WEB开发网
开发学院操作系统windows 2008 Active Diretory 全攻略(五)--规划和建立组 阅读

Active Diretory 全攻略(五)--规划和建立组

 2008-11-27 12:51:01 来源:WEB开发网   
核心提示:简单来说,将组看成一个逻辑单位,Active Diretory 全攻略(五)--规划和建立组,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,任何加入这个组的对象都会拥有这个组具有的权限, 域内的组

简单来说,将组看成一个逻辑单位,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,任何加入这个组的对象都会拥有这个组具有的权限。

域内的组,和用户帐户一样,也具有一个独一无二的SID,这些能够被赋予权限的对象(帐户或组),我们称之为安全策略。注意一下:能够指派权限的组又称为安全组,另外还有一种不能指派权限的通讯组。

下面来认识下组作用域:不管是哪一个组都有其作用域,即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。

03一共有三种组作用域:

1、本地域:使用范围是本域的组,叫做本地域组。

本地域组可以包含三种成员:1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式,则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围,指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下:若组中包含其它的组(其它域区域、通用域通用组),称为组的嵌套。本地域组只限于访问同域的资源,无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组,然后再将全局组加入本地域组中。

下面再来区分一下本地组与本地域组:WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域,它们只有本地组(LOCAL GROUP)。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中,则本地组除了可包含本地用户帐户外,还可以包含:1同域的域用户帐户,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,加入域后都使用权本地域组来进行管理域内的资源。

1 2 3 4 5 6  下一页

Tags:Active Diretory 全攻略

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接