活动目录组.pptVIP

活动目录的组; 组可以用来将用户账户、计算机帐户和其他组帐户集中到可管理的单元中。 使用组而不是单独的用户可以简化网络的维护和管理。;一、组类型;1、通讯组;2、安全组;可以使用组策略将用户权利指派给安全组，以帮助委派特定任务。在指派任务时应谨慎，因为在安全组上被指派太多权利的未经培训的用户有可能对网络带来不利影响。 （2）给安全组指派对资源的权限。用户权力和权限不应混淆。对共享资源的权限将指派给安全组。权限决定了谁可以访问该资源以及访问的级别，比如完全控制。系统将自动指派在域对象上设置的某些权限，以允许对默认安全组(如：Account Operators组或Domain Admins组)进行多级别的访问。 ;在定义对资源和对象的权限的ACL中列出了安全组。为资源指派权限时，管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组，而不是多次分配给单独的用户。添加到组的每个帐户将接受在AD中指派给该组的权力以及在资源上为该组定义的权限。 ;3、安全组和通讯组之间的转换;二、组功能;域控制器,成员服务器和独立服务器 :;1、全局组Global;用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机帐户。因为有全局作用域的组不在自身的域之外复制，所以用具有全局作用域的组中的账户可以频繁更改，而不需要对GC进行复制以免增加额外通讯量。 当域功能级别被设置为2000混合模式时，全局组的成员可包括来自相同域的帐户。 域功能级别被设置为2000本机或2003模式下，全局组的成员可包括来自相同域的帐户或“全局组”。;2、通用组Universal;域功能级别被设置为2000混合模式时，不能创建具有“通用组”的安全组。 域功能级别被设置为2000本机或2003模式时，组可被添加到其他组并在任何域中指派权限。 “通用组”只在本机模式域中可用。;3、本地域组Domain Local;“本地域组”只在本机模式才能使用。 从成员身份角度讲，它可以包括来自目录林任何位置、其他受信任的目录林，甚至受信任的低级域的成员。 从资源权限的角度讲，它的作用域只限于域的范围，因为它仅用于在其所处的域内授予权限。 与“本地组”的???同之处在于，它可用在所在的域中任何的windows nt机器上。 通常，“本地域组”用于聚集目录林各处的安全主观来控制对域内资源的访问。;4、本地组Local;从成员身份的角度讲，它可以包括来自目录林任何位置、其他受信任的目录林，甚至受信任的低级域的成员。 从资源权限的角度讲，它的作用域只限于机器范围，因为它仅用于在其所处的机器上来授予权限。 通常，“本地组”用于对本地计算机上的资源进行访问授权。;三、默认组;除了“User”和“Builtin”容器，2003还包括一些特殊身份，这些特殊身份通称为“系统组”。不同环境的系统组在不同时间内代表不同的用户，可以给系统组授予用户权力和权限，但不能更改或浏览其中的成员身份。系统组中的成员身份不能改变。它们由操作系统创建，以后不能改变或进行管理。 组的作用域不能应用于系统组。不论何时，登陆或访问特定资源的用户都被自动分配到系统组中。;1、Builtin容器中的组;组;组;2、“Users”容器中的组;组;四、嵌套组;1、嵌套组组成员;具有域本地作用域的组可具有下列成员：账户、具有通用作用域的组和具有全局作用域的组（来自任何域）。该组还可将来自相同域中的具有本地域作用域的其他组作为成员。 具有全局作用域的组只将账户作为其成员 具有本地域作用域的组把具有全局作用域的其他组和账户作为其成员;2、组作用域;组作用域的功能如下表;五、组规划;通用组的成员可以是任意域中的账户或全局组、通用组，也可在任意域中获权，但是必须在nativemode下使用，而且用的不好，会引发森林的AD复制 组可以帮助系统管理员简化网络的管理，降低网络的通信流量，在规划AD的时候，要根据需要规划组。;1、组设计原则;跨域查询时，在用户属性中，看到的组成员身份可能不同，建议不要使用此操作。 本地组：具有本地域作用域的组可以定义和管理对单个域内资源的访问。这些组可以将具有全局作用域的组和具有通用作用域的组作为成员。 例如，要使5个用户访问特定的打印机，可在打印机权限列表中添加全部5个用户。如果希望以后这5个用户都能访问新的打印机，则需要再次在新打印机的权限列表中指定全部5个账户。 如果通过简单的规划，可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化管理。将5个用户账户放在具有全局作用域的组中，并且将该组添加到有本地域作用域的组中，具有全局作用域的组的成员自动接受对新打印机的访问。 ;全局组：使用具有全局作用域的组管理那些需要每天维护的目录对象。如用户和计算机账户。因为有全局作用域的组不在自身的域外