簡單來說，將組看成一個邏輯單位，它可以包含一組用戶帳戶或是其它的組，我們將權限指派給組后，任何加入這個組的對象都會擁有這個組具有的權限。 域內的組，和用戶帳戶一樣，也具有一個獨一無二的SID，這些能夠被賦予權限的對象（帳戶或組），我們稱之為安全策略。注意一下：能夠指派權限的組又稱為安全組，另外還有一種不能指派權限的通訊組。 下面來認識下組作用域：不管是哪一個組都有其作用域，即是指派這個組的“使用范圍”。1、它能夠用于指派位于域或林資源的權限。2、能夠放在域或林的其它組之中。3、能夠包含來自域或林的用戶和組。 03一共有三種組作用域： ? 1、本地域：使用范圍是本域的組，叫做本地域組。 本地域組可以包含三種成員：1任何域的用戶帳戶。2任何域的全局組。3、如果功能等級設為WINDOWS2003純粹模式或WINDOWS SERVER2003模式，則還可以包含任何域的通用組和同域的本地域組。這可能與上定義的本地域組有些混淆。上面指的是使用范圍，指的是權限范圍只限于同域內的資源。也即是他們只能夠享受本地哉的資源。注意一下：若組中包含其它的組（其它域區域、通用域通用組），稱為組的嵌套。本地域組只限于訪問同域的資源，無法訪問其它域的資源。實際應用中我們會把隸屬同一部門的用戶組織成全局組，然后再將全局組加入本地域組中。 下面再來區分一下本地組與本地域組：WIN2000/XP和域控制器外的獨立服務器或者成員服務器都不會有組作用域，它們只有本地組（LOCAL GROUP）。其權限范圍只限于本地計算機。只有本機的資源能夠指派給本地組。若客戶端與獨立服務器加入域中，則本地組除了可包含本地用戶帳戶外，還可以包含：1同域的域用戶帳戶，2、同域的本地域組和整個林的全局組與通用組，但是一般我們都不會使用本地組，加入域后都使用權本地域組來進行管理域內的資源。 2、全局：指派權限時使用范圍可涉及林，但只能夠含同域的其它帳戶或組。叫做全局組。全局組可包含兩種成員：1、同域的用戶帳戶，2、若域功能等級設為WINSOWS2000純粹模式或WINDOWS SERVER 2003模式，則可包含同域的其它全局組。 全局組的權限范圍是整個林，也就是說，我們可以將A域資源的訪問權限指派給B、C、D等域的全局組，但是在實際應用上，最好將全局組加入本地域組中而不要直接將權限指派給全局組。 應用：利用本地域組與全局組來管理單一域。其規劃方式稱為“AGDLP”。下面舉個例子：把需要相同權限的用戶帳戶加入同一個通用組，如將產品部門的員工加入PRODUCTS，會計部門的員工加入ACCOUNTINGS全局組中。把全局組加入本地域中，將PRODUCTS和ACCOUNTSINGS加入PRINTERS這個本地域組中。將域內資源的訪問權限指派給本地域組。比如將打印機的訪問權限指派給PRINTERS本地域組，則PROUDUCTS與ACCOUNTINGS就可以使用打印機了。使用刪除和加入都是權限分配與否，非常方便。 ?3、通用：使用范圍涉及到整個林。叫做通用組。通用組包括三種成員：1、任何域的用戶帳戶，2、任何域的全局組。3、任何域的通用組。由于跨域訪問資源時，會利用全局編錄來查詢資源所在的位置，所以不同域的全局編錄彼此間需要相互復制數據，以確保數據的同步。通用組的特性會把組名稱和包含的成員都發布到全局編錄上，如果其成員變動，就會觸發全局編錄之間的復制動作，造成網絡可觀的負載。然而，全局組和本地域組則只有組名稱會記錄于全局編錄，組包含的成員信息不會放在那里，所以無論其成員如何變動，都不會影響到全局編錄的屬性而觸發復制機制。 下面來看個利用通用組管理多個域。通用組存在的目的就是為了簡化多域（林）的管理工作。假如：旗標公司在廣州總部和梅州與湛江兩個分公司，總部和各個分公司的財務人員都要能夠訪問彼此的財務報表，在不使用通用組時如下圖。 然后看下使用通用組的圖： 對比兩圖：通用組中并沒有直接包含用戶帳戶，而是包含各域的全局組，這樣就可以有效降低因全局編錄間彼此復制所造成的負載。不使用通用組則必須將各個全局組加到本地域組中，才能夠讓所有財務人員都能夠訪問到各分公司財務報表，顯然比較麻煩。 下面給也幾個利用組規劃的策略：1、將資源的訪問權限指派給本地域組，然后將林中的全局組或通用組加到本地域組中，以獲得該項資源的訪問權。2、將域內相同權限的用戶帳戶組織在全局中，再將全局組加入各個本地域組中。3、在多域的環境中，將相同權限的全局組組織到通用組中，然后把通用組加入各個本地域組中，盡量不要在通用組中包含用戶帳戶。4、組中包含其它組的嵌套不要太復雜，建議采用單層結構即可。 下面來進行實戰：利用組管理域 新建組： 這里在USERS容器中來建。 填好資料。先建立一個本地域組。 再建立一個全局組 建好后看上面。 現在來將用戶加入全局組，點擊PRODUCTS，屬性。 將李小龍這個用戶加入，可以檢查下名稱，看輸入的對不對。 這里便加入了全局組。 也可以在隸屬于選項卡中加入組中。 點擊李小龍的屬性可以看到加入了全局組。 下面來將全局組加入本地域組 點擊PROUDUCTS屬性。 點擊添加。這里是輸入加入到PRINTERS本地域組中。 點PRODUCTS屬性可看到加入到了PRINTERS中。 點擊PRINTERS屬性也可看到其成員是PRODUCTS。 下面來看將資源訪問權限指派給本地域組 執行開始-打印機和傳真。點擊屬性。 點添加。輸入要加入的PRINTERS組。 可看見加入了組。PRINTERS組便會有了打印的權限。 下面來看重新命名組。 注意：更改組名后，其SID并不會變，所以此組屬性對話框中的設置，和已經指派給這個組的權限都不會變。 輸入后按回車便出現對話框。 下面來認識下組類型：03支持安全組和通訊組這兩種類型。 安全組和用戶帳戶一樣，每個安全組都會有個獨一無二的SID，所以我們可以直接將資源的使用權限指派給安全組。但在客戶端和非域控制器的服務器中的本地組，并沒有安全組與通訊組的差別，本地組都是安全組。 通訊組：并沒有SID，因此不能夠用它來指派對象的訪問權限，它的功能是來組織其成員的電子郵件地址，注意郵件處理程序必須支持ACTIVE DIRECTORY才能夠使用通訊組。如（EXCHANGE SERVER2000/2003。其實安全組也是通訊組來的。 聯系人：無論是安全組還是通訊組都可以包含聯系人對象，聯系人也沒有SID，即使指把聯系人加入安全組也不會具有該組的權限。 新建聯系人。 下面來認識下03內置組：有五種：內置本地組，內置的本地域組，內置的全局組，內置的通用組，內置的系統組。這些內置組都是事先設置好的用戶權利。 非域控制器的內置本地組，安裝WIN2003后，系統會自動建立內置本地組，但安裝AD服務成為域控制器的計算機其中所有的本地組，包含內置的本地組都會被刪除。所以我們只能夠在獨立服務器，成員服務器等非域控制器計算機上看到內置本地組。而且是無法將它們刪除的。 下面看下客戶端的內置本地組： 工作組模式才需要本地組。 下面看下內置的本地域組。在域控制器上：BUILTIN容器中的都是內置本地域組。當獨立服務器和客戶端加入域后，系統自動把域控制器的DOMAIN ADMINS全局組加入這些計算機的ADMINISTRATORS本地組，并將DOMAIN USERS 全局組加入這些計算機的USERS本地組，所以域的ADMINISTRATOR可以管理這些計算機，而域中一般用戶也可以登錄使用這些計算機。除了內置的本地域組外，系統還會在USERS容器中產生內置的全局組與通用組，這些組本身并沒有任何用戶權利與權限，它們的用戶權利與權限完全來自隸屬的內置本地域組。所以可以直接把用戶加入到這些組中，便具有內置的相應權限。 內置的系統組：每臺03服務器和客戶端都還有一組特別的系統組，稱為內置安全性主體。這些組只會在指派用戶權利或設置權限時才會出現，平常看不見它。比如： 點“我的文檔” 點添加。 點高級 點立即查找便可看見了。 下面來看指派用戶權利。在域中利用組策略編輯器來指派用戶權利給組， 域控制器默認會放在DOMAIN CONTROLLERS組織單位中。 按編輯。 雙霹允許在本地登錄。 按添加用戶域組。 添加成功。 下面來看下指派本地的用戶權利。 即是在工作組中的獨立服務器，必須使用“本地安全設置” 雙擊在本地登錄。 按“添加用戶域組” 輸入要添加的組。 按確實即可。完成。。。


? 本文轉自yangming1052 51CTO博客，原文鏈接：http://blog.51cto.com/ming228/94424，如需轉載請自行聯系原作者

總結

以上是生活随笔為你收集整理的Active Diretory 全攻略（五）--规划和建立组的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。