规划多个域的访问控制策略（三）

来源：互联网发布：linux 打印日志编辑：程序博客网时间：2024/04/30 15:54

组作用域的规划考虑

组(不论是安全组还是通信组)都有一个作用域，用来确定在域树或林中该组的应用范围。有3种组作用域：通用、全局和本地域。

通用组的成员可包括域树或林中任何域中的其他组和账户，而且可在该域树或林中的任何域中指派权限。全局组的成员可包括只在其中定义该组的域中的其他组和账户，而且可在林中的任何域中指派权限。本地域组的成员可包括WindOWS Server 2003、WindOWS 2000，或 WindOWS NT域中的其他组和账户，而且只能在域内指派权限。这3种组作用域具体介绍如表5-5所示。

表5-5 3种组作用域的说明通用作用域全局作用域本地域作用域当域功能级别被设置为Windows
2000本机或Windows Server 2003时，通
用组的成员可包括来自任何域的账户、
全局组和通用组当域功能级别被设置为Windows
2000本机或Windows Server 2003时，
全局组的成员可包括来自相同域的账
户或全局组当域功能级别被设置为Windows
2000本机或Windows Server 2003时，
本地域组的成员可包括来自任何域的账
户、全局组或通用组，以及来自相同域
的本地域组当域功能级别被设置为Windows
2000混合时，不能创建具有通用组的安
全组当域功能级别被设置为Windows
2000混合时，全局组的成员可包括来自
相同域的账户当域功能级别被设置为Windows
2000混合时，本地域组的成员可包括来
自任何域的账户或全局组自任何域的账户或全局组
本机或Windows Server 2003时，组可被
添加到其他组并在任何域中指派权限组可被添加到其他组并且在任何域中
指派权限组可被添加到其他本地域组并且仅
在相同域中指派权限组可转换为本地域作用域。只要组中
没有其他通用组作为其成员，就可以转
换为全局作用域只要组不是具有全局作用域的任何其
他组的成员，就可以转换为通用作用域只要组不把具有本地域作用域的其他
组作为其成员，就可转换为通用作用域

1．何时使用具有本地域作用域的组

具有本地域作用域的组将帮助你定义和管理对单个域内资源的访问。这些组可将以下组或账户作为它的成员。具有全局作用域的组。具有通用作用域的组。账户。具有本地域作用域的其他组。上述任何组或账户的混合体。例如，要使5个用户访问特定的打印机，你可在打印机权限列表中添加全部5个用户。如果你以后希望这5个用户都能访问新的打印机，则需要再次在新打印机的权限列表中指定全部5个账户。如果采用简单的规划，你可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将5个用户账户放在具有全局作用域的组中，并且将该组添加到有本地域作用域的组。当你希望使5个用户访问新打印机时，可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。

2．何时使用具有全局作用域的组

使用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机账户。因为有全局作用域的组不在自身的域之外复制，所以具有全局作用域的组中的账户可以频繁更改，而不需要对全局编录进行复制以免增加额外通信量。

虽然权利和权限指派只在指派它们的域内有效，但是通过在相应的域中统一应用具有全局作用域的组，可以合并对具有类似用途的账户的引用。这将简化不同域之间的管理，并使之更加合理化。例如，在具有两个域(如Europe和United States)的网络中，如果United States 域中有一个称做GLAccounting的具有全局作用域的组，则Europe域中也应有一个称做 GLAccountin~的组(除非Europe域中不存在账户管理功能)。强力推荐在指定复制到全局编录的域目录对象的权限时，使用全局组或通用组，而不是本地域组。

3．何时使用具有通用作用域的组

使用具有通用作用域的组来合并跨越不同域的组。为此，请将账户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略，对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。

例如，在具有Europe和United States这两个域的网络中，在每个域中都有一个名为 GLAccounting全局作用域的组，创建名为GLAccounting且具有通用作用域的组，可以将两个GLAccounting组United States＼GLAccounting和Europe＼GLAccounting作为它的成员。这样就可在企业的任何地方使用UAccounting组。对个别GLAccounting组的成员身份所作的任何更改都不会引起UAccounting组的复制。具有通用作用域的组成员身份不应频繁更改，因为对这些组成员身份的任何更改都将引起整个组的成员身份复制到树林中的每个全局编录中。