个人帐户查询Windowsserver域下全局组,本地域组,通⽤组之间的关系详解
Windows server 2003域下全局组,本地域组,通⽤组之间的关系详解WINDOWS SERVER 2003
组的简介:
定义:组(Group)是⽤户帐号的集合。
作⽤:通过向⼀组⽤户分配权限从⽽不必向每个⽤户分配权限,简化管理。就是为⽤户和嵌套在⾥⾯的组等单元提供对⽹络资源访问的权限。资料个⼈收集整理,勿做商业⽤途
类型:1)安全组,管理员在⽇常⼯作中不必要去为单个⽤户帐号设置⾃⼰独特的访问权限,⽽是将⽤户帐号加⼊到相对应的安全组中。管理员通过给相对的安全组访问权限就可以了,这样所有加⼊到安全组的⽤户帐号都将有同样的权限。使⽤安全组⽽不是单个的⽤户帐号可以⽅便,简化⽹络的维护和管理⼯作。资料个⼈收集整理,勿做商业⽤途
2)通讯组,只能⽤在电⼦邮件通讯。
提⽰:在windows server 2000的域中,通讯组的名称是:“分布组”和通讯组功能想似。
注意:⼀般情况下,管理Active Directory使⽤的都是安全组。安全组和通讯组在有些时候是可以互转的,这要取决于Active Directory中域的模式。资料个⼈收集整理,勿做商业⽤途
组的作⽤域:
安全组下可创建3种作通知域组:如下图所⽰。
注意:2K/2003安装之后,域的默认模式为:混合模式。(安装了windows server 2003域控后,域的模式为“windows 2000混合模式“)则本地域组只能在本域的控制器DC 上使⽤。若域功能级别转成本机模式(或称为2K纯模式),或是03模式,本地域组才可在全域范围内使⽤。资料个⼈收集整理,勿做商业⽤途
1.本地域组。(local domain group)
Windows 2000 混合模式
⽤户范围:任何域中的⽤户帐户和全局组。森林中任何域中的⽤户帐户,全局组和通⽤组以及本地域中的本地域组。资料个⼈收集整理,勿做商业⽤途
可加⼊的组:不能是任何组成员,只能是本域中的本地域组。
作⽤范围:只在其⾃⼰的域中可见。
权限范围:只能在本地域组所在的本域中
MS建议的规则:基于资源(夹、打印机……)规划。
2.全局组。(global group)
Windows 2000 混合模式
⽤户范围:本域中的所有⽤户。
可加⼊的组:林中所有任域的本地域组。
作⽤范围:在本域和所有信任域中都是可见的。
权限范围:森林中所有的域。
MS建议的规则:基于组织结构、⾏政结构规划。
注意:全局组和域本地组的关系,⾮常类似于域⽤户帐号和本地帐号的关系。域⽤户帐号,可以全局使⽤,即在本域和其它关系的其它域中都可以使⽤,⽽本地帐号只能在本地机上使⽤。以下例题为“混合模式”下:资料个⼈收集整理,勿做商业⽤途
例1:将⽤户张三(域帐号Z3)加⼊到域本地组administrators中,并不能使Z3对⾮DC的域成员计算机有任何特权,但若加⼊到全局组Domain Admins中,张三就是域管理员了,可以在全局使⽤,对域成员计算机是有特权的。
例2:只有在域的DC上,对资源(如:⽂件/夹)设置权限,你可以指派域本地组administrators;但在⾮DC的域成员计算机上,你是⽆法设置域本
地组administrators的权限的。因为它是域本地组,只能在DC上使⽤。资料个⼈收集整理,勿做商业⽤途
3.通⽤组(universal group)
Windows 2000 混合模式。
⽤户范围:森林中任何域中的⽤户帐户。全局组和其他的通⽤组。
可加⼊的组:任何域中的本地域组和通⽤组。
作⽤范围:在森林中的所有域中都是可见的。
权限范围:整个林和所有的信任域。
通⽤组:组的成员情况,记录在全局⽬录GC(全局编录)中,⾮常适于林中的跨域访问使⽤,集成了全局组和本地域组的优处。资料个⼈收集整理,勿做商业⽤途
注意:通⽤组和全局组的权限范围是相似的。那么通⽤组和全局组有什么差别之处呢?
主要在于创建和查询性能⽅⾯有差别。以下是通⽤组不同处的详细说明:1)通⽤组的创建。
如果域功能级别是windows 2000混合模式,则不能创建通⽤安全组。(如上图所⽰,选择组类型为安全组,则组作⽤域不能选择通⽤组)。如果要创建通⽤组,第⼀,就是先要提升域功能级别。域功能级别有3种:“windows 2000混合模式‘“windows 2000纯模式和windows server 2003 。资料个⼈收集整理,勿做商业⽤途
当域功能级别从windows 2000 混合模式提升为windows 2000纯模式或windows server 2003. 这样就可以创建安全的通⽤组了。资料个⼈收集整理,勿做商业⽤途
2)通⽤组的全局⾝份在全局编录中。
在多域环境下,通⽤组的成员⾝份信息在全局编录中。⽽全局组成员⾝
份存储在每个域中,
在多域环境下,通⽤组成员登录或者查询速度较快。
注意:具有通⽤组成员⾝份不应频繁更改,因为对这些组成员⾝份的任
何更改都会引起整个组的成员⾝份复制到树林中的每个全局编录中,增
加了复制的流量。资料个⼈收集整理,勿做商业⽤途
重点:全局编录(Global Catalog,简称GC)是域林中所有对象的集合,是⼀台特殊的域控制器。默认情况下,在林中的初始域控制器上,会⾃动创建全局编录,其他域控制器也可以被指派为全局编录服务器,⽤于实现⽹络负载平衡和冗余。全局编
录服务器负责响应⽹络中所有的全局编录查询,⼀旦出现问题,⽤户将⽆法查询和登录。建议⽹络安全要求较⾼的⽤户,配置多台全局编录服务器,以提⾼系统的可⽤性和可靠性。但需要注意的是,⽹络中GC之间的复制可能会增加⼀定的⽹络带宽开销。资料个⼈收集整理,勿做商业⽤途
在⼀个⽬录林是可以有多台全局编录服务器的。默认情况下,每个域林中只有⼀台全局编录服务器,即根域控制器。全局编录由⽬录林中的初始域控制器⾃动创建,并且每个⽬录林必须有⾄少⼀个全局编录。如果使⽤多个站点,希望在每个站点都将⼀个域控制器指定为全局编录,因为需要全局编录(决定了帐户的组成员⾝份)完成登录⾝份验证进程资料个⼈收集整理,勿做商业⽤途全局编录中包含所有活动⽬录对像常⽤的属性,其主要⽬的是加快活动⽬录查询速度。
4.林中和域中资源互访所应⽤的规则“AGDLP/AGUDLP”详解。
1)“AGDLP“规则:应⽤于windows 2000 混合模式(在其它两种模式下也是可以⽤的)
A (account):⽤户帐户。
G (Global group):全局组。
DL(Domain local group):本地域组。
P (Permission ):许可。
按照AGDLP的原则对⽤户进⾏组织和管理起来更容易。
在AGDLP 形成以后当给⼀个⽤户某⼀个权限时,只要将这个⽤户加⼊到某⼀个本地域组就可以了。
注意:在混合模式下,只能将全局组加⼊本地域组。也就是“AGDLP”
2)“AGUDLP”规则:只能应⽤于windows 2000纯模式和windows server 2003 下。资料个⼈收集整理,勿做商业⽤途
A (account):⽤户帐户。
G (Global group):全局组。
U (Universal group):通⽤组。
DL (Domain local group):本地域组。
P (Permission):许可。
注意:DC安装时默认U组不可⽤,其选项为灰⾊,这时此DC的域处于混合模式(MIX),表⽰当前域内可能还有基于WIN-NT操作系统的域控制器在使⽤。如果域内没有基于WIN-NT操作系统的域,并且森林内有多域共存时就可将DC转换到本地模式(Native),U组才能使⽤。这样做是为了保持操作系统版本的兼容性。须知,就是在有了windows server 2003的今天,全球还有很多⼤中型企业的⽹络平稳地运⾏在WIN-NT的平台上。资料个⼈收集整理,勿做商业⽤途
当U组可⽤时,已建的G组和DL组可以有条件的转换为U组,根据“AGUDLP”。G组转换为U组的前提是此G组不是另⼀个G组的成员;和此相反,将DL组转换成U组的前提条件是此DL组内没有另⼀个DL组作为它的成员。资料个⼈收集整理,勿做商业⽤途
多域环境中(称为森林),为保持各个域之间的⽤户信息共享,U组和它的全部成员都被写⼊了⼀个名为全局编录(Global Caltalog,GC)的数据库中,保存于森林内第⼀台DC之中,此GC 会在森林内各个域的DC之间进⾏复制,虽然G组和DL组也被写⼊了GC,但是有组名,没有成员。由此可见,如果将所
有成员都加⼊U组的话,会使得GC在森林内进⾏域间复制时的⽹络流量剧增,造成⽹速下降;⽽通过建⽴适当的G组和DL组,并且在U组内避免直接添加⽤户,就能够显著降低了GC容量的⼤⼩,从⽽降低GC复制时带来的⽹络流量。资料个⼈收集整理,勿做商业⽤途
虽然可以对每个⽤户单独授权,但是优秀的系统管理员通常是将⽤户添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授予权。资料个⼈收集整理,勿做商业⽤途