很多初學者對全局組、域本地組、通用組之間區別、關係比較模糊。對於這個問題我們首先要明確全局組、域本地組、通用組的的作用範圍。
全局組:可以全局使用。即:可在本域和有信任關係的其它域中使用,體現的是全局性。MS建議的規則:基於組織結構、行政結構規劃。
域本地組:只能在本域的域控制器DC上使用。MS建議的規則:基於資源(文件夾、打印機……)規劃。
在域的混合模式下,只能把全局組加入到域本地組,即AGDLP原則。
注意:2000/03域的默認模式爲:混合模式。則域本地組:只能在本域的域控制器DC上使用。若域功能級別轉成本機模式(或稱2000純模式),甚至03模式,域本地組可在全域範圍內使用。
說明:全局組和域本地組的關係,非常類似於域用戶帳號和本地帳號的關係。域用戶帳號,可以全局使用,即在本域和其它關係的其它域中都可以使用,而本地帳號只能在本地機上使用。下面我來舉兩個例子來進一步說明(以混合模式下爲例):
例1:將用戶張三(域帳號Z3)加入到域本地組administrators中,並不能使Z3對非DC的域成員計算機有任何特權,但若加入到全局組Domain Admins中,張三就是域管理員了,可以在全局使用,對域成員計算機是有特權的。
例2:只有在域的DC上,對資源(如:文件/夾)設置權限,你可以指派域本地組administrators;但在非DC的域成員計算機上,你是無法設置域本地組administrators的權限的。因爲它是域本地組,只能在DC上使用。
通用組:組的成員情況,記錄在全局目錄GC中,非常適於林中跨域訪問使用。集成了全局組和域本地組的長處。
AGDLP
A (account):用戶帳戶
G (Global group):全局組
DL (Domain local group):域本地組
P (Permission):許可
按照AGDLP的原則對用戶進行組織和管理起來更容易
在AGDLP形成以後當給一個用戶某一個權限的時候,只要把這個用戶加入到某一個本地域組就可以了。
1、本地域組:多域用戶訪問單域資源(訪問同一個域)
本地域組的成員可包括Windows Server2003、Windows 2000或WindowsNT域中的其他組和賬戶,而且只能在其所在域內指派權限。
2、全局組: 單域用戶訪問多域資源(必須是一個域裏面的用戶)
全局組的成員可包括其所在域中的其他組和賬戶,而且可在林中的任何域中指派權限;
3、通用組: 多域用戶訪問多域資源
通用組的成員可包括域樹或林中任何域的其他組和賬戶,而且可在該域樹或林中的任何域中指派權限;當域功能級別設置爲Windows2000混合模式時,不能創建具有通用組的安全組。
本地域組: 可以從任何域添加用戶賬戶、通用組和全局組。域本地組不能嵌套於其他組中。它主要是用於授予位於本域資源的訪問權限。
全局組: 只能在創建該全局組的域上進行添加用戶賬戶和全局組,但全局組可以嵌套在其他組中。可以將某個全局組添加到同一個域上的另一個全局組中,或添加到其他域的通用組和域本地組中(注意這裏不能把它加入到不同域的全局組中,全局組只能在創建它的域中添加用戶和組)。雖然可以利用全局組授予訪問任何域上的資源的權限,但一般不直接用它來進行權限管理。
通用組:通用組是集合了上面兩種組的優點,即可以從任何域中添加用戶和組,可以嵌套於其他域組中。比如: 有兩個域,A和B,A中的5個財務人員和B中的3個財務人員都需要訪問B中的“FINA”文件夾。這時,可以在B中建一個DL(域本地組),因爲DL的成員可以來自所有的域,然後把這8個人都加入這個DL,並把FINA的訪問權賦給DL。這樣做的壞處是什麼呢?因爲DL是在B域中,所以管理權也在B域,如果A域中的5 個人變成6個人,那隻能A域管理員通知B域管理員,將DL的成員做一下修改,B域的管理員太累了。這時候,我們改變一下,在A和B域中都各建立一個全局組(G),然後在B域中建立一個DL,把這兩個G都加入B域中的DL中,然後把FINA的訪問權賦給 DL。哈哈,這下兩個G組都有權訪問FINA文件夾了,是嗎?組嵌套造成權限繼承嘛!這時候,兩個G分佈在A和B域中,也就是A和B的管理員都可以自己管理自己的G啦,只要把那5個人和3個人加入G中,就可以了!以後有任何修改,都可以自己做了,不用麻煩B域的管理員!這就是A-G-DL-P。
注:A表示用戶賬號,G表示全局組,U表示通用組,DL表示域本地組,P表示資源權限。A-G-DL-P策略是將用戶賬號添加到全局組中,將全局組添加到域本地組中,然後爲域本地組分配資源權限。
本地域組的成員可以來自所有域的用戶和組,但其作用域只能是當前域。
全局組的成員只能來自當前域的用戶和組,而作用域可以是所有的域。
本地域組的權利是自身的,全局域的權利是來自其屬於的本地域組的。
打個比方,現在有兩個域domainA,domainB,用戶UseA,UseB. 在DomainA上有一個文件夾Resource.UseB屬於domainB,他想訪問Resource.這個時候就應該先在domainB上建一個全局組GlobalB,然後將UseB加入GlobalB,然後到DomainA域中建立一個域本地組 LocalA,將全局組GlobalB加入域本地組LocalA,再針對域本地組LocalA授權對Resource的訪問權限。
----------------------------------------------
外一篇:
從組的使用範圍來分,可以分爲三種:全局組、本地域組和通用組。
全局組主要是用來組織用戶的。全局組內可以包含同一個域的用戶賬戶與全局組,可以訪問任何一個域內的資源。本地域組具有所屬域的訪問權限,以便訪問本域的資源。本地域組的成員可以是同一個域的本地域組,也可以是任何域內的賬戶、全局組和通用組,他們能訪問的資源只是該本地域組所在域的資源。通用組可以訪問任何一個域內的資源,通用組可以包含所有域內的用戶賬戶、全局組和通用組。當然上面所說的訪問權限是要經過設定的。安裝域控制器時,系統會自動生成一些組,稱爲內置組。這些組都定義了一些常用權限,通過將用戶加入到這些內置組中,可使用戶獲得相應的權限。“Active Directory用戶和計算機”控制檯的“Builtin”和“Users”組織單元中就是內置組。內置的本地域組在“Builtin”組織單元中,內置的全局組在“Users”組織單元中。
1、內建組:
在“Active Directory用戶及計算機”的管理工具中,點樹狀目錄下的“Builtin”文件夾,Windows2000建立了內建組。
Account Operators(賬戶操作員):該組的成員能操作用戶管理員所屬域的賬號和組,並可設置其權限。但是該組成員無法修改Administrators及Operators組及權限。
Administrators(管理員):該組的成員可以完全不受限制地存取計算機/域的資源,是最具權力的一個組。通常,Administrators賬戶與Domain Admins組都是它的成員。
Backup Operators:該組的成員可使用Windows備份工具來進行備份/還原工作。
Guests:該組的成員只能享有管理員授與的權限以及存取指定權限的資源。通常,Guest賬戶與Domain Guest都是該組的成員。
Printer Operators:該組的成員可以管理網絡打印機,包括建立、管理以及刪除網絡打印機。
Replicator:該組的成員支持域中的文件複寫,可啓動目錄複製程序進行目錄複製。
Server Operators:該組的成員可以管理域服務器,包括:建立/管理/刪除任何服務器的共享目錄、管理網絡打印機、備份任何服務器的文件、格式化服務器硬盤、鎖定服務器以及變更服務器的系統時間等權限。
Users:該組的成員只可以執行得到授權的應用程序,而且不可執行大部分的繼承應用程序。
2、通用組:
在“Active Directory用戶及計算機”的管理工具中,點樹狀目錄下的“Users”文件夾,Windows2000建立了內建的通用組來組織不同狀態的用戶賬戶(一般用戶、Administrators以及Guests)。
Domain Admins:該組可以代表具有操作域權力的用戶,通常,Domain Admins會屬於Administrators組,因此該組的成員可以在域中執行管理工作。Windows2000 Server不會將任何我們所建立的賬戶放到Domain Admins 組中,而內建的Administrator賬戶是其唯一的成員。因此,如果您希望某一用戶成爲域系統管理器,則我們建議您將該用戶加至Domain Admins組中,而不要直接加至Administrators組中。
Domain Guests:所有域來賓,Windows2000會自動將Guest用戶賬戶加至該組,並將該組加至內建域Guests組中。
Domain Users:所有域的成員,在預設的情況下,任何我們所建立的用戶賬戶都會是Domain Users組的成員,而任何所建立的計算機賬戶都會是Domain Computers組成員。因此如果我們想要讓所有的賬戶都具有某種資源存取權限,則可以將該權限指定給Domain Users組或讓Domain Users組屬於具有該權限的組。Domain Users組在預設的情況下上內建域局域Users組的成員。
Enterprise Admins:純模式域中的通用組;混合模式域中的全局組。該組被授權在 Active Directory 中進行目錄林範圍的更改,例如添加子域。默認情況下,該組的唯一成員是目錄林根域的 Administrator 帳戶。
Schema Admins:純模式域中的通用組;混合模式域中的全局組。該組被授權在 Active Directory 中更改架構。默認情況下,該組的唯一成員是目錄林根域的 Administrator 帳戶。
本地用戶和組
Everyone:任何用戶,如果給這個用戶的權限是完全控制,那麼連接你計算機的所有用戶都能對此文件夾操作。一般情況下這個用戶給只讀權限。
Guest(來賓):這個帳戶沒有修改系統設置和進行安裝程序的權限,也沒有創建修改任何文檔的權限,只能是讀取計算機系統信息和文件。由於***和病毒的原因,一般情況下是不推薦使用此帳戶。
IUSR_ComputerName(Internet來賓):此帳戶與Guest相似,可以匿名訪問IIS(Internet信息服務)
IWAM_ComputerName(啓動IIS進程):用於啓動進程外應用程序的Internet信息服務。
1、管理員組(Administrators):賦予組內的成員對系統完全控制的最高權力。Administrator是默認的組成員。本組是唯一被自動授予所有內置權利和能力的組。
2、備份操作員組(Backup Operators):可以備份和恢復計算機上的文件,而不受保護文件權限的限制,成員也可以登錄計算機上關閉系統。然而該組成員無法改變系統安全配置。默認權限:網絡訪問計算機、允許本地登錄、備份還原文件和目錄、忽略遍歷檢查、關閉系統。
3、高級用戶(Power Users):其成員的權限和administrator僅一步之遙,除了修改系統文件之外,它已經可以寫文件、寫註冊表,增加、修改服務了。Power Users 不能訪問 NTFS 捲上的其他用戶數據,除非他們獲得了這些用戶的授權。可以執行以下操作:
• 運行 Windows 2000、Windows XP Professional 或 Windows Server 2003 家族中屬於 Windows Logo program for Software 的應用程序和以前的應用程序。
• 安裝不修改操作系統文件的程序或安裝系統服務。
• 自定義整個系統的資源,包括打印機、日期/時間、文件共享和其他“控制面板”資源。
• 創建和管理本地用戶帳戶和組。
• 啓動和停止默認情況下不啓動的服務。
4.普通用戶(Users):能執行大多數的普通任務。(如執行應用程序、使用本地和網絡打印機、關閉系統、鎖定工作站等),能夠創建本地組,但同樣只能修改自己創建的本地組,成員不能共享目錄或添加本地打印機。其成員只能運行程序,不能安裝和刪除程序。
5.來賓組(Guests):偶爾一次性訪問的用戶成員所擁有的十分有限的權利,可登錄也可關閉系統。作用不及普通用戶。其成員沒有修改系統設置和進行安裝程序的權限,也沒有創建修改任何文檔的權限,只能是讀取計算機系統信息和文件。
6.複製員組(Replicators):只支持目錄複製功能。它的唯一成員是登錄到域控制服務的域用戶帳號,不要將實際的用戶帳號加入本組,否則該成員根本沒有任何權利進入系統執行操作。
7.Network Configuration Operators:此組中的成員有部分管理權限來管理網絡功能的配置
8.Remote Desktop Users:此組中的成員被授予遠程登錄的權限
9.HelpServicesGroup:幫助和支持中心組
域賬戶是域控制器上創建的帳戶,所有域賬戶都屬於domain users組。域管理員帳號屬於domain admins組,具有管理域控制器的權限。當計算機加入域時,會把域的組domain users加入到計算機的本地users組,會把域的組domain admins加入到計算機的本地administrators組。域帳號默認在域控制器上有權限,具體的權限需要根據授權設置確定;域帳號在成員計算機上的權限是通過映射到本地用戶組實現的。