贴切比喻

转贴自http://hi.baidu.com/mikeoldyang/blog/item/cb20e810110ed379ca80c49c.html

1、关于组

全局组（繁体称为：通用）：中国世界贸易部门（中国范围内的全局组）－－－－应用范围是全世界的，单成员不管是单位（组）还是个人（帐户）都是中国的。

通用组（繁体称为：萬用）：：国际世界贸易组织－－－－这范围和成员就大了。

因为国际世界贸易组织（通用组）地位的重要（小布什觊觎已久），一旦其中发生人事变动就必须要通知到其范围内的所有国家的（全局组）－－－在各个站点的GC因为要同步开始复制数据会造成网络的负担，一些比较偏远的国家（网络连接不太好，导致数据同步出现问题）可能无法及时发现这些人事变动，就会产生错误“怎么换人了？我还不知道。”

当然各个国家的世界贸易部门（全局组）发生人事变动就不用这么大费周章了。

如果各个国家想要了解互相鸡蛋市场的价格（分散在各个国家（域）的资源），那么直接问对方要就要对方把权限指派给自己本国的贸易部门（全局组），上百个国家来要就要指派上百次。如果对方是以世贸组织的名义来得，我们只需要指派给世贸组织（通用组）就行了。关你张三李四英国人美国人，只要你是世贸的就可以了。

值得注意的是：因为鸡蛋市场上的老板们不认识外国人，这就必须要给外国人一个名义也好介绍信也好，暂时加入中国农村信用合作社（域本地组）（繁体称为：網域區域）：吧

另：在这里需要指出的是，在win2000环境（本机模式），只有在GC上dsa.msc里才可以从帐户的隶属于选项里看到从属于其他域的通用组。但是在2003里已做了改进，无法在GC上的dsa.msc里帐户的隶属于选项里看到其他域的通用组了，不管2003DC所在的域是2003 server模式还是2000纯模式。

2、关于Kerberos

生动的例子来演示Kerberos事务处理的过程：一个间谍需要和他的间谍组织联系并交换情报，间谍发出了一个信号，组织决定派一个信使和他见面交换情报，当然间谍和信使互相都不认识他们都只认识组织的头子。以下是他们联系的过程

1。信使先联系组织头子，发消息说“告诉一个只有你和那个间谍才知道的秘密”，
2。间谍头子为了证明信使的身份是否真实会先验证该消息的真实性，他检验的结果－-该消息使用信使的加密密钥（secret eneryption key）来加密的。
3。头子给信使回信，这封信分为两个部分：第一部分是一个随机数，他是头子随便决定的并用信使的密钥加密，第二部分包含相同的随机数，信使的姓名，起草信的时间和日期以及信的有效期，这部分用间谍的密钥来加密。
4。信使收到头子回信后用自己的密钥成功解出前半部分中的随机数。－－－当然如果解出的结果是乱码那说明这个头子是假的。信使把信收好去和间谍接头。

5。两人见面后互通了姓名，信使把回信的后半部分交给间谍（原作者建议大家去看一下昆汀。塔伦迪诺拍的《水库狗》『Reservir Dogs』）

   5.1如果间谍用自己的密钥无法对后半部信件解码，他就知道信使是假的，所以开枪射信使。

   5.2如果能解码但是得到乱码，他就知道信被篡改了，他还会开枪射他。

   5.3如果能解码但是得到的信使姓名与刚才通报的不同，他依然开枪。

   5.4如果得到的随机数过去得到过，他还射他，

   5.5如果得到的有效期过期了，他会扔掉信走掉。

6。很幸运没出现上述的情况，间谍会交给信使一封信，其中包含了间谍的姓名，当前时间以及信件中字母总数并用刚才那封信理头子的随机数编码－－该随机数成了密钥。

7。信使用随机数解码，如果解除不对他就会对间谍开枪。如果时间过期他也会。

8。最后信使成功解码，内容可以接受，认证过程结束。两人开始交流情报。

当然这个例子是用来理解身份验证的，并不是对Kerberos的解释。我很难找到类似的例子帮助楼主理解组。当然前面也有不错的例子了。剩下的只是动手了。