一、 組的類型
活動目錄中組兩種類型:安全組和通訊組
1、 安全組:有安全標識(SID),能夠給其授權用戶訪問本地資源或網絡資源。既能授權訪問資源,也可以利用其群發電子郵件。
2、 通訊組:沒有安全標識,不能授權其訪問資源,只能用來群發電子郵件。
(訪問資源與群發電郵來確定)
二、 組的作用域
活動目錄中組按照能夠授權的范圍,分為本地域組、全局組和通用組,下面將分別介紹這幾類組的目的。
1、 本地域組
本地域組代表的是對某種資源訪問權限
創建目的是針對某種資源的訪問情況而創建的。例如,在處有一個激光打印機,針對該打印機的使用情況,可以創建一個“激光使用者”本地域組,然後使用該打印機。以後哪個用戶或全局組需要使用打印機,可直接將用戶或組添加到“激光打印機使用者”,就等於授權使用打印機了。可以針對服務器上“公共空間”文件夾創建一個“公共空間訪問者”本地域組,然後授予該“公共空間訪問者”對“公共空間”的讀、寫權限。
2、 全局組
全局組代表的是同類用戶身份的用戶帳戶。目的是為了合並工作職責相似的用戶帳戶。只能將本域的用戶和組添加到全局組。在多域不能合並其他域中的用戶。
3、 通用組
和全局組的作用一樣,目的是根據用戶的職責合並用戶。與全局組不同的是,在多域環境中它能夠合並其他域中的域用戶帳戶。比如可以把兩個域中的經理帳戶添加到一個通用組。在多域環境中,可以在任何域中為其授權。
三、 在域環境中使用組的策略
將用戶帳戶(User Acounts)添加到全局組(Global Group),將用戶帳戶合並。
將為本地域組(Domain local group)授權(Permission)對某資源的訪問。
授權的過程就變為將全局組(Global Group)添加到本地域組(Domain Local Group)的過程。
總結:
在單域中使用組的策略是A-G-DL-P策略,如果域中的用戶帳戶不多,則可以直接授權用戶或全局組訪問某資源。如果用戶帳戶較多,最好使用推薦A-G-DL-P策略,調理清晰。
在多域環境中使用組的策略是A-G-U-DL-P策略,U代表(Universal Group),即將用戶帳戶添加到本域的全局組,然後將各個域的全局組添加到通用繃帶,將通用組添加到本地域組。為本地組授權。