1、组的概念:

组是用户和计算机帐户、联系人以及其他可作为单个单元管理的组的集合。属于特定组的用户和计算机称为组成员。使用组可同时为许多帐户指派一组公共的权限和权利,而不用单独为每个帐户指派权限和权利,这样可简化管理。

备注:默认AD安装完成后,在容器BuiltinUsers中有一些默认的组(包含部分用户)

2、组类型

通讯组:仅用于分发电子邮件而没有启用安全性的组。通讯组只能与电子邮件应用程序一起使用。

安全组:1)可以将用户权利分配到AD中的安全组(通过组策略比如是否可以备份系统文件等)

        2)可以给安全组指派对共享资源的权限(如:只读,完全控制等)

3、组作用域(以功能级别被设置为 Windows 2000 本机或 Windows Server 2003 为例)

1)本地域:该组将帮助我们定义和管理单个域内资源的访问。(他的成员可以为任何作用域的组)

2)全局:该组的成员可以是相同域的账户或全局组(全局作用域的组不在自身的域之外复制,所以具有全局作用域的组中的帐户可以频繁更改,而不需要对全局编录进行复制以免增加额外通信量)

3)通用:通用组的成员可包括来自任何域的帐户、全局组和通用组。使用通用作用域可以实现如下效果:请将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略,对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。

4、嵌套组

通过使用嵌套,可将组添加为另一个组的成员。嵌套组可合并成员帐户并减少复制通信量

5、可以创建组的地方

Active Directory 中,组是在域中创建的。可以使用 Active Directory 用户和计算机创建组。只要有了必要的权限,就可以在林的根域中、在林的任何其他域中,或在组织单位中创建组。