简单来说,将组看成一个逻辑单位,它可以包含一组用户帐户或是其它的组,我们将权限指派给组后,任何加入这个组的对象都会拥有这个组具有的权限。
   域内的组,和用户帐户一样,也具有一个独一无二的SID,这些能够被赋予权限的对象(帐户或组),我们称之为安全策略。注意一下:能够指派权限的组又称为安全组,另外还有一种不能指派权限的通讯组。
   下面来认识下组作用域:不管是哪一个组都有其作用域,即是指派这个组的“使用范围”。1、它能够用于指派位于域或林资源的权限。2、能够放在域或林的其它组之中。3、能够包含来自域或林的用户和组。
   03一共有三种组作用域:
    1、本地域:使用范围是本域的组,叫做本地域组。
      本地域组可以包含三种成员:1任何域的用户帐户。2任何域的全局组。3、如果功能等级设为WINDOWS2003纯粹模式或WINDOWS SERVER2003模式,则还可以包含任何域的通用组和同域的本地域组。这可能与上定义的本地域组有些混淆。上面指的是使用范围,指的是权限范围只限于同域内的资源。也即是他们只能够享受本地哉的资源。注意一下:若组中包含其它的组(其它域区域、通用域通用组),称为组的嵌套。本地域组只限于访问同域的资源,无法访问其它域的资源。实际应用中我们会把隶属同一部门的用户组织成全局组,然后再将全局组加入本地域组中。
     下面再来区分一下本地组与本地域组:WIN2000/XP和域控制器外的独立服务器或者成员服务器都不会有组作用域,它们只有本地组(LOCAL GROUP)。其权限范围只限于本地计算机。只有本机的资源能够指派给本地组。若客户端与独立服务器加入域中,则本地组除了可包含本地用户帐户外,还可以包含:1同域的域用户帐户,2、同域的本地域组和整个林的全局组与通用组,但是一般我们都不会使用本地组,加入域后都使用权本地域组来进行管理域内的资源。
         2、全局:指派权限时使用范围可涉及林,但只能够含同域的其它帐户或组。叫做全局组。全局组可包含两种成员:1、同域的用户帐户,2、若域功能等级设为WINSOWS2000纯粹模式或WINDOWS SERVER 2003模式,则可包含同域的其它全局组。
   全局组的权限范围是整个林,也就是说,我们可以将A域资源的访问权限指派给B、C、D等域的全局组,但是在实际应用上,最好将全局组加入本地域组中而不要直接将权限指派给全局组。
      应用:利用本地域组与全局组来管理单一域。其规划方式称为“AGDLP”。下面举个例子:把需要相同权限的用户帐户加入同一个通用组,如将产品部门的员工加入PRODUCTS,会计部门的员工加入ACCOUNTINGS全局组中。把全局组加入本地域中,将PRODUCTS和ACCOUNTSINGS加入PRINTERS这个本地域组中。将域内资源的访问权限指派给本地域组。比如将打印机的访问权限指派给PRINTERS本地域组,则PROUDUCTS与ACCOUNTINGS就可以使用打印机了。使用删除和加入都是权限分配与否,非常方便。
        3、通用:使用范围涉及到整个林。叫做通用组。通用组包括三种成员:1、任何域的用户帐户,2、任何域的全局组。3、任何域的通用组。由于跨域访问资源时,会利用全局编录来查询资源所在的位置,所以不同域的全局编录彼此间需要相互复制数据,以确保数据的同步。通用组的特性会把组名称和包含的成员都发布到全局编录上,如果其成员变动,就会触发全局编录之间的复制动作,造成网络可观的负载。然而,全局组和本地域组则只有组名称会记录于全局编录,组包含的成员信息不会放在那里,所以无论其成员如何变动,都不会影响到全局编录的属性而触发复制机制。
   下面来看个利用通用组管理多个域。通用组存在的目的就是为了简化多域(林)的管理工作。假如:旗标公司在广州总部和梅州与湛江两个分公司,总部和各个分公司的财务人员都要能够访问彼此的财务报表,在不使用通用组时如下图。
然后看下使用通用组的图:
对比两图:通用组中并没有直接包含用户帐户,而是包含各域的全局组,这样就可以有效降低因全局编录间彼此复制所造成的负载。不使用通用组则必须将各个全局组加到本地域组中,才能够让所有财务人员都能够访问到各分公司财务报表,显然比较麻烦。
  下面给也几个利用组规划的策略:1、将资源的访问权限指派给本地域组,然后将林中的全局组或通用组加到本地域组中,以获得该项资源的访问权。2、将域内相同权限的用户帐户组织在全局中,再将全局组加入各个本地域组中。3、在多域的环境中,将相同权限的全局组组织到通用组中,然后把通用组加入各个本地域组中,尽量不要在通用组中包含用户帐户。4、组中包含其它组的嵌套不要太复杂,建议采用单层结构即可。
 
下面来进行实战:利用组管理域
  新建组:
这里在USERS容器中来建。
 
填好资料。先建立一个本地域组。
 
再建立一个全局组
 
建好后看上面。
现在来将用户加入全局组,点击PRODUCTS,属性。
将李小龙这个用户加入,可以检查下名称,看输入的对不对。
这里便加入了全局组。
也可以在隶属于选项卡中加入组中。
 
点击李小龙的属性可以看到加入了全局组。
 
 
下面来将全局组加入本地域组
点击PROUDUCTS属性。
点击添加。这里是输入加入到PRINTERS本地域组中。
点PRODUCTS属性可看到加入到了PRINTERS中。
点击PRINTERS属性也可看到其成员是PRODUCTS。
 
下面来看将资源访问权限指派给本地域组
执行开始-打印机和传真。点击属性。
点添加。输入要加入的PRINTERS组。
可看见加入了组。PRINTERS组便会有了打印的权限。
下面来看重新命名组
注意:更改组名后,其SID并不会变,所以此组属性对话框中的设置,和已经指派给这个组的权限都不会变。
输入后按回车便出现对话框。
下面来认识下组类型:03支持安全组和通讯组这两种类型。
       安全组和用户帐户一样,每个安全组都会有个独一无二的SID,所以我们可以直接将资源的使用权限指派给安全组。但在客户端和非域控制器的服务器中的本地组,并没有安全组与通讯组的差别,本地组都是安全组。
      通讯组:并没有SID,因此不能够用它来指派对象的访问权限,它的功能是来组织其成员的电子邮件地址,注意邮件处理程序必须支持ACTIVE DIRECTORY才能够使用通讯组。如(EXCHANGE SERVER2000/2003。其实安全组也是通讯组来的。
      联系人:无论是安全组还是通讯组都可以包含联系人对象,联系人也没有SID,即使指把联系人加入安全组也不会具有该组的权限。
新建联系人。
 
 
下面来认识下03内置组:有五种:内置本地组,内置的本地域组,内置的全局组,内置的通用组,内置的系统组。这些内置组都是事先设置好的用户权利。
非域控制器的内置本地组,安装WIN2003后,系统会自动建立内置本地组,但安装AD服务成为域控制器的计算机其中所有的本地组,包含内置的本地组都会被删除。所以我们只能够在独立服务器,成员服务器等非域控制器计算机上看到内置本地组。而且是无法将它们删除的。
下面看下客户端的内置本地组
工作组模式才需要本地组。
下面看下内置的本地域组。在域控制器上:BUILTIN容器中的都是内置本地域组。当独立服务器和客户端加入域后,系统自动把域控制器的DOMAIN ADMINS全局组加入这些计算机的ADMINISTRATORS本地组,并将DOMAIN USERS 全局组加入这些计算机的USERS本地组,所以域的ADMINISTRATOR可以管理这些计算机,而域中一般用户也可以登录使用这些计算机。除了内置的本地域组外,系统还会在USERS容器中产生内置的全局组与通用组,这些组本身并没有任何用户权利与权限,它们的用户权利与权限完全来自隶属的内置本地域组。所以可以直接把用户加入到这些组中,便具有内置的相应权限。
   内置的系统组:每台03服务器和客户端都还有一组特别的系统组,称为内置安全性主体。这些组只会在指派用户权利或设置权限时才会出现,平常看不见它。比如:
点“我的文档”
点添加。
点高级
点立即查找便可看见了。
 
下面来看指派用户权利。在域中利用组策略编辑器来指派用户权利给组,
域控制器默认会放在DOMAIN CONTROLLERS组织单位中。
按编辑。
双霹允许在本地登录。
按添加用户域组。
添加成功。
下面来看下指派本地的用户权利
即是在工作组中的独立服务器,必须使用“本地安全设置”
双击在本地登录。
按“添加用户域组”
输入要添加的组。
按确实即可。完成。。。
 
本文出自 “yangming.com” 博客,请务必保留此出处[url]http://ming228.blog.51cto.com/421298/94424[/url]