我正在研究 Active Directory 组,对这些组实现的范围有很多困惑。我想知道是否有任何提示、表格或图片可以概述所有这些范围的概念?
我正在阅读 MCTS 自定进度配置 Windows Server 2008 Active Directory 培训套件,我认为他们在书中给出的表格不正确。所以我被这些概念难住了。我已经知道组类型和组范围的基本用途,但我真的想全面了解这些概念,为考试做准备。
答案1
希望以下内容能有所帮助。这些都不是一成不变的。大多数人并没有真正遵守正确嵌套的“规则”,甚至不在乎。例如,理论上你应该将全局组嵌套在域本地组中,然后应用权限,但很多人(尤其是单个域的人)只会创建一个Security Group - Global全局组并为其分配 NTFS 权限等。但想想如果你突然与第二个域建立了信任,然后想要将相同的权限应用于该域中的用户,会发生什么?现在你必须为域本地组或通用组向同一个 NTFS 文件夹添加一个新的 ACL,因为你将另一个域中的任何内容嵌套到了原始全局组中。
这张图实际上非常好,因此我将其作为参考:
域本地组
仅在域内可见,用于分配该域中对象的权限。您可以在域本地组内“嵌套”该域中的其他域本地组,以及添加来自同一林中另一个受信任域的用户/计算机和全局组。您还可以添加来自林中任何受信任域的通用组。
全局组
全局组(尽管名称如此)是仅包含其自身域中的对象的组。它们不能包含来自其他域的对象。实际上仅用于将对象分组在一起,例如将会计组用户分组到单个会计组中。然后该全局组嵌套在域本地组中,并且该本地组具有对其应用的安全权限。
通用组
这些可以包含来自林中任何受信任域的成员。通常,您会使用这些来嵌套来自不同域的全局组(例如,Accounting在域 A 和域 B 中分别称为两个全局组),然后将通用组放入域本地组或另一个通用组中,并将权限应用于该组。
可供进一步阅读的技术资源:
http://technet.microsoft.com/en-us/library/cc755692%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/cc776499%28v=ws.10%29.aspx
http://itsupportsnippets.com/active-directory-group-scopes-types/