上看到内置本地组。而且是无法将它们删除的。

下面看下客户端的内置本地组：

工作组模式才需要本地组。

下面看下内置的本地域组。在域控制器上：BUILTIN容器中的都是内置本地域组。当独立服务器和客户端加入域后，系统自动把域控制器的DOMAIN ADMINS全局组加入这些计算机的ADMINISTRATORS本地组，并将DOMAIN USERS 全局组加入这些计算机的USERS本地组，所以域的ADMINISTRATOR可以管理这些计算机，而域中一般用户也可以登录使用这些计算机。除了内置的本地域组外，系统还会在USERS容器中产生内置的全局组与通用组，这些组本身并没有任何用户权利与权限，它们的用户权利与权限完全来自隶属的内置本地域组。所以可以直接把用户加入到这些组中，便具有内置的相应权限。

内置的系统组：每台03服务器和客户端都还有一组特别的系统组，称为内置安全性主体。这些组只会在指派用户权利或设置权限时才会出现，平常看不见它。比如：

点“我的文档”

点添加。

点高级

点立即查找便可看见了。

下面来看指派用户权利。在域中利用组策略编辑器来指派用户权利给组，

域控制器默认会放在DOMAIN CONTROLLERS组织单位中。

按编辑。

双霹允许在本地登录。

按添加用户域组。

添加成功。

下面来看下指派本地的用户权利。

即是在工作组中的独立服务器，必须使用“本地安全设置”

双击在本地登录。

按“添加用户域组”

输入要添加的组。

按确实即可。完成。。。

本文转自yangming1052 51CTO博客，原文链接：http://blog.51cto.com/ming228/94424，如需转载请自行联系原作者

Active Diretory 全攻略（五）--规划和建立组相关推荐

Active Diretory 全攻略（三）--建立域（2）
下面开始介绍"独立服务器加入域" 先建立DC,接上介绍的建立步骤. 首先看下面,刚建好的DC.也就是说第一台域服务器是DC,根域landon.com.计算机名为WIN2003. 建 ...
Active Diretory 全攻略（三）--建立域（5）
下面来建立现有域的额外域控制器. 建立额外域控制器目的也是为了主域控制器发生故障时,可以代替主域控制器提供服务.达到容错功能. 接上例建立的模型.在北京已有一台主控制域WIN2003,现在我要在北京那 ...
Active Diretory 全攻略（二）--AD与域
在03中域一直是最重要的核心地位,但很多人却没弄清楚何谓域.下个简单的定义便是:共享同一个AD数据库的电脑所构成的集合是一个域. 1.域与AD的关系:从域角度来看,AD是由至少一个域所构成的集合 ...
Active Diretory 全攻略（六）--文件夹权限与共享（2）
下面来看共享文件夹 03中最常用的莫过文件的共享了,现在来建立共享文件夹:在独立服务器中,必须是ADMINISTRATORS或SERVER OPERATORS组的成员,在域中必须是DOMAIN ADM ...
Active Diretory 全攻略（八）--组策略（2）
现在来介绍文件夹重定向.密码策略.帐户锁定策略和系统管理模板. 先来看一如何打开组策略对象编辑器: 选属性选要编辑的GPO,然后点编辑. 看左最上角,可看出是哪个GPO的编辑. 下面来看文件夹重定向 ...
python-numpy最全攻略五-arrange, reshape, flatten
numpy reshape方法 import numpy as nparray = np.arange(8) print("Original array : \n", array) ...
ALEXA站长全攻略（转）
写此文之前本拟在"ALEXA"前加一个"网站流量世界排名",可转而一想ALEXA主营业务及目前的功能也不一个专做网站流量排名的网站,更确切的说它是一个提供搜索的 ...
财务软件、进销存软件、ERP中会计凭证录入模块DIY全攻略
财务软件.进销存软件.ERP中会计凭证录入模块DIY全攻略(二) 一.需求分析 1.录入界面要求友好,直观便捷,提供多种录入途径并有容错设计: 2.凭证录入要符合现行会计制度的要求,制度规定的 ...
五个经典故事讲述人脉经营全攻略
五个经典故事讲述人脉经营全攻略 [案例]:广东私企老板自费读中央党校渐成时尚到中央党校学习,已成为广东私企老板的一种时尚.羊城晚报消息,记者从2005年12月25日结束的广东非公有制经济 ...

Active Diretory 全攻略（五）--规划和建立组

Active Diretory 全攻略（五）--规划和建立组相关推荐

最新文章

热门文章