通用组、全局组、本地域组的区别

1、本地域组：多域用户访问单域资源（访问同一个域）本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT 域中的其他组和账户，而且只能在其所在域内指派权

1、本地域组：多域用户访问单域资源（访问同一个域）

本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT 域中的其他组和账户，而且只能在其所在域内指派权限。

2、全局组： 单域用户访问多域资源（必须是一个域里面的用户）

全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；

3、通用组： 多域用户访问多域资源

通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；

当域功能级别设置为Windows2000混合模式时，不能创建具有通用组的安全组。

本地域组： 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。

全局组： 只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。 通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

比如： 有两个域，A 和B ，A 中的5个财务人员和B 中的3个财务人员都需要访问B 中的“FINA”文件夹。这时，可以在B 中建一个DL ，因为DL 的成员可以来自所有的域，然后把这8个人都加入这个DL ，并把FINA 的访问权赋给DL 。这样做的坏处是什么呢？因为DL 是在B 域中，所以管理权也在B 域，如果A 域中的5个人变成6个人，那只能A 域管理员通知B 域管理员，将DL 的成员做一下修改，B 域的管理员太累了。

这时候，我们改变一下，在A 和B 域中都各建立一个全局组（G ），然后在B 域中建立一个DL ，把这两个G 都加入B 域中的DL 中，然后把FINA 的访问权赋给DL 。哈哈，这下两个G 组都有权访问FINA 文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G 分布在A 和B 域中，也就是A 和B 的管理员都可以自己管理自己的G 啦，只要把那5个人和

3个人加入G 中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B 域的管理员！这就是A-G-DL-P 。

注：A 表示用户账号，G 表示全局组，U 表示通用组，DL 表示域本地组，P 表示资源权限。A-G-DL-P 策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

本地域组的成员可以来自所有域的用户和组，但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组，而作用域可以是所有的域。

本地域组的权利是自身的，全局域的权利是来自其属于的本地域组的。

打个比方，现在有两个域domainA,domainB, 用户UseA,UseB. 在DomainA 上有一个文件夹Resource.UseB 属于domainB, 他想访问Resource.

这个时候就应该先在domainB 上建一个全局组GlobalB, 然后将UseB 加入GlobalB, 然后到Domain 域中建立一个域本地组LocalA, 将全局组GlobalB 加入域本地组LocalA, 再针对域本地组LocalA 授权对Resource 的访问权限。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

外一篇：

从组的使用范围来分，可以分为三种：全局组、本地域组和通用组。

全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组，可以访问任何一个域内的资源。本地域组具有所属域的访问权限，以便访问本域的资源。本地域组的成员可以是同一个域的本地域组，也可以是任何域内的账户、全局组和通用组，他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源，通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。 安装域控制器时，系统会自动生成一些组，称为内置组。这些组都定义了一些常用权限，通过将用户加入到这些内置组中，可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中，内置的全局组在“Users”组织单元中。

1. 内建组：

在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Builtin”文件夹，Windows2000建立了内建组。

Account Operators（账户操作员）：该组的成员能操作用户管理员所属域的账号和组，并可设置其权限。但是该组成员无法修改Administrators 及Operators 组及权限。

Administrators （管理员）：该组的成员可以完全不受限制地存取计算机/域的资源，是最具权力的一个组。通常，Administrators 账户与Domain Admins组都是它的成员。 Backup Operators：该组的成员可使用Windows 备份工具来进行备份/还原工作。

Guests ：该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常，Guest 账户与Domain Guest都是该组的成员。

Printer Operators：该组的成员可以管理网络打印机，包括建立、管理以及删除网络打印机。 Replicator ：该组的成员支持域中的文件复写，可启动目录复制程序进行目录复制。

Server Operators：该组的成员可以管理域服务器，包括：建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。

Users ：该组的成员只可以执行得到授权的应用程序，而且不可执行大部分的继承应用程序。

2. 通用组：

在“Active Directory用户及计算机”的管理工具中，点树状目录下的“Users”文件夹，

Windows2000建立了内建的通用组来组织不同状态的用户账户（一般用户、Administrators 以及Guests ）。

Domain Admins：该组可以代表具有操作域权力的用户，通常，Domain Admins会属于Administrators 组，因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中，而内建的Administrator 账户是其唯一的成员。因此，如果您希望某一用户成为域系统管理器，则我们建议您将该用户加至Domain Admins组中，而不要直接加至Administrators 组中。

Domain Guests：所有域来宾，Windows2000会自动将Guest 用户账户加至该组，并将该组加至内建域Guests 组中。

Domain Users：所有域的成员，在预设的情况下，任何我们所建立的用户账户都会是Domain Users 组的成员，而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有某种资源存取权限，则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域Users 组的成员。

转其他论坛贴：（作者:tonybb）

上课了，这节课讲，域本地组（DL ）和全局组（G ）。

请记好：

域本地组：

成员范围：所有的域

使用范围：自己所在的域

全局组：

成员范围：自己所在的域

使用范围：所有的域

假设，你有两个域，A 和B ，A 中的5个财务人员和B 中的3个财务人员都需要访问B 中的“FINA”文件夹，这时，你可以在B 中建一个DL ，因为DL 的成员可以来自所有的域，然后把这8个人都加入这个DL ，并把FINA 的访问权赋给DL 。这样做的坏处是什么呢？因为DL 是在B 域中，所以管理权也在B 域，如果A 域中的5个人变成6个人，那只能A 域管理员通知B 域管理员，将DL 的成员做一下修改，B 域的管理员太累了。

这时候，我们改变一下，在A 和B 域中都各建立一个全局组（G ），然后在B 域中建立一个DL ，把这两个G 都加入B 域中的DL 中，然后把FINA 的访问权赋给DL 。哈哈，这下两个G 组都有权访问FINA 文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G 分布在A 和B 域中，也就是A 和B 的管理员都可以自己管理自己的G 啦，只要把那5个人和3个人加入G 中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B 域的管理员啦！

这就是AGDLP 。

下课了！

组的类型

1、安全组：安全组主要是用来设置权限用的。

2、分布式组：是用在与安全无关的任务上。可以将email 发到某个分布 式组，但不能设置分布组的基本权限。分布式组只能用在活动目录中。

□ 组的使用领域

组的使用领域，win2000server 域内的组分为以下三个组。

a 、全局组

b 、本地域组

c 、通用组

全局组：

1、全局组的含义：是用来组织用户，也就是可以将多个权限想念的用户帐户加入到 同一个全局内。

2、全局组的特征：

a 、全局组的成员，只能够包含该组所属的域内的用户与全局组。

b 。全局组可以访问任何一个域内的资源。

本地域组：

1、本地域组的含义：

本地域组，主要是被用来指派其所在域内的访问权限。以便可以访问该域内的资源

2、本地域组的特征：

a 、成员：包含任何一个域内用户帐户、通用组、全局组，可以包含同一个域内的本 地域组，但不包含其他域内的本地域组。

b 、本地域组只能访问同一个域内的资源。

通用组：

1、通用组的含义：是被用来指派在所有域内的访问权限，以便可以访问每一个域内 资源。

2、通用组的特点：

a 、成员：能够包含任何一个域内的用户帐户、通用组、全局组，但不能任何一个域 内本地域组。

b 、通用组可以访问任何一个域内的资源。

注：只有本机模式才有通用组的存在；另外也只有在本机模式下，全局组内的成员 才可以饮食另一个全局组。

□ 更改域的模式

win2000域模式分为混合模式与本机模式两种。

混合模式：

1、含义：win2000域被默认为混合模式，域控制器可以包括winnt 计算机。

2、混合模式的特征：a 、不支持通用性。b 、只有本地域组可以包含全局组，而且是 单一层次的嵌套；不支持其他嵌套。

二、本地域组：

1、含义：所有的域控制都必须是win2000的计算机。winnt 可以是成员服务器。

2、特征：a 、支持所有的组。b 、支持所有的组的嵌套功能。而且是支持多层嵌套功 能。

三、更改域的模式：

1、开始——程序——管理工具——活动目录用户和计算机——单击域名——鼠标右 键）——属性。

2、“常规”选项卡——更改模式。

3、单击“是”来执行更改操作。注：一旦更改为本机模式，就无法再更改回混合模 式。

□ 组的使用准则

为了更容易管理网络，利用组来管理网络资源时，建议采用以下两种最常用的使用 准则。

全局组与本地域组的使用：

1、建立一个全局组，然后将具备相同权限的用户帐户加入到此组内。

2、建立一个本地域组，而你即将设置让此组对某些资源具备适当的权限。

3、将所有即将拥有权限访问此资源的全局组加入到本地域组内。

4、指定适当的权限给本地域组。

另外两种使用组的方法，不过与上述方法使用会有一点缺点：

1、方法一：将用户增加到本地域内。然后直接设置此组对某些资源的权限。缺点是： 无法设置其他域内设置本地域组的权限。

2、方法二：将用户帐户加入到全局域内，然后直接设置此对某资源的权限。它的缺 点：如果网络内包含多个域，而每个域内都有一些全局组需要对些资源具备相同的 权限的话，则必须分别替每个全局组设置权限。浪费时间。

全局组与通用组的配合使用：

1、在每个域内建立一个全局组，然后将具备相同权限的用户帐户加入到该域的全局 组内。

2、在某域内建立一个通用组。而你即将设置让此组拥有对某些资源具备适当的权限

3、将所有即将拥有权限访问此资源的全局组加入到此通用组内。

4、指定适当的权限给此通用组。

□ 域组的建立

组的添加、删除与更名

1、组的建立：

a 、活动目录用户和计算机——域名——user 组织单位——鼠标右键——新建——组 ——输入域组名——是。

2、域组的更名：组帐户——鼠标右键——重命名。

3、组帐户的删除：组帐户——鼠标右键——删除。

添加组成员：

开始——程序——管理工具——活动目录用户和计算机——users 组织单位——域组

帐户——鼠标右键——属性——成员——添加——确定。

□ 本地组的建立

本地组是建立在win2000独立服务器、成员服务器或win2000pro 的本地安全库。

而不是在域控制内，本地组只能够访问此组所在计算机内的资源。

本地组内的成员按是否加入域的形式分两类：

1、未加入域的本地组成员：只包含本地计算机的用户帐户。

2、已加入域的本地组成员：本地计算机的用户帐户、所属域的域用户帐户、所属域 的全局组、通用组；所信任域的域用户帐户；所信任域内的全局组，通用组。

增加本地组的步骤：

开始——设置——控制面板——管理工具——计算机管理——系统工具——本地用 户和组——组——鼠标右键——添加——确定。

□ 内置的组

win2000域内含多个内置的组：本地域组、全局组、系统组，而win2000成员服务器， 独立服务器及win2000pro 内则饮食了一些内置的本地组与系统组。

内置的本地域组：

administrators 、server operators、account operators、printer operators、 backup operators、users 、guests 。

内置的全局组：

domain admins、domain admins、domain guests、enterprise guests。

内置的本地组：

administrators 、backup operators、users 、power users

全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？

问：全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？

答：很多初级网管员对全局组、域本地组、通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。

全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS 建议的规则：基于组织结构、行政结构规划。

域本地组：只能在本域的域控制器DC 上使用。MS 建议的规则：基于资源（夹、打印机……）规划。

在域的混合模式下，只能把全局组加入到域本地组，即AGDLP 原则。

注意：2000/03域的默认模式为：混合模式。则域本地组：只能在本域的域控制器DC 上使用。若域功能级别转成本机模式（或称2000纯模式），甚至03模式，域本地组可在全域范围内使用。

说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明（以混合模式下为例）：

例1：将用户张三（域帐号Z3）加入到域本地组administrators 中，并不能使Z3对非DC 的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。

例2：只有在域的DC 上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators ；但在非DC 的域成员计算机上，你是无法设置域本地组administrators 的权限的。因为它是域本地组，只能在DC 上使用。

通用组：组的成员情况，记录在全局目录GC 中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。

AGDLP

A (account):用户帐户

G (Global group):全局组

DL (Domain local group):域本地组

P (Permission):许可

按照AGDLP 的原则对用户进行组织和管理起来更容易

在AGDLP 形成以后当给一个用户某一个权限的时候, 只要把这个用户加入到某一个本地域组就可以了

组是可包含用户、计算机和其他组的活动目录或本机对象。使用组可以控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录、打印机等共享资源的访问，还可以向一组用户发送电子邮件。

在Windows 2000域中，组根据其类型可以分为安全组（Securiy Group）和分布组（Distribution ），根据其范围又可以分为全局组（Global Group）、域本地组（Domain Local Group ）和通用组（Universal Group）。组的类型决定组可以管理哪些类型的任务，组的范围决定组可以作用的范围。

1. 组的类型

（1）分布组：分布组一般用于组织用户。使用分布组可以向一组用户发送电子邮件，由于它不能用于与安全有关的功能，不能列于资源和对象权限的选择性访问控制表（DACL ）中。因此，只有在电子邮件应用程序（如Exchange ）中才用到分布组。

（2）安全组：安全组一般用于与安全性有关的授权功能。使用安全组可以定义资源和对象权限的选择性访问控制表（DACL ），控制和管理用户和计算机对活动目录对象及其属性、网络共享位置、文件、目录和打印机等资源和对象的访问。安全组中的成员会自动继承其所属安全组的所有权限。

安全组具有分布组的全部功能，也可用作电子邮件实体。当向安全组发送电子邮件时，会将邮件发给安全组的所有成员。

2. 组的范围

（1）全局组：全局组的成员关系和范围如表1。

表1 全局组的成员关系和范围

混合模式 本机模式

可包含的成员 本域中的用户账号

可加入的组 域本地组

作用范围 在本域和所有的信任域中都是可见的

权限范围 森林中所有的域

（2）域本地组：域本地组的成员关系和范围如表2。

表2 域本地组的成员关系和范围

混合模式 本机模式

可包含的成员 任何域中的用户账户和全局组 森林中任何域中的用户账户、全局组和通用组

以及本域中的域本地组

可加入的组 不能是任何组的成员 本域中的域本地组

作用范围 只在其自己的域中可见

权限范围 域本地组所在的域

（3）通用组：域本地组的成员关系和范围见表3。

表3 域本地组的成员关系和范围

混合模式 本机模式

可包含的成员 不能创建通用组 森林中任何域中的用户账户、全局组和其他的通用组 可加入的组 不能创建通用组 任何域中的域本地组和通用组

作用范围 在森林中的所有域中都是可见的

权限范围 目录林中的所有域

如果要在域目录林中实现对于资源（可以是文件夹或打印机）的访问授权，推荐使用

“AGDLP”规则。即首先把用户账户（Account ）加入到全局组（Global group），然后把全局组加入到域本地组（Domain Local group，可以是本域或其他域的域本地组），最后，对于域本地组进行授权（Permissions ）。

到了现在，你可能在想“为什么我要用其它组类型，而不用通用组？它给了我要的一切!”答案是，因为通用组和它的成员被列在全局编目里 (GC)。

每次GC 在你的森林的域之间复制时，都包括通用组的成员。与通用组类似，全局组和域本地组也被列在GC 里，但是，它们的成员并不列在GC 中。通过在合适的位置使用全局组和域本地组，你能够减小你的AD DC的尺寸，这样就会明显地降低保持GC 最新所产生的复制流量。

在选择组范围时，应当仔细选择。在你的域运行在混合模式下时，你不能改变组的范围。如果你运行在纯(Native)模式，就允许你把全局组转变通用组，前题是全局组不是另外一个全局的成员，也可以把域本地组转变成通用组，前提是域本地组中不包括另一个域本地组作为它的成员。

现在知道了组的范围，再让我们简略地谈谈建立新组最简单的部分－组的名称。在你为组起名时，全局组和域本地组在你创建它们的域里必须是唯一的。而通用组，则必须在整个森林里是唯一的。 特别注意的是，由于GC 中不仅包含通用组，还包含有通用组的成员信息，因此每次对通用的修改（成员增加/删除），都会引发GC 复制流量。所以，通用组的

成员不要经常频繁的发生变化。否则会带来大量的复制流量。另外，WIN2000在登录时系统需要向GC 查询用户的通用组成员身份，以生成访问令牌，所以在GC 不可用时，WIN2000用户有可能不能正常访问网络资源。

（转）Windows 2000 域环境中的组（正式版）

蒙蒙虫 QQ ：1724940

E-mail:

-----------------------------------------------------------------

前言

Native Mode（本地模式）和Mixed Mode（混合模式）之区别

本地模式和混合模式是两种域的操作模式，默认新建的域为混合模式。如果你不清楚可以在 Active Directory 域和信任关系中查到当前域的操作模式。本地模式要求所有的域控制器是Windows 2000,注意, 是域控制器，也就是安装了Active Directory的服务器，并非成员服务器（没有装AD ）。成员服务器和客户机依然可以运行Windows NT ,Windows 9X 系列。混合模式下域控制器中还可以有Windows NT Server，所以微软在说明混合模式主要用于域迁移过程中，如从NT4 Domain 升级到 2000 Domain。

[俺的补充]域模式的提升是不可逆的，一旦提升至本级模式将不能返回混合模式，俺这里没有其它域控制器，域直接创建成本机模式

正文

A.OU （组织单元）与Group （组）之对比

首先我们要明确OU 与Group 是完全不同的概念，OU 的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说，你不能为一个OU 设置权限，但是，你可以为一个OU 指定组策略，并且，你可以为一个OU 将权力委派控制（在2000中是这么说的，但说成是“下放”也不为过）给特定的用户，组，或计算机（有点儿象人事部？），让他（她，它）们对OU 内的成员有额外的权利。

Group 相比起OU ，分类更为复杂一些。但你可以为组分配权力和权限，这一点OU 是做不到的。微软对组的作用的解释是：

1．管理用户和计算机对资源（网络共享、文件、目录、打印机，以及AD 内对象的属性）的访问。

2．建立 E-Mail 发送列表。

3．过滤（或筛选）组策略

总而言之，一句经典的话可以概括OU 与Group 的不同