Active Diretory 全攻略(五)--规划和建立组
2008-11-27 12:51:01 来源:WEB开发网简单来说,将组看成一个逻辑单位,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,任何加入这个组的对象都会拥有这个组具有的权限。
域内的组,和用户帐户一样,也具有一个独一无二的SID,这些能够被赋予权限的对象(帐户或组),我们称之为安全策略。注意一下:能够指派权限的组又称为安全组,另外还有一种不能指派权限的通讯组。
下面来认识下组作用域:不管是哪一个组都有其作用域,即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。
03一共有三种组作用域:
1、本地域:使用范围是本域的组,叫做本地域组。
本地域组可以包含三种成员:1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式,则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围,指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下:若组中包含其它的组(其它域区域、通用域通用组),称为组的嵌套。本地域组只限于访问同域的资源,无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组,然后再将全局组加入本地域组中。
下面再来区分一下本地组与本地域组:WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域,它们只有本地组(LOCAL GROUP)。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中,则本地组除了可包含本地用户帐户外,还可以包含:1同域的域用户帐户,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,加入域后都使用权本地域组来进行管理域内的资源。
- ››Active Directory的复制拓扑,Active Directory系...
- ››Active Directory的主要还原,Active Directory系...
- ››Active Directory的脱机碎片整理,Active Directo...
- ››Active Object 并发模式在 Java 中的应用
- ››ActiveFile 手机文件管理
- ››Active Directory网络中DNS服务器的规划
- ››ActiveSkin 4.3软件换肤在VC中的实现
- ››Active Memory Sharing 与双 Virtual I/O Server ...
- ››ActiveX 控件在 Excel 中的运用
- ››Active Diretory 全攻略(三)--建立域(4)
- ››Active Diretory 全攻略(三)--建立域(5)
- ››Active Diretory 全攻略(四)--建立与管理用户...
更多精彩
赞助商链接