Windows server 2003 域下全局组,本地域组,通用组之间的关系详解 WINDOWS SERVER 2003 组的简介: 定义: 组(Group)是用户帐号的集合。 作用: 通过向一组用户分配权限从而不必向每个用户分配权限,简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。 类型: 1)安全组,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了,这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便,简化网络的维护和管理工作。 2)通讯组,只能用在电子邮件通讯。 提示:在windows server 2000 的域中,通讯组的名称是:“分布组”和通讯组功能想似。 注意:一般情况下,管理Active Directory 使用的都是安全组。安全组和通讯组在有些时候是可以互转的,这要取决于 Active Directory 中域的模式。 组的作用域: 安全组下可创建3 种作通知域组:如下图所示。 注意:2K/2003安装之后,域的默认模式为:混合模式。(安装了windows server 2003域控后,域的模式为“windows 2000 混合模式“)则本地域组只能在本域的控制器 DC 上使用。若域功能级别转成本机模式(或称为2K纯模式),或是03模式,本地域组才可在全域范围内使用。 1. 本地域组。(local domain group) Windows 2000 混合模式 用户范围:任何域中的用户帐户和全局组。森林中任何域中的用户帐户,全局组和通用组以及本地域中的本地域组。 可加入的组:不能是任何组成员,只能是本域中的本地域组。 作用范围: 只在其自己的域中可见。 权限范围: 只能在本地域组所在的本域中 MS建议的规则:基于资源(夹、打印机„„)规划。 2. 全局组。(global group) Windows 2000 混合模式 用户范围: 本域中的所有用户。 可加入的组:林中所有任域的本地域组。 作用范围: 在本域和所有信任域中都是可见的。 权限范围: 森林中所有的域。 MS建议的规则:基于组织结构、行政结构规划。 注意:全局组和域本地组的关系,非常类似于域用户帐号和本地帐号的关系。域用户帐号,可以全局使用,即在本域和其它关系的其它域中都可以使用,而本地帐号只能在本地机上使用。以下例题为“混合模式”下: 例 1:将用户张三(域帐号 Z3)加入到域本地组administrators中,并不能使 Z3对非 DC...