活动目录中各种组之间的区别

活动目录中各种组之间的区别

从组的使用范围可以分为：

通用组

全局组

域本地组….

通用组

通用组可以设定在所有域内的访问权限，以便访问每一个域内的资源，通用组的特性如下所示：

Ø   通用组具备“通用领域（universal scope）”的特性，其成员能够包含整个林中的任何一个域内的用户、通用组与全局组，但是它无法包含任何一个域内的域本地组。

Ø   通用组可以访问一个域内的资源，也就是说可以在任何一个域内设置通用组的权限

（这个通用组可以是在同一个域内、也可以是在另一个域内）。

全局组

全局组主要用来组织用户，即可以将多个被赋予相同权限的用户账户加入到同一个全局组内。全局组的特性如下：

Ø  全局组内的成员，只能够包含所属域内的用户与全局组，即只能够将同一个域内的

用户或其他全局组加入到全局组内。

Ø  全局组可以访问任何一个域内的资源，即可以在任何一个域内设置全局组的使用权

限（这个全局组可以是在同一个域内、也可以是在另一个域内）。

域本地组

域本地组主要用来指派在其所属域内的访问权限，以便访问该域内的资源。域本地组的特性如下：

Ø  域本地组内的成员可以是任何一个域内的用户、通用组与全局组，也可以是同一个

域内的域本地组，但无法是其他域内的域本地组。

Ø  域本地组只能够访问同一个域内的资料，无法访问其他不同域内的资源。换句话说，

当在某台计算机上设置权限时，可以设置同一个域内的域本地组的权限，但是无法设置其他域内的域本地组的权限。

 

说明:组加入到其他组内的操作，被称之为“group nesting”。

 

下表详细的列出了各个组的特性。

组 特性	通用组	全局组	域本地组
成员（域功能级别是Windows 2000混合模式）	不支持安全性的通用组	同一个域内的用户	所有域内的用户、全局组
成员（域功能级别是Windows 2000纯模式或Windows Server 2003）	所有域内的用户、全局组、通用组	同一个域内的用户与全局组	所有域内的用户、全局组、通用组，同一个域内的域本地组
可以在哪一个域内被设置使用权限	所有域（域功能级别必须是Windows 2000纯模式或Windows Server 2003）	所有域	同一个域
组转换	可以被换成域本地组或全局组（只要此组内的成员不含通用组）	可以被换成通用组（只要此组不属于任何一个全局组）	可以被换成通用组（只要此组内的成员不含域本地组）