Windows_server_2003域下全局组,本地域组,通用组之间的关系详解

Windowsserver2003域下全局组，本地域组，通用组之间的关系详解WINDOWSSERVER2003组的简介：定义：组（Group）是用户帐号的集合。作用：通过向一组用户分配权限从而不必向每个用户分配权限，简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。类型：1）安全组，管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限，而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了，这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便，简化网络的维护和管理工作。2）通讯组，只能用在电子邮件通讯。提示：在windowsserver2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。注意：一般情况下，管理ActiveDirectory使用的都是安全组。安全组和通讯组在有些时候是可以互转的，这要取决于ActiveDirectory中域的模式。组的作用域：安全组下可创建3种作通知域组：如下图所示。注意：2K/2003安装之后，域的默认模式为：混合模式。（安装了windowsserver2003域控后，域的模式为“windows2000混合模式“）则本地域组只能在本域的控制器DC上使用。若域功能级别转成本机模式（或称为2K纯模式），或是03模式，本地域组才可在全域范围内使用。1．本地域组。（localdomaingroup）Windows2000混合模式用户范围：任何域中的用户帐户和全局组。森林中任何域中的用户帐户，全局组和通用组以及本地域中的本地域组。可加入的组：不能是任何组成员，只能是本域中的本地域组。作用范围：只在其自己的域中可见。权限范围：只能在本地域组所在的本域中MS建议的规则：基于资源（夹、打印机……）规划。2．全局组。（globalgroup）Windows2000混合模式用户范围：本域中的所有用户。可加入的组：林中所有任域的本地域组。作用范围：在本域和所有信任域中都是可见的。权限范围：森林中所有的域。MS建议的规则：基于组织结构、行政结构规划。注意：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。以下例题为“混合模式”下：例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组DomainAdmins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。3．通用组（universalgroup）Windows2000混合模式。用户范围：森林中任何域中的用户帐户。全局组和其他的通用组。可加入的组：任何域中的本地域组和通用组。作用范围：在森林中的所有域中都是可见的。权限范围：整个林和所有的信任域。通用组：组的成员情况，记录在全局目录GC（全局编录）中，非常适于林中的跨域访问使用，集成了全局组和本地域组的优处。注意：通用组和全局组的权限范围是相似的。那么通用组和全局组有什么差别之处呢？主要在于创建和查询性能方面有差别。以下是通用组不同处的详细说明：1）通用组的创建。如果域功能级别是windows2000混合模式，则不能创建通用安全组。（如上图所示，选择组类型为安全组，则组作用域不能选择通用组）。如果要创建通用组，第一，就是先要提升域功能级别。域功能级别有3种：“windows2000混合模式‘“windows2000纯模式和windowsserver2003。当域功能级别从windows2000混合模式提升为windows2000纯模式或windowsserver2003.这样就可以创建安全的通用组了。2）通用组的全局身份在全局编录中。在多域环境下，通用组的成员身份信息在全局编录中。而全局组成员身份存储在每个域中，在多域环境下，通用组成员登录或者查询速度较快。注意：具有通用组成员身份不应频繁更改，因为对这些组成员身份的任何更改都会引起整个组的成员身份复制到树林中的每个全局编录中，增加了复制的流量。重点：全局编录（GlobalCatalog，简称GC）是域林中所有对象的集合，是一台特殊的域控制器。默认情况下，在林中的初始域控制器上，会自动创建全局编录，其他域控制器也可以被指派为全局编录服务器，用于实现网络负载平衡和冗余。全局编录服务器负责响应网络中所有的全局编录查询，一旦出现问题，用户将无法查询和登录。建议网络安全要求较高的用户，配置多台全局编录服务器，以提高系统的可用性和可靠性。但需要注意的是，网络中GC之间的复制可能会增加一定的网络带宽开销。在一个目录林是可以有多台全局编录服务器的。默认情况下，每个域林中只有一台全局编录服务器，即根域控制器。全局编录由目录林中的初始域控制器自动创建，并且每个目录林必须有至少一个全局编录。如果使用多个站点，希望在每个站点都将一个域控制器指定为全局编录，因为需要全局编录（决定了帐户的组成员身份）完成登录身份验证进程全局编录中包含所有活动目录对像常用的属性，其主要目的是加快活动目录查询速度。4．林中和域中资源互访所应用的规则“AGDLP/AGUDLP”详解。1）“AGDLP“规则：应用于windows2000混合模式（在其它两种模式下也是可以用的）A（account）:用户帐户。G（Globalgroup）:全局组。DL（Domainlocalgroup）：本地域组。P（Permission）:许可。按照AGDLP的原则对用户进行组织和管理起来更容易。在AGDLP形成以后当给一个用户某一个权限时，只要将这个用户加入到某一个本地域组就可以了。注意：在混合模式下，只能将全局组加入本地域组。也就是“AGDLP”2）“AGUDLP”规则：只能应用于windows2000纯模式和windowsserver2003下。A（account）:用户帐户。G(Globalgroup):全局组。U(Universalgroup):通用组。DL(Domainlocalgroup):本地域组。P(Permission):许可。注意：DC安装时默认U组不可用，其选项为灰色，这时此DC的域处于混合模式（MIX），表示当前域内可能还有基于WIN-NT操作系统的域控制器在使用。如果域内没有基于WIN-NT操作系统的域，并且森林内有多域共存时就可将DC转换到本地模式（Native）,U组才能使用。这样做是为了保持操作系统版本的兼容性。须知，就是在有了windowsserver2003的今天，全球还有很多大中型企业的网络平稳地运行在WIN-NT的平台上。当U组可用时，已建的G组和DL组可以有条件的转换为U组，根据“AGUDLP”。G组转换为U组的前提是此G组不是另一个G组的成员；和此相反，将DL组转换成U组的前提条件是此DL组内没有另一个DL组作为它的成员。多域环境中（称为森林），为保持各个域之间的用户信息共享，U组和它的全部成员都被写入了一个名为全局编录（GlobalCaltalog,GC）的数据库中，保存于森林内第一台DC之中，此GC会在森林内各个域的DC之间进行复制，虽然G组和DL组也被写入了GC，但是有组名，没有成员。由此可见，如果将所有成员都加入U组的话，会使得GC在森林内进行域间复制时的网络流量剧增，造成网速下降；而通过建立适当的G组和DL组，并且在U组内避免直接添加用户，就能够显著降低了GC容量的大小，从而降低GC复制时带来的网络流量。虽然可以对每个用户单独授权，但是优秀的系统管理员通常是将用户添加到G组，必要时才将G组添加到U组，再将G组或U组添加到DL组，最后对DL组授予权。