一、概念
全局组
全局组创建是为了合并工作职责相似的用户账户。比如说将研发部所有人的账户就可以合并到“研发部全局组”中。
注:全局组只能将本域的用户和组添加到全局组,在多域环境中不能合并其他域中的的用户。能授权其访问整个雨中的资源,在多域环境中其他域的资源也能授权访问。
本地域组
本地域组代表的是对某个资源的访问权限。本地域组是针对某个资源的访问情况而创建的,比如研发部有一个共享文件夹,针对这个共享文件夹的使用权限可以创建一个“研发部共享”的本地域组,然后授权改组使用该共享文件夹。以后那个用户或全局组需要使用该共享文件夹,直接将用户或组添加到“研发部共享”,就等于授权使用共享文件夹了。并且可以根据实际情况,创建多个研发部共享的本地区,如:“研发部共享_read”说明在此本地域组的成员只拥有读的权限。“研发部共享_edit”说明在此本地域组的成员拥有编辑,也就是读、写、修改的权限。
注:自己创建的本地域组,可以授权访问本域计算机上的资源,它代表的是访问资源的权限。其成员可以是本域的用户、组或其他域的用户组。只能授权其访问本域资源,其他域中的资源不能授权其访问。
通用组
通用组和全局组的作用大致一样,目的是根据用户职责合并用户。但与全局组不同的是,在多域环境中它能够合并其他域中的域用户账户,比如把两个域中的研发组账户添加到一个通用组中。
二、使用的组策略
在单域环境中使用组,顺序是:
A->G->DL->P
1.A(User Acounts)创建相应用户账户
2.G(Global Group)将职责一致的用户账户添加到全局组
3.DL(Domain Local Group)指定某个全局组用户添加到本地组
4.P(Permission)将本地域组授权对某个资源的访问。
其过程就是将全局组添加到本地域组的过程。
注:在域中用户账户不多时,也可以直接授权用户或全局组访问某资源。
在多域环境中使用组,部署策略:
A->G->U->DL->P
1.A(User Acounts)创建相应用户账户
2.G(Global Group)将职责一致的用户账户添加到全局组
3.U(Universal Group)用户账户添加到全局组后,将各个域的全局组添加到通用组
4.DL(Domain Local Group)指定某个通用组用户添加到本地组
5.P(Permission)将本地域组授权对某个资源的访问。
本文出自 “学海无涯” 博客,请务必保留此出处http://7492110.blog.51cto.com/7482110/1402669