本地组、全局组、域本地组和通用组概念的区别

1、-可修编-首先我们需要明确一点：为什么我们需要建立组？答案很简单：为了管理方便！其实计算机文件或者文件夹的控制权限是在属性的平安的选项卡中新建文件莪显性设定的，如下列图所示：2凶富视I共享安全|自定义|犯或用户名称：|Administratcri卅3-DEBUT"-。口Adminiztrators国匚REkraR0W血叠Deboy(detoyw)gjSYSTEMVsrs(WS-IiEB0yW_00Wsers)_零加),一I册除®Administratore的枳隈(£J允许拒蜗完全控制修改读取和运行列出文件夹目录读取写入特别权限或高霾谖置J诺单击“高旗取消“三用西在

2、“组或用户名称中可以添加对此文件夹行使权限的用户或者组。现在来看这样一种情况：你是一个域的管理员，在文件效劳器上建立了一个共享文件夹，用来放置一些财务部专用文档，假设你有两个选择：1 .在平安属性页中一个一个添加财务部的人员并配置相应的权限。2 .在域控制器中创立财务部的组包含所有财务部人员，在平安属性页中添加财务部组假设财务部又新来了N位员工，如果你选择第一种方案，你就需要在平安属性中添加并配置N位员工，而选择第二种方案，你只需要在域控制器上创立用户XX的时候指定他们的组为财务部就可以了，而无需修改平安属性中的角色列表。所以，很显然你应该选择第二种方式。尤其是你有很多共享文件夹进展管理的时候

3、，使用组来管理的好处就更能够表达出来了。通过这个例子你也能够体会到：使用组其实是为了管理方便，用最少的工作获得最好的效果！明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。什么是本地组呢？很多时候本地组被人认为是域本地组的简称。其实严格来说，本地计算机上也可以创立属于本机的组，这些组才应该称为“本地组。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中，而域本地组存储在域控制器上。你如果使用过域，应该有这种体验：使用域XX登录域中任意一台计算机后，默认情况下是普通的Users组权限，如果要提升成管理员权限，需要把这个域XX添加到本地计算机的Adminis

4、trators组中。全局组的特点是什么呢？全局组成员来自于同一域的用户账户和全局组，在林范围内可用。也就是说能够添加到全局组的成员是本域的成员或者全局组这样就构成了组的嵌套。如果在XX的域中创立了全局组A,那么能添加到A中的人只能是XX域中的对象或者是其他可信任域，如或XX的全局组。域本地组的特点是什么呢？域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组，在本域范围内可用。通用组的特点是什么呢？通用组成员来自林中任何域中的用户账户、全局组和其他的通用组，在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上，而是保存在全局编录中，当发生变化时能够全林复制。规

5、那么就这些，请不要记混。可以简单这样记忆：全局组来自本域用于全林通用组来自全林用于全林域本地组来自全林用于本域因为只有域本地组专用于在本地赋予权限，所以，通常情况下，域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用：康博公司是一个大型的软件公司。公司的业务开展很快，目前在拥有自己的办公大楼，总部也因此设在那里，另外在XX也有分公司。公司在企业内部建立了域名为boo.的域，由于XX的分公司主营外包业务，相比照拟独立，于是为其创立了子域os.boo.,从而形成了域树。后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公司，名为博通，总部设在X%博通在总公司的林中创立了自己

6、的域环境botong.。为了充分利用所有的资源，在子公司和总公司之间建立了信任关系，以便能够相互访问资源。整个的逻辑构造图如下所示：在上面的例子中，XX的公司财务部门出了一点问题，需要从、XX都找10个人支援一下，XX公司的账目资料都保存在一台财务部专用效劳器上。因为是公司XX信息，平安性比拟高，所有资料仅仅允许财务部门的人访问。管理员为了方便管理，就为财务部门创立了一个域本地组dlf,在效劳器上赋予dlf组权限这种策略的简写就是A-DL-P,Account-domainlocalgroup-permission。然后XX和的管理员分别为各自要帮助XX白10个人创立了一个全局组bjf和shf这

7、就是A-G,Account-globalgroup，这样然后XX的管理员仅仅添加bjf和shf到dlf即可完成权限的添加，而不需要关心到底是哪些人来支持财务部工作，然后一个一个添加了。而对于最终资源来说，它感觉自己没有变化，因为自己始终都是允许被blf访问，并没有发生变化。这就是著名的A-G-DL-P的使用。AGDL、P策略中，A表示域XX,G表示全局组，DL表示域本地组，P表示访问权限。这个策略的意思就是先建立用户XX然后把根据XX的访问权限不同把它参加到不同的全局组中，然后再把全局组参加到域本地组中，最后设置域本地组的权限。下面是示意图：不使用AGDL噪略的时候，我们也可以实现这个功能，就是直接把用户XX添加到财务部资源的访问控制列表中，示意图如下：每条线代表一次操作，很显然，当出现变更的时候，不使用AGDLP勺情况会很糟糕，因为每次改动都会带来目标权限的重新设置。在上面的例子中，假设有很多域，有很多全局组，就推荐使用AGUDLP在每个域中分别创立了全局组后，应用通用组来管理全局组，最后把通用组参加到域本地组，进展权限的设置。示意图如下：上面我们看到了全局组和域本地组带来的管理上的方便性。你也许会问，通用组来自全林用于全林，看起来似乎比全局组更方便，可以完全取代全局组的，为什么不这么做？因为正是由于通用组内部成员来自于全林，而且它信息是存储在全局编录中的，任何