本地組、全局組、域本地組和通用組概念的區(qū)別

1、-可修編-首先我們需要明確一點(diǎn)：為什么我們需要建立組？答案很簡(jiǎn)單：為了管理方便！其實(shí)計(jì)算機(jī)文件或者文件夾的控制權(quán)限是在屬性的平安的選項(xiàng)卡中新建文件莪顯性設(shè)定的，如下列圖所示：2兇富視I共享安全|自定義|犯或用戶名稱：|Administratcri卅3-DEBUT"-?？贏dminiztrators國(guó)匚REkraR0W血疊Deboy(detoyw)gjSYSTEMVsrs(WS-IiEB0yW_00Wsers)_零加),一I冊(cè)除®Administratore的枳隈(£J允許拒蝸完全控制修改讀取和運(yùn)行列出文件夾目錄讀取寫入特別權(quán)限或高霾諼置J諾單擊“高旗取消“三用西在

2、“組或用戶名稱中可以添加對(duì)此文件夾行使權(quán)限的用戶或者組?，F(xiàn)在來(lái)看這樣一種情況：你是一個(gè)域的管理員，在文件效勞器上建立了一個(gè)共享文件夾，用來(lái)放置一些財(cái)務(wù)部專用文檔，假設(shè)你有兩個(gè)選擇：1 .在平安屬性頁(yè)中一個(gè)一個(gè)添加財(cái)務(wù)部的人員并配置相應(yīng)的權(quán)限。2 .在域控制器中創(chuàng)立財(cái)務(wù)部的組包含所有財(cái)務(wù)部人員，在平安屬性頁(yè)中添加財(cái)務(wù)部組假設(shè)財(cái)務(wù)部又新來(lái)了N位員工，如果你選擇第一種方案，你就需要在平安屬性中添加并配置N位員工，而選擇第二種方案，你只需要在域控制器上創(chuàng)立用戶XX的時(shí)候指定他們的組為財(cái)務(wù)部就可以了，而無(wú)需修改平安屬性中的角色列表。所以，很顯然你應(yīng)該選擇第二種方式。尤其是你有很多共享文件夾進(jìn)展管理的時(shí)候

3、，使用組來(lái)管理的好處就更能夠表達(dá)出來(lái)了。通過(guò)這個(gè)例子你也能夠體會(huì)到：使用組其實(shí)是為了管理方便，用最少的工作獲得最好的效果！明確了組的作用后就來(lái)看看本地組、全局組、域本地組和通用組的概念和區(qū)別。什么是本地組呢？很多時(shí)候本地組被人認(rèn)為是域本地組的簡(jiǎn)稱。其實(shí)嚴(yán)格來(lái)說(shuō)，本地計(jì)算機(jī)上也可以創(chuàng)立屬于本機(jī)的組，這些組才應(yīng)該稱為“本地組。它的成員可以來(lái)自本地計(jì)算機(jī)或者所有的可信任域。本地組存儲(chǔ)在本地計(jì)算機(jī)中，而域本地組存儲(chǔ)在域控制器上。你如果使用過(guò)域，應(yīng)該有這種體驗(yàn)：使用域XX登錄域中任意一臺(tái)計(jì)算機(jī)后，默認(rèn)情況下是普通的Users組權(quán)限，如果要提升成管理員權(quán)限，需要把這個(gè)域XX添加到本地計(jì)算機(jī)的Adminis

4、trators組中。全局組的特點(diǎn)是什么呢？全局組成員來(lái)自于同一域的用戶賬戶和全局組，在林范圍內(nèi)可用。也就是說(shuō)能夠添加到全局組的成員是本域的成員或者全局組這樣就構(gòu)成了組的嵌套。如果在XX的域中創(chuàng)立了全局組A,那么能添加到A中的人只能是XX域中的對(duì)象或者是其他可信任域，如或XX的全局組。域本地組的特點(diǎn)是什么呢？域本地組成員來(lái)自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組，在本域范圍內(nèi)可用。通用組的特點(diǎn)是什么呢？通用組成員來(lái)自林中任何域中的用戶賬戶、全局組和其他的通用組，在全林范圍內(nèi)可用。但是注意通用組的成員不是保存在各自的域控制器上，而是保存在全局編錄中，當(dāng)發(fā)生變化時(shí)能夠全林復(fù)制。規(guī)

5、那么就這些，請(qǐng)不要記混?？梢院?jiǎn)單這樣記憶：全局組來(lái)自本域用于全林通用組來(lái)自全林用于全林域本地組來(lái)自全林用于本域因?yàn)橹挥杏虮镜亟M專用于在本地賦予權(quán)限，所以，通常情況下，域本地組總是最后被應(yīng)用。下面我們通過(guò)幾個(gè)例子來(lái)講述他們的應(yīng)用：康博公司是一個(gè)大型的軟件公司。公司的業(yè)務(wù)開(kāi)展很快，目前在擁有自己的辦公大樓，總部也因此設(shè)在那里，另外在XX也有分公司。公司在企業(yè)內(nèi)部建立了域名為boo.的域，由于XX的分公司主營(yíng)外包業(yè)務(wù)，相比照擬獨(dú)立，于是為其創(chuàng)立了子域os.boo.,從而形成了域樹(shù)。后來(lái)公司管理層經(jīng)過(guò)商議與另外一個(gè)物流公司A合作創(chuàng)辦了一個(gè)電子物流公司，名為博通，總部設(shè)在X%博通在總公司的林中創(chuàng)立了自己

6、的域環(huán)境botong.。為了充分利用所有的資源，在子公司和總公司之間建立了信任關(guān)系，以便能夠相互訪問(wèn)資源。整個(gè)的邏輯構(gòu)造圖如下所示：在上面的例子中，XX的公司財(cái)務(wù)部門出了一點(diǎn)問(wèn)題，需要從、XX都找10個(gè)人支援一下，XX公司的賬目資料都保存在一臺(tái)財(cái)務(wù)部專用效勞器上。因?yàn)槭枪綳X信息，平安性比擬高，所有資料僅僅允許財(cái)務(wù)部門的人訪問(wèn)。管理員為了方便管理，就為財(cái)務(wù)部門創(chuàng)立了一個(gè)域本地組dlf,在效勞器上賦予dlf組權(quán)限這種策略的簡(jiǎn)寫就是A-DL-P,Account-domainlocalgroup-permission。然后XX和的管理員分別為各自要幫助XX白10個(gè)人創(chuàng)立了一個(gè)全局組bjf和shf這

7、就是A-G,Account-globalgroup，這樣然后XX的管理員僅僅添加bjf和shf到dlf即可完成權(quán)限的添加，而不需要關(guān)心到底是哪些人來(lái)支持財(cái)務(wù)部工作，然后一個(gè)一個(gè)添加了。而對(duì)于最終資源來(lái)說(shuō)，它感覺(jué)自己沒(méi)有變化，因?yàn)樽约菏冀K都是允許被blf訪問(wèn)，并沒(méi)有發(fā)生變化。這就是著名的A-G-DL-P的使用。AGDL、P策略中，A表示域XX,G表示全局組，DL表示域本地組，P表示訪問(wèn)權(quán)限。這個(gè)策略的意思就是先建立用戶XX然后把根據(jù)XX的訪問(wèn)權(quán)限不同把它參加到不同的全局組中，然后再把全局組參加到域本地組中，最后設(shè)置域本地組的權(quán)限。下面是示意圖：不使用AGDL噪略的時(shí)候，我們也可以實(shí)現(xiàn)這個(gè)功能，就是直接把用戶XX添加到財(cái)務(wù)部資源的訪問(wèn)控制列表中，示意圖如下：每條線代表一次操作，很顯然，當(dāng)出現(xiàn)變更的時(shí)候，不使用AGDLP勺情況會(huì)很糟糕，因?yàn)槊看胃膭?dòng)都會(huì)帶來(lái)目標(biāo)權(quán)限的重新設(shè)置。在上面的例子中，假設(shè)有很多域，有很多全局組，就推薦使用AGUDLP在每個(gè)域中分別創(chuàng)立了全局組后，應(yīng)用通用組來(lái)管理全局組，最后把通用組參加到域本地組，進(jìn)展權(quán)限的設(shè)置。示意圖如下：上面我們看到了全局組和域本地組帶來(lái)的管理上的方便性。你也許會(huì)問(wèn)，通用組來(lái)自全林用于全林，看起來(lái)似乎比全局組更方便，可以完全取代全局組的，為什么不這么做？因?yàn)檎怯捎谕ㄓ媒M內(nèi)部成員來(lái)自于全林，而且它信息是存儲(chǔ)在全局編錄中的，任何