陈浩民的爸爸是谁:[转载]全局组、域本地组、通用组的区别与联系

全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS建议的规则：基于组织结构、行政结构规划。

域本地组：只能在本域的域控制器DC上使用。MS建议的规则：基于资源（夹、打印机……）规划。

在域的混合模式下，只能把全局组加入到域本地组，即AGDLP原则。

注意：2000/03域的默认模式为：混合模式。则域本地组：只能在本域的域控制器DC上使用。若域功能级别转成本机模式（或称2000纯模式），甚至03模式，域本地组可在全域范围内使用。

说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明（以混合模式下为例）：
　例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。
　例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。

通用组：组的成员情况，记录在全局目录GC中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

AGDLP
A (account):用户帐户
G (Global group):全局组
DL (Domain local group):域本地组
P (Permission):许可
按照AGDLP的原则对用户进行组织和管理起来更容易
在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了

=====================

1、本地域组：多域用户访问单域资源（访问同一个域）
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限。

2、全局组： 单域用户访问多域资源（必须是一个域里面的用户）
全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；

3、通用组： 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；
当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。


本地域组： 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用
于授予位于本域资源的访问权限。

全局组： 只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能把它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。

通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。
比如： 有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时
，可以在B中建一个DL(域本地组)，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5 个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都
加入B域中的DL中，然后把FINA的访问权赋给 DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？

组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员！这就是A-G-DL-P。

注：A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将

用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域。

全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域。

本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的。
打个比方，现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属
于domainB,他想访问Resource.这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到DomainA域中建立一个域本地组 LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本
地组LocalA授权对Resource的访问权限。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

－－－－－
外一篇：
从组的使用范围来分，可以分为三种：全局组、本地域组和通用组。
全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组，可以访问任何一个域内
的资源。本地域组具有所属域的访问权限，以便访问本域的资源。本地域组的成员可以是同一个域的本地
域组，也可以是任何域内的账户、全局组和通用组，他们能访问的资源只是该本地域组所在域的资源。通
用组可以访问任何一个域内的资源，通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所
说的访问权限是要经过设定的。
安装域控制器时，系统会自动生成一些组，称为内置组。这些组都定义了一些常用权限，通过将用户加入
到这些内置组中，可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”
和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中，内置的全局组在
“Users”组织单元中。

1.内建组：
在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Builtin”文件夹，Windows2000
建立了内建组。
Account Operators（账户操作员）：该组的成员能操作用户管理员所属域的账号和组，并可设置其权限
。但是该组成员无法修改Administrators及Operators组及权限。
Administrators（管理员）：该组的成员可以完全不受限制地存取计算机/域的资源，是最具权力的一个
组。通常，Administrators账户与Domain Admins组都是它的成员。
Backup Operators：该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests：该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常，Guest账户与Domain
Guest都是该组的成员。
Printer Operators：该组的成员可以管理网络打印机，包括建立、管理以及删除网络打印机。
Replicator：该组的成员支持域中的文件复写，可启动目录复制程序进行目录复制。
Server Operators：该组的成员可以管理域服务器，包括：建立/管理/删除任何服务器的共享目录、管理
网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users：该组的成员只可以执行得到授权的应用程序，而且不可执行大部分的继承应用程序。

2.通用组：
在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Users”文件夹，Windows2000建
立了内建的通用组来组织不同状态的用户账户（一般用户、Administrators以及Guests）。
Domain Admins：该组可以代表具有操作域权力的用户，通常，Domain Admins会属于Administrators组，
因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain
Admins 组中，而内建的Administrator账户是其唯一的成员。因此，如果您希望某一用户成为域系统管理器，则我们建议您将该用户加至Domain Admins组中，而不要直接加至Administrators组中。
Domain Guests：所有域来宾，Windows2000会自动将Guest用户账户加至该组，并将该组加至内建域
Guests组中。
Domain Users：所有域的成员，在预设的情况下，任何我们所建立的用户账户都会是Domain Users组的成
员，而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有
某种资源存取权限，则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。
Domain Users组在预设的情况下上内建域局域Users组的成员。

转载自：http://hi.baidu.com/goverr/blog/item/9f10de38f4d3fa2597ddd8f8.html