46、Windows Server 2008 组与用户配置管理全解析

Windows Server 2008 组与用户配置管理全解析

在 Windows Server 2008 系统的管理中，组和用户配置管理是至关重要的环节。下面将详细介绍组的创建、用户配置文件的管理以及组策略的相关内容。

1. 活动目录中的组范围

确定组的类型后，还需选择组的范围。范围定义了谁可以成为组的成员以及组的使用范围。由于只有安全组可用于委派控制或授予资源访问权限，因此后续内容主要围绕安全组展开。
- 域本地组 ：可用于分配执行基于域的管理任务的权限，以及访问域控制器上的资源。该组可以包含森林中任何域的成员，也可以包含其他组作为成员，但只能在其所在的域中分配权限。
- 全局组 ：功能比域本地组更强大。它只能包含其所在域的成员，但在建立了适当的域信任关系后，可以为跨多个域的资源分配权限，或委派管理任务和服务的控制权。
- 通用组 ：可以包含森林中任何域的用户、组、联系人或计算机。这简化了在多个森林中有成员的单域组的需求。由于组成员身份会在域间复制并填充到全局编录中，因此通用组的成员数量应保持较少，且不应频繁更改。最佳实践是创建跨域的通用组，并仅将每个域的全局组作为成员，以减少跨域复制。

需要注意的是，通用安全组只能在运行 Windows 2000 Native、Windows Server 2003 或 Windows Server 2008 域功能级别的域中创建。如果无法达到该级别，在为需要多个域用户访问的资源设置权限时，应使用每个域的全局组。

2. 创建组

创建组时，了解不同类型和范围