全局組：可以全局使用。即：可在本域和有信任關系的其它域中使用，體現的是全局性。MS建議的規則：基于組織結構、行政結構規劃。 域本地組：只能在本域的域控制器DC上使用。MS建議的規則：基于資源（夾、打印機……）規劃。 在域的混合模式下，只能把全局組加入到域本地組，即AGDLP原則。 注意：2000/03域的默認模式為：混合模式。則域本地組：只能在本域的域控制器DC上使用。若域功能級別轉成本機模式（或稱2000純模式），甚至03模式，域本地組可在全域范圍內使用。 說明：全局組和域本地組的關系，非常類似于域用戶帳號和本地帳號的關系。域用戶帳號，可以全局使用，即在本域和其它關系的其它域中都可以使用，而本地帳號只能在本地機上使用。下面我來舉兩個例子來進一步說明（以混合模式下為例）： 　　例1：將用戶張三（域帳號Z3）加入到域本地組administrators中，并不能使Z3對非DC的域成員計算機有任何特權，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對域成員計算機是有特權的。 　　例2：只有在域的DC上，對資源（如：文件/夾）設置權限，你可以指派域本地組administrators；但在非DC的域成員計算機上，你是無法設置域本地組administrators的權限的。因為它是域本地組，只能在DC上使用。 通用組：組的成員情況，記錄在全局目錄GC中，非常適于林中跨域訪問使用。集成了全局組和域本地組的長處。 AGDLP A (account):用戶帳戶 G (Global group):全局組 DL (Domain local group):域本地組 P (Permission):許可 按照AGDLP的原則對用戶進行組織和管理起來更容易 在AGDLP形成以后當給一個用戶某一個權限的時候,只要把這個用戶加入到某一個本地域組就可以了 ? ?? ? ? ?? ?組是可包含用戶、計算機和其他組的活動目錄或本機對象。使用組可以控制和管理用戶和計算機對活動目錄對象及其屬性、網絡共享位置、文件、目錄、打印機等共享資源的訪問，還可以向一組用戶發送電子郵件。 　　在Windows 2000域中，組根據其類型可以分為安全組（Securiy Group）和分布組（Distribution），根據其范圍又可以分為全局組（Global Group）、域本地組（Domain Local Group）和通用組（Universal Group）。組的類型決定組可以管理哪些類型的任務，組的范圍決定組可以作用的范圍。 　　1. 組的類型 　　（1）分布組：分布組一般用于組織用戶。使用分布組可以向一組用戶發送電子郵件，由于它不能用于與安全有關的功能，不能列于資源和對象權限的選擇性訪問控制表（DACL）中。因此，只有在電子郵件應用程序（如Exchange）中才用到分布組。 　　（2）安全組：安全組一般用于與安全性有關的授權功能。使用安全組可以定義資源和對象權限的選擇性訪問控制表（DACL），控制和管理用戶和計算機對活動目錄對象及其屬性、網絡共享位置、文件、目錄和打印機等資源和對象的訪問。安全組中的成員會自動繼承其所屬安全組的所有權限。 　　安全組具有分布組的全部功能，也可用作電子郵件實體。當向安全組發送電子郵件時，會將郵件發給安全組的所有成員。 　　2. 組的范圍 　　（1）全局組：全局組的成員關系和范圍如表1。 表1 全局組的成員關系和范圍 混合模式 本機模式 可包含的成員 本域中的用戶賬號 　 可加入的組 域本地組 　 作用范圍 在本域和所有的信任域中都是可見的 權限范圍 森林中所有的域 （2）域本地組：域本地組的成員關系和范圍如表2。 表2 域本地組的成員關系和范圍 　 混合模式 本機模式 可包含的成員 任何域中的用戶賬戶和全局組 森林中任何域中的用戶賬戶、全局組和通用組 以及本域中的域本地組 可加入的組 不能是任何組的成員 本域中的域本地組 作用范圍 只在其自己的域中可見 權限范圍 域本地組所在的域 （3）通用組：域本地組的成員關系和范圍見表3。 表3 域本地組的成員關系和范圍 　 混合模式 本機模式 可包含的成員 不能創建通用組 森林中任何域中的用戶賬戶、全局組和其他的通用組 可加入的組 不能創建通用組 任何域中的域本地組和通用組 作用范圍 在森林中的所有域中都是可見的 權限范圍 目錄林中的所有域 如果要在域目錄林中實現對于資源（可以是文件夾或打印機）的訪問授權，推薦使用 “AGDLP”規則。即首先把用戶賬戶（Account）加入到全局組（Global group），然后把全局組加入到域本地組（Domain Local group，可以是本域或其他域的域本地組），最后，對于域本地組進行授權（Permissions）。 到了現在，你可能在想“為什么我要用其它組類型，而不用通用組？它給了我要的一切!”答案是，因為通用組和它的成員被列在全局編目里 (GC)。 　　每次GC在你的森林的域之間復制時，都包括通用組的成員。與通用組類似，全局組和域本地組也被列在GC里，但是，它們的成員并不列在GC中。通過在合適的位置使用全局組和域本地組，你能夠減小你的AD DC的尺寸，這樣就會明顯地降低保持GC最新所產生的復制流量。 　　在選擇組范圍時，應當仔細選擇。在你的域運行在混合模式下時，你不能改變組的范圍。如果你運行在純(Native)模式，就允許你把全局組轉變通用組，前題是全局組不是另外一個全局的成員，也可以把域本地組轉變成通用組，前提是域本地組中不包括另一個域本地組作為它的成員。 　　現在知道了組的范圍，再讓我們簡略地談談建立新組最簡單的部分－組的名稱。在你為組起名時，全局組和域本地組在你創建它們的域里必須是唯一的。而通用組，則必須在整個森林里是唯一的。 特別注意的是，由于GC中不僅包含通用組，還包含有通用組的成員信息，因此每次對通用的修改（成員增加/刪除），都會引發GC復制流量。所以，通用組的成員不要經常頻繁的發生變化。否則會帶來大量的復制流量。另外，WIN2000在登錄時系統需要向GC查詢用戶的通用組成員身份 ，以生成訪問令牌，所以在GC不可用時，WIN2000用戶有可能不能正常訪問網絡資源。

轉載與bbs.winos

轉載于:https://www.cnblogs.com/youren/archive/2009/04/09/1432561.html

總結

以上是生活随笔為你收集整理的全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。