Active Directory 中的本地组、全局组和通用组之间的基本区别是什么?将用户和组分配给这些组时的最佳做法是什么?
答案1
区别在于您可以将哪些组/用户纳入不同的组,可以为该组分配哪些权限,以及该组是否可以转换。
如果您只有一个域和一棵树,并且您知道它会永远保持这种状态,那么您真的不需要了解很多。但是,我强烈建议您阅读以下内容: http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx
如果你必须纠正他们犯下的错误,你就会恨那个一开始就建立群组的人。我不得不这么做,但这并不好玩。
答案2
差异归结为分配权限的范围以及是否可以将不同域的成员添加为组成员。
本地域名
- 仅可以在本地域中分配权限。
- 成员可以来自林中的任何域。
- 旨在用于不直接位于 AD 中的对象,例如文件共享、打印机队列等。
- 不应用于分配 AD 对象(例如 OU、用户帐户等)的权限,因为它们无法在其他域中进行评估。
全球的
- 可以在任何域中分配权限。
- 成员必须与组位于同一域中。
普遍的
- 权限可以分配给林中的任何地方。
- 成员可以来自林中的任何域。
资料来源: