1、本地域组:多域用户访问单域资源(访问同一个域)
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。
本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
2、全局组: 单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。 可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加 用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
3、通用组: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。
4、适用范围
| 组类型 | 成员范围 | 使用范围 |
|---|---|---|
| 本地域组 | 任何域 | 自己所在的域 |
| 全局组 | 自己所在的域 | 任何域 |
| 通用组 | 任何域 | 任何域 |
5、举例说明
比如:有两个域,long.com和china.long.com,long.com中的5个财务人员和china.long.com中的3个财务人员都需要访问china.long.com中的“FINA”文件夹。这时,可以在china.long.com中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在china.long.com域中,所以管理权也在china.long.com域,如果long.com域中的5个人变成6个人,那只能long.com域管理员通知china.long.com域管理员,将DL的成员做一下修改,china.long.com域的管理员太累了。如何解决呢?
6、过程
-
在long.com下创建用户(A),分别是pa pb
-
在china.long.com 下创建用户(A),分别是p1 p2
-
在long.com下创建全局组(G)G-long
并把pa和pb加入到G-long组里
-
在china.long.com下创建全局组(G)G-china
并把p1和p2加入到G-china组里
-
在long.com下创建通用组(U),U-long
把全局组G-long和G-china加入到U-long中
-
在china.long.com下创建本地域组(DL)DL-china
并把U-long加入到DL-china中
-
在c盘下创建文件夹FINA,并设置共享权限(P)赋予DL-china组相应权限
-
至此AGUDLP设置完毕