Windows 2k8 R2 – 了解和记住组范围的提示?

我正在研究Active Directory组,并且对这些组实现的这些范围感到困惑不解。 我想知道是否有任何提示,表格或图片概述了所有这些范围概念?

我正在阅读MCTS Self-PacedconfigurationWindows Server 2008 Active Directory培训工具包,他们在这本书中给出的表格是不正确的,我想。 所以我陷入了这些概念。 我已经意识到小组types,小组范围的基本目的,但是我真的想全面地了解这些概念,准备考试。

希望下面的帮助。 这些都不是真的写在石头上。 大多数人并不真正坚持正确嵌套的“规则”,甚至不关心。 例如,理论上你应该在域本地组中嵌套全局组,然后应用权限,但是很多人(特别是单个域)只会创build一个Security Group - Global ,并为该全局组分配NTFS权限等。 但是想一下,如果你突然对第二个域名有信任,然后想要对该域中的用户应用相同的权限,会发生什么? 现在,您必须为域本地组或通用组添加一个新的ACL到同一个NTFS文件夹,因为您将来自另一个域的任何内容嵌套到原始全局组中。

这个graphics其实很不错,所以我会把它作为参考:

在这里输入图像说明

域本地组

只在域中可见,并用于为该域中的对象分配权限。 您可以在该域的“本地组”其他域本地组中“嵌套”,也可以在同一个林中添加来自另一个受信任域的用户/计算机和全局组。 您还可以从林中的任何受信任的域添加通用组。


全局组

全局组(尽pipe名称)是仅在其自己的域中包含对象的组。 它们不能包含来自其他域的对象。 真正只用于将对象组合在一起,例如将会计组用户合并到一个单独的会计组中。 然后,该全局组嵌套在域本地组中,并且该本地组具有应用于其的安全权限。


通用组

这些可以包含来自林中任何受信任域的成员。 通常,您可以使用这些来嵌套来自不同域的全局组(例如,在DomainA和DomainB中称为Accounting两个全局组),然后将Universal组放入Domain Local组或者另一个Universal组,并将权限应用于该组。


技术资源进一步阅读:

http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx

http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx

http://itsupportsnippets.com/active-directory-group-scopes-types/