WINDOWS SERVER 2003 組的簡介： 定義： 組（Group）是用戶帳號的集合。 作用： 通過向一組用戶分配權限從而不必向每個用戶分配權限，簡化管理。就是為用戶和嵌套在里面的組等單元提供對網絡資源訪問的權限。 類型： 1）安全組，管理員在日常工作中不必要去為單個用戶帳號設置自己獨特的訪問權限，而是將用戶帳號加入到相對應的安全組中。管理員通過給相對的安全組訪問權限就可以了，這樣所有加入到安全組的用戶帳號都將有同樣的權限。使用安全組而不是單個的用戶帳號可以方便，簡化網絡的維護和管理工作。 2）通訊組，只能用在電子郵件通訊。 提示：在windows server 2000的域中，通訊組的名稱是：“分布組”和通訊組功能想似。 注意：一般情況下，管理Active Directory使用的都是安全組。安全組和通訊組在有些時候是可以互轉的，這要取決于Active Directory中域 的模式。 組的作用域： 安全組下可創建3種作通知域組：如下圖所示。 注意：2K/2003安裝之后，域的默認模式為：混合模式。（安裝了windows server 2003域控后，域的模式為“windows 2000 混合模式“）則本地域組只能在本域的控制器DC 上使用。若域功能級別轉成本機模式（或稱為2K純模式），或是03模式，本地域組才可在全域范圍內使用。 1． 本地域組。（local domain group） Windows 2000 混合模式 用戶范圍：任何域中的用戶帳戶和全局組。森林中任何域中的用戶帳戶，全 局組和通用組以及本地域中的本地域組。 可加入的組：不能是任何組成員，只能是本域中的本地域組。 作用范圍： 只在其自己的域中可見。 權限范圍： 只能在本地域組所在的本域中 MS建議的規則：基于資源（夾、打印機……）規劃。 2． 全局組。（global group） Windows 2000 混合模式 用戶范圍： 本域中的所有用戶。 可加入的組：林中所有任域的本地域組。 作用范圍： 在本域和所有信任域中都是可見的。 權限范圍： 森林中所有的域。 MS建議的規則：基于組織結構、行政結構規劃。 注意：全局組和域本地組的關系，非常類似于域用戶帳號和本地帳號的關系。域用戶帳號，可以全局使用，即在本域和其它關系的其它域中都可以使用，而本地帳號只能在本地機上使用。以下例題為“混合模式”下： 例1：將用戶張三（域帳號Z3）加入到域本地組administrators中，并不能使Z3對非DC的域成員計算機有任何特權，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對域成員計算機是有特權的。
例2：只有在域的DC上，對資源（如：文件/夾）設置權限，你可以指派域本地組administrators；但在非DC的域成員計算機上，你是無法設置域本地組administrators的權限的。因為它是域本地組，只能在DC上使用。 3． 通用組（universal group） Windows 2000 混合模式。 用戶范圍：森林中任何域中的用戶帳戶。全局組和其他的通用組。 可加入的組：任何域中的本地域組和通用組。 作用范圍： 在森林中的所有域中都是可見的。 權限范圍： 整個林和所有的信任域。 通 用 組： 組的成員情況，記錄在全局目錄GC（全局編錄）中，非常適于林中的跨域訪問使用，集成了全局組和本地域組的優處。 注意：通用組和全局組的權限范圍是相似的。那么通用組和全局組有什么差別之處呢？ 主要在于創建和查詢性能方面有差別。以下是通用組不同處的詳細說明： 1） 通用組的創建。 如果域功能級別是windows 2000混合模式，則不能創建通用安全組。（如上圖所示，選擇組類型為安全組，則組作用域不能選擇通用組）。如果要創建通用組，第一，就是先要提升域功能級別。域功能級別有3種：“windows 2000混合模式‘ “windows 2000純模式和windows server 2003 。 當域功能級別從windows 2000 混合模式提升為windows 2000純模式或windows server 2003. 這樣就可以創建安全的通用組了。 2） 通用組的全局身份在全局編錄中。 在多域環境下，通用組的成員身份信息在全局編錄中。而全局組成員身份存儲在每個域中， 在多域環境下，通用組成員登錄或者查詢速度較快。 注意：具有通用組成員身份不應頻繁更改，因為對這些組成員身份的任何更改都會引起整個組的成員身份復制到樹林中的每個全局編錄中，增加了復制的流量。 重點：全局編錄（Global Catalog，簡稱GC）是域林中所有對象的集合，是一臺特殊的域控制器。默認情況下，在林中的初始域控制器上，會自動創建全局編錄，其他域控制器也可以被指派為全局編錄服務器，用于實現網絡負載平衡和冗余。全局編錄服務器負責響應網絡中所有的全局編錄查詢，一旦出現問題，用戶將無法查詢和登錄。建議網絡安全要求較高的用戶，配置多臺全局編錄服務器，以提高系統的可用性和可靠性。但需要注意的是，網絡中GC之間的復制可能會增加一定的網絡帶寬開銷。 在一個目錄林是可以有多臺全局編錄服務器的。默認情況下，每個域林中只有一臺全局編錄服務器，即根域控制器。全局編錄由目錄林中的初始域控制器自動創建，并且每個目錄林必須有至少一個全局編錄。如果使用多個站點，希望在每個站點都將一個域控制器指定為全局編錄，因為需要全局編錄（決定了帳戶的組成員身份）完成登錄身份驗證進程 全局編錄中包含所有活動目錄對像常用的屬性，其主要目的是加快活動目錄查詢速度。 4． 林中和域中資源互訪所應用的規則“AGDLP/AGUDLP”詳解。 1）“AGDLP“規則：應用于windows 2000 混合模式（在其它兩種模式下也是可以用的） A （account）:用戶帳戶。 G （Global group）:全局組。 DL（Domain local group）：本地域組。 P （Permission ）:許可。 按照AGDLP的原則對用戶進行組織和管理起來更容易。 在AGDLP 形成以后當給一個用戶某一個權限時，只要將這個用戶加入到某一個本地域組就可以了。 注意：在混合模式下，只能將全局組加入本地域組。也就是“AGDLP” 2）“AGUDLP”規則：只能應用于windows 2000純模式和windows server 2003 下。 A （account）:用戶帳戶。 G (Global group):全局組。 U (Universal group):通用組。 DL (Domain local group):本地域組。 P (Permission):許可。 注意： DC安裝時默認U組不可用，其選項為灰色，這時此DC的域處于混合模式（MIX），表示當前域內可能還有基于WIN-NT操作系統的域控制器在使用。如果域內沒有基于WIN-NT操作系統的域，并且森林內有多域共存時就可將DC轉換到本地模式（Native）,U組才能使用。這樣做是為了保持操作系統版本的兼容性。須知，就是在有了windows server 2003的今天，全球還有很多大中型企業的網絡平穩地運行在WIN-NT的平臺上。 當U組可用時，已建的G組和DL組可以有條件的轉換為U組，根據“AGUDLP”。G組轉換為U組的前提是此G組不是另一個G組的成員；和此相反，將DL組轉換成U組的前提條件是此DL組內沒有另一個DL組作為它的成員。 多域環境中（稱為森林），為保持各個域之間的用戶信息共享，U組和它的全部成員都被寫入了一個名為全局編錄（Global Caltalog,GC）的數據庫中，保存于森林內第一臺DC之中，此GC 會在森林內各個域的DC之間進行復制，雖然G組和DL組也被寫入了GC，但是有組名，沒有成員。由此可見，如果將所有成員都加入U組的話，會使得GC在森林內進行域間復制時的網絡流量劇增，造成網速下降；而通過建立適當的G組和DL組，并且在U組內避免直接添加用戶，就能夠顯著降低了GC容量的大小，從而降低GC復制時帶來的網絡流量。 雖然可以對每個用戶單獨授權，但是優秀的系統管理員通常是將用戶添加到G組，必要時才將G組添加到U組，再將G組或U組添加到DL組，最后對DL組授予權。

轉載于:https://blog.51cto.com/ilanni/557214

總結

以上是生活随笔為你收集整理的Windows server 2003域下全局组、本地域组及通用组之间的关系详解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。