全局組：可以全局使用。即：可在本域和有信任關(guān)系的其它域中使用，體現(xiàn)的是全局性。MS建議的規(guī)則：基于組織結(jié)構(gòu)、行政結(jié)構(gòu)規(guī)劃。 域本地組：只能在本域的域控制器DC上使用。MS建議的規(guī)則：基于資源（夾、打印機……）規(guī)劃。 在域的混合模式下，只能把全局組加入到域本地組，即AGDLP原則。 注意：2000/03域的默認(rèn)模式為：混合模式。則域本地組：只能在本域的域控制器DC上使用。若域功能級別轉(zhuǎn)成本機模式（或稱2000純模式），甚至03模式，域本地組可在全域范圍內(nèi)使用。 說明：全局組和域本地組的關(guān)系，非常類似于域用戶帳號和本地帳號的關(guān)系。域用戶帳號，可以全局使用，即在本域和其它關(guān)系的其它域中都可以使用，而本地帳號只能在本地機上使用。下面我來舉兩個例子來進(jìn)一步說明（以混合模式下為例）： 　　例1：將用戶張三（域帳號Z3）加入到域本地組administrators中，并不能使Z3對非DC的域成員計算機有任何特權(quán)，但若加入到全局組Domain Admins中，張三就是域管理員了，可以在全局使用，對域成員計算機是有特權(quán)的。 　　例2：只有在域的DC上，對資源（如：文件/夾）設(shè)置權(quán)限，你可以指派域本地組administrators；但在非DC的域成員計算機上，你是無法設(shè)置域本地組administrators的權(quán)限的。因為它是域本地組，只能在DC上使用。 通用組：組的成員情況，記錄在全局目錄GC中，非常適于林中跨域訪問使用。集成了全局組和域本地組的長處。 AGDLP A (account):用戶帳戶 G (Global group):全局組 DL (Domain local group):域本地組 P (Permission):許可 按照AGDLP的原則對用戶進(jìn)行組織和管理起來更容易 在AGDLP形成以后當(dāng)給一個用戶某一個權(quán)限的時候,只要把這個用戶加入到某一個本地域組就可以了 ? ?? ? ? ?? ?組是可包含用戶、計算機和其他組的活動目錄或本機對象。使用組可以控制和管理用戶和計算機對活動目錄對象及其屬性、網(wǎng)絡(luò)共享位置、文件、目錄、打印機等共享資源的訪問，還可以向一組用戶發(fā)送電子郵件。 　　在Windows 2000域中，組根據(jù)其類型可以分為安全組（Securiy Group）和分布組（Distribution），根據(jù)其范圍又可以分為全局組（Global Group）、域本地組（Domain Local Group）和通用組（Universal Group）。組的類型決定組可以管理哪些類型的任務(wù)，組的范圍決定組可以作用的范圍。 　　1. 組的類型 　　（1）分布組：分布組一般用于組織用戶。使用分布組可以向一組用戶發(fā)送電子郵件，由于它不能用于與安全有關(guān)的功能，不能列于資源和對象權(quán)限的選擇性訪問控制表（DACL）中。因此，只有在電子郵件應(yīng)用程序（如Exchange）中才用到分布組。 　　（2）安全組：安全組一般用于與安全性有關(guān)的授權(quán)功能。使用安全組可以定義資源和對象權(quán)限的選擇性訪問控制表（DACL），控制和管理用戶和計算機對活動目錄對象及其屬性、網(wǎng)絡(luò)共享位置、文件、目錄和打印機等資源和對象的訪問。安全組中的成員會自動繼承其所屬安全組的所有權(quán)限。 　　安全組具有分布組的全部功能，也可用作電子郵件實體。當(dāng)向安全組發(fā)送電子郵件時，會將郵件發(fā)給安全組的所有成員。 　　2. 組的范圍 　　（1）全局組：全局組的成員關(guān)系和范圍如表1。 表1 全局組的成員關(guān)系和范圍 混合模式 本機模式 可包含的成員 本域中的用戶賬號 　 可加入的組 域本地組 　 作用范圍 在本域和所有的信任域中都是可見的 權(quán)限范圍 森林中所有的域 （2）域本地組：域本地組的成員關(guān)系和范圍如表2。 表2 域本地組的成員關(guān)系和范圍 　 混合模式 本機模式 可包含的成員 任何域中的用戶賬戶和全局組 森林中任何域中的用戶賬戶、全局組和通用組 以及本域中的域本地組 可加入的組 不能是任何組的成員 本域中的域本地組 作用范圍 只在其自己的域中可見 權(quán)限范圍 域本地組所在的域 （3）通用組：域本地組的成員關(guān)系和范圍見表3。 表3 域本地組的成員關(guān)系和范圍 　 混合模式 本機模式 可包含的成員 不能創(chuàng)建通用組 森林中任何域中的用戶賬戶、全局組和其他的通用組 可加入的組 不能創(chuàng)建通用組 任何域中的域本地組和通用組 作用范圍 在森林中的所有域中都是可見的 權(quán)限范圍 目錄林中的所有域 如果要在域目錄林中實現(xiàn)對于資源（可以是文件夾或打印機）的訪問授權(quán)，推薦使用 “AGDLP”規(guī)則。即首先把用戶賬戶（Account）加入到全局組（Global group），然后把全局組加入到域本地組（Domain Local group，可以是本域或其他域的域本地組），最后，對于域本地組進(jìn)行授權(quán)（Permissions）。 到了現(xiàn)在，你可能在想“為什么我要用其它組類型，而不用通用組？它給了我要的一切!”答案是，因為通用組和它的成員被列在全局編目里 (GC)。 　　每次GC在你的森林的域之間復(fù)制時，都包括通用組的成員。與通用組類似，全局組和域本地組也被列在GC里，但是，它們的成員并不列在GC中。通過在合適的位置使用全局組和域本地組，你能夠減小你的AD DC的尺寸，這樣就會明顯地降低保持GC最新所產(chǎn)生的復(fù)制流量。 　　在選擇組范圍時，應(yīng)當(dāng)仔細(xì)選擇。在你的域運行在混合模式下時，你不能改變組的范圍。如果你運行在純(Native)模式，就允許你把全局組轉(zhuǎn)變通用組，前題是全局組不是另外一個全局的成員，也可以把域本地組轉(zhuǎn)變成通用組，前提是域本地組中不包括另一個域本地組作為它的成員。 　　現(xiàn)在知道了組的范圍，再讓我們簡略地談?wù)劷⑿陆M最簡單的部分－組的名稱。在你為組起名時，全局組和域本地組在你創(chuàng)建它們的域里必須是唯一的。而通用組，則必須在整個森林里是唯一的。 特別注意的是，由于GC中不僅包含通用組，還包含有通用組的成員信息，因此每次對通用的修改（成員增加/刪除），都會引發(fā)GC復(fù)制流量。所以，通用組的成員不要經(jīng)常頻繁的發(fā)生變化。否則會帶來大量的復(fù)制流量。另外，WIN2000在登錄時系統(tǒng)需要向GC查詢用戶的通用組成員身份 ，以生成訪問令牌，所以在GC不可用時，WIN2000用戶有可能不能正常訪問網(wǎng)絡(luò)資源。

轉(zhuǎn)載與bbs.winos

轉(zhuǎn)載于:https://www.cnblogs.com/youren/archive/2009/04/09/1432561.html

總結(jié)

以上是生活随笔為你收集整理的全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。