全局组,通用组,本地组

首先我们需要明确一点:为什么我们需要建立组?
答案很简单:为了管理方便!

其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示:

在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。
现在来看这样一种情况:
你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择:
1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。
2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组
假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。
通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。
什么是本地组呢?
很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。
全局组的特点是什么呢?
全局组成员来自于同一域的用户账户和全局组,在林范围内可用。
也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。
域本地组的特点是什么呢?
域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。
通用组的特点是什么呢?
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。
规则就这些,请不要记混。可以简单这样记忆:
全局组  来自本域用于全林
通用组  来自全林用于全林
域本地组 来自全林用于本域
因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用:
康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为comboo.com的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域os.comboo.com,从而形成了域树。
后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公司,名为博通,总部设在大连。博通在总公司的林中创建了自己的域环境botong.com。为了充分利用所有的资源,在子公司和总公司之间建立了信任关系,以便能够相互访问资源。
整个的逻辑结构图如下所示:

在上面的例子中,大连的公司财务部门出了一点问题,需要从北京、上海都找10个人支援一下,大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息,安全性比较高,所有资料仅仅允许财务部门的人访问。管理员为了方便管理,就为财务部门创建了一个域本地组dlf,在服务器上赋予dlf组权限(这种策略的简写就是A-DL-P,Account -domain local group - permission)。然后上海和北京的管理员分别为各自要帮助大连的10个人创建了一个全局组bjf和shf (这就是A-G,Account - global group),这样然后大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加,而不需要关心到底是哪些人来支持财务部工作,然后一个一个添加了。而对于最终资源来说,它感觉自己没有变化,因为自己始终都是允许被blf访问,并没有发生变化。这就是著名的A-G-DL-P的使用。下面是示意图:

不使用AGDLP策略的时候,我们也可以实现这个功能,就是直接把用户帐户添加到财务部资源的访问控制列表中,示意图如下:

每条线代表一次操作,很显然,当出现变更的时候,不使用AGDLP的情况会很糟糕,因为每次改动都会带来目标权限的重新设置。
在上面的例子中,假设有很多域,有很多全局组,就推荐使用AGUDLP,在每个域中分别创建了全局组后,应用通用组来管理全局组,最后把通用组加入到域本地组,进行权限的设置。示意图如下:

上面我们看到了全局组和域本地组带来的管理上的方便性。你也许会问,通用组来自全林用于全林,看起来似乎比全局组更方便,可以完全取代全局组的,为什么不这么做?
因为正是由于通用组内部成员来自于全林,而且它信息是存储在全局编录中的,任何的变化都会导致全林复制,这个复制流量不可忽视。前面我们学过,在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的,所以,强烈建议不要直接添加用户帐户到通用组,而是先添加帐户到全局组,然后再把这些相对稳定的全局组添加到通用组.

原文地址:https://www.cnblogs.com/victorfrost/p/8304116.html

时间: 2024-10-08 07:08:08

全局组,通用组,本地组的相关文章

【翻译自mos文章】将expdp的dmp文件从asm磁盘组里边放到本地文件系统里边

将expdp的dmp文件从asm磁盘组里边放到本地文件系统里边 参考原文: How To Extract Datapump File From ASM Diskgroup To Local Filesystem? (Doc ID 566941.1) 适用于: Oracle Database - Enterprise Edition - Version 11.1.0.6 to 11.1.0.7 [Release 11.1] Information in this document applies

本地组策略与安全策略的自动导入

本地组策略与安全策略的自动导入 http://blog.csdn.net/wzsy/article/details/5754894 昨天接到一个需求,由于公司要求服务器要部署必需的一些安全策略,但是对于未加入域的服务器希望能有一个便捷的部署办法. 首先,提取出需要部署的策略中能通过组策略或安全策略实施的项如表所示(部分演示): 序号 要求 1 “密码必须符合复杂性要求”选择“已启动” 2 “密码最长存留期”设置为“90天” 3 “账户锁定阀值”设置为小于或等于 6次 4 “从远端系统强制关机”设

组策略统一本地管理员密码

组策略统一本地管理员密码 1.在组策略对象中新建GPO 2.编辑新建的GPO 3.把建好的GPO链接到域内 4.或者提前建立一个OU,把所有的电脑移动到这个OU内,然后把建好的GPO链接到这个新的OU中也可以 5.更新组策略 开始--cmd--gpupdate /forece

win10 家庭中文版打开本地组策略编辑器

win10 家庭中文版打开本地组策略编辑器 CreateTime--2018年5月14日09:01:25 Author:Marydon 1.问题描述 2.问题解析 3.解决方案 相关推荐: 相关链接 原文地址:https://www.cnblogs.com/Marydon20170307/p/9035435.html

小白学习server第二篇------策略(本地,本地组)

一. 本地安全策略概述本地安全策略影响本地计算机的安全设置控制面板→管理工具"→本地安全策略运行secpol.msc命令本地安全策略主要包含:帐户策略本地策略 二. 帐户策略1.密码策略1)密码必须符合复杂性需求:.英文字母大小写.数字.特殊符号四者取其三.2)密码长度最小值:设置范围0-14,设置为0表示不需要密码.3)密码最长使用期限:默认42天,设置为0表示密码永不过期,设置范围0和999天之间的值.4)密码最短使用期限:设置为0表示随时更改密码5)强制密码历史:最近使用过的密码不允许再使

《TCP/IP 详解 卷1:协议》第 9 章:广播和本地组播(IGMP 和 MLD)

我已经懒了,卷一已经是去年年底看完的,但怎么说卷一的坑开了就要填完啊-- 广播和本地组播(IGMP 和 MLD) 引言 有 4 种 IP 地址,单播(unicast).任播(anycast).组播(multicast)和广播(broadcast).IPv4 可以使用所有地址,IPv6 可以使用除广播之外的地址. 本章讨论广播和组播的细节,例如: 链路层如何有效地从一台计算机向其他计算机发送广播或组播流量. 互联网组管理协议(IGMP)和组播侦听协议(MLD)如何工作,通知组播路由器子网中哪些组播

Powershell 获取本地组成员信息

工作当中需要查看本地组成员信息,从网上看到使用net localgroup 命令可以实现本地组成员信息,经过再加工得到如下信息,备忘至此! $localgroups = "Administrators","Remote Desktop Users" $result = @()foreach($group in $localgroups){$groupmembers = net localgroup $groupforeach($member in $groupmem

Win10家庭版找不到本地组策略gpedit.msc解决办法

在Win10的各个版本中,其中家庭版默认是不提供组策略功能的,不提供不是说没有这个功能,而是系统默认对其进行了限制,需要使用该功能可以手动添加,请参考以下步骤: 本地组策略编辑器是一个 Microsoft 管理控制台 (MMC) 管理单元,它提供一个单一用户界面,通过该界面可管理本地组策略对象(GPOs).通常打开方式都是按 Win + R 组合键,打开运行,并输入:gpedit.msc 命令,确定或回车打开本地组策略编辑器,可有些用户在输入:gpedit.msc 命令后,却提示:Windows

windows 2012 r2怎么进入本地组策略

可以使用命令行或使用 Microsoft 管理控制台 (MMC) 打开本地组策略编辑器.通过命令行打开本地组策略编辑器的步骤单击“开始”,在“开始搜索”框中键入 gpedit.msc,然后按 Enter.以 MMC 管理单元的方式打开本地组策略编辑器的步骤1.打开“MMC”.(单击“开始”,在“开始搜索”框中单击,键入 mmc,然后按 Enter.)2.在“文件”菜单上,单击“添加/删除管理单元”.3.在“添加或删除管理单元”对话框中单击“组策略对象编辑器”,然后单击“添加”.4.在“选择组策略