很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。

定义: 组(Group)是用户帐号的集合。

作用: 通过向一组用户分配权限从而不必向每个用户分配权限,简化管理。就是为用户和嵌套在里面的组等单元提供对网络资源访问的权限。

类型:  1)安全组,管理员在日常工作中不必要去为单个用户帐号设置自己独特的访问权限,而是将用户帐号加入到相对应的安全组中。管理员通过给相对的安全组访问权 限就可以了,这样所有加入到安全组的用户帐号都将有同样的权限。使用安全组而不是单个的用户帐号可以方便,简化网络的维护和管理工作。

       2)通讯组,只能用在电子邮件通讯。

提示:在windows server 2000的域中,通讯组的名称是:“分布组”和通讯组功能想似。

注意:一般情况下,管理Active Directory使用的都是安全组。安全组和通讯组在有些时候是可以互转的,这要取决于Active Directory中域 的模式。

组的作用域:

安全组下可创建3种作用域组:如下图所示。组的详解三:Windows server 2003域下全局组,本地域组,通用组之间的关系详解 - 蒋哥 - 蒋哥的博客


1、本地域组:多域用户访问单域资源(访问同一个域)
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

2、全局组: 单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的 通用组和域本地组中(注意这里不能把它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权 限,但一般不直接用它来进行权限管理。

3、通用组: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。组的成员情况,记录在全局目录GC(全局编录)中,非常适于林中的跨域访问使用,集成了全局组和本地域组的优处。

注意:2000/03域的默认模式为:混合模式。则域本地组:只能在本域的域控制器DC上使用。若域功能级别转成本机模式(或称2000纯模式),甚至03模式,域本地组可在全域范围内使用。


注意:通用组和全局组的权限范围是相似的。那么通用组和全局组有什么差别之处呢?
主要在于创建和查询性能方面有差别。以下是通用组不同处的详细说明:

1)  通用组的创建。

如果域功能级别是windows  2000混合模式,则不能创建通用安全组。(如上图所示,选择组类型为安全组,则组作用域不能选择通用组)。如果要创建通用组,第一,就是先要提升域功能 级别。域功能级别有3种:“windows 2000混合模式‘ “windows 2000纯模式和windows server 2003 。
当域功能级别从windows 2000 混合模式提升为windows 2000纯模式或windows server 2003. 这样就可以创建安全的通用组了。

2)  通用组的全局身份在全局编录中。

在多域环境下,通用组的成员身份信息在全局编录中。而全局组成员身份存储在每个域中,
在多域环境下,通用组成员登录或者查询速度较快。

注意:具有通用组成员身份不应频繁更改,因为对这些组成员身份的任何更改都会引起整个组的成员身份复制到树林中的每个全局编录中,增加了复制的流量。

重点:全局编录(Global  Catalog,简称GC)是域林中所有对象的集合,是一台特殊的域控制器。默认情况下,