iT邦幫忙

1

群組的使用領域

由於公司人越來越多 我想把AD分組織來管理
但我實在搞不懂群組領域和群組類型的搭配和差異
書本寫的好像有看沒有太懂
想請問大家的解釋還有大大都怎麼設定

◆群組領域
◎萬用群組
可以在所有網域內被設定權限
無法包含任何一個網域內的網域區域群組

◎通用群組
只能夠包含與該群組相同網域內之使用者與通用群組

◎網域區域群組
無法包含其他網域內的網域區域群組

◆群組類型
◎安全性
◎發布

jerry640 iT邦新手 1 級 ‧ 2008-07-14 16:59:31 檢舉
還有一個蠻常用的"組織單位"
39
gkkangel
iT邦好手 1 級 ‧ 2008-07-08 10:25:57
最佳解答

先就這個來說明一下:

群組領域
無論是安全性群組或發佈群組,任何群組都具有領域特徵,領域會識別群組在網域樹狀目錄或樹系中的適用範圍。群組領域的界線或範圍,也是由其所在網域的網域功能等級設定所決定。有 3 個群組領域:萬用,通用,及網域區域

------------------------------------------------------------------------------------->

搭配使用群組與網域區域領域的時機
具有網域區域領域的群組,可協助您定義及管理單一網域內的資源存取。例如,若要讓五個使用者存取特定的印表機,您可以在印表機權限清單中,新增五個使用者帳戶。不過,如果之後要讓這五個使用者能存取新的印表機,則必須在權限清單中,為新的印表機重新指定所有五個帳戶。

運用一點計劃,您就可藉由建立網域區域領域群組,並指派存取印表機的使用權限給它,以簡化此日常系統管理工作。將五個使用者帳戶放在通用領域群組中,然後將此群組新增到具有網域區域領域的群組中。要讓這五個使用者存取新增印表機時,請將使用權限指派給網域區域領域的群組,以存取新增印表機。通用領域群組的所有成員會自動接收對新增印表機的存取。

搭配使用群組與通用領域的時機
使用通用領域群組,可以管理需要每天維護的目錄物件,如使用者及電腦帳戶。因為通用領域群組不會在其網域之外複寫,所以您可以經常變更具有通用領域之群組內的帳戶,而不需產生到通用類別目錄的複寫流量。如需群組及複寫的相關資訊,請參閱複寫的運作方式。

雖然權利及使用權限指派只在所指派的網域內有效,但藉由將通用領域群組套用到跨數個適當網域,即可將參照合併到具有相似目的之帳戶。這可簡化並合理化跨網域的群組管理。例如,在有兩個網域 (歐洲及美國) 的網路中,如果您在美國網域中有名為 GLAccounting 的通用領域群組,則在歐洲網域中建立名為 GLAccounting 的群組 (除非歐洲網域沒有帳戶處理功能)。

針對複寫到通用類別目錄的網域目錄物件指定權限時,強烈建議您使用通用群組或萬用群組,而不要使用網域區域群組。如需相關資訊,請參閱通用類別目錄複寫。

搭配使用群組與萬用領域的時機
使用萬用領域的群組,以合併跨網域的群組。若要這麼做,請將帳戶新增到通用領域群組,然後在萬用領域群組中,將這些群組做巢狀處理。如果您使用此策略,則通用領域群組中任何成員資格變更時,都不會影響到萬用領域群組。

例如,在具有兩個網域 (歐洲及美國) 的網路中 (每個網域中都有一個名為 GLAccounting 的通用領域群組),建立名為 UAccounting 的萬用領域群組,且這個群組含有兩個 GLAccounting 群組 (UnitedStates\GLAccounting 和 Europe\GLAccounting) 作為其成員。UAccounting 群組可用於企業的任何位置。獨立 GLAccounting 群組成員資格中的任何變更,將不會導致 UAccounting 群組的複寫。

萬用領域群組的成員資格請勿經常變更,因為這些群組成員資格發生任何變更時,都會使群組的整個成員資格複寫到樹系中的每個通用類別目錄中。如需群組及複寫的相關資訊,請參閱通用類別目錄和站台。

群組類型
群組可以將使用者帳戶、電腦帳戶和其他群組帳戶收集到可管理的單位中。使用群組代替單一的使用者,會協助簡化網路維護及系統管理。
Active Directory 有兩種群組類型:發佈群組與安全性群組。您可以使用通訊群組來建立電子郵件的通訊群組清單,而安全性群組則會指派使用權限給共用資源。

-------------------------------------------------------------------->

安全性群組能有效指派您網路資源的存取,但請小心使用。使用安全性群組之後,您可以:

• 指派使用者權利給 Active Directory 中的安全性群組

使用者權利會指派給安全性群組,以便判定在網域 (或樹系) 領域中該群組成員可進行的作業。安裝 Active Directory 時,使用者權利會自動指派給某些安全性群組,以協助系統管理員定義網域中個人的管理角色。例如,新增到 Active Directory 中 [備份操作員] 群組的使用者能夠備份和還原位在網域中每個網域控制站的檔案及目錄。

這在預設上是可能的,這是因為使用者權利 備份檔案及目錄 及 還原檔案及目錄 都會自動指派給備份操作員群組。因此,此群組的成員會繼承指派給該群組的使用者權限。如需使用者權利的相關資訊,請參閱 使用者權利。如需指派給安全性群組的使用者權利相關資訊,請參閱 預設群組。

您可以使用群組原則來指定使用者權限給安全性群組,以協助委派特定工作。指派委派工作時,您應該永遠使用判別功能,這是因為如果未經訓練的使用者指派太多的安全性群組權利,有可能對您網路造成明顯傷害。如需相關資訊,請參閱 委派系統管理。如需指派使用者權利給群組的相關資訊,請參閱 指派使用者權限給 Active Directory 中的群組。

• 指派使用權限給資源上的安全性群組

使用權限不要與使用者權利相混淆。使用權限是指派給共用資源上的安全性群組。使用權限會決定哪些人可以存取資源及存取的等級,例如完全控制。某些設定在網域物件上的使用權限會自動指派各種存取等級給預設的安全性群組,例如 Account Operators 群組或 Domain Admins 群組。如需使用權限的相關資訊,請參閱 Active Directory 中的存取控制。

安全性群組會列在定義資源及物件上使用權限的 DACL 中。當系統管理員指派資源 (檔案共用、印表機等) 的使用權限時,應將使用權限指派給安全性群組,而非個別使用者。將使用權限一次指派給群組,而不是分數次指派給每個單一使用者。新增到群組的每個帳戶會收到指派給 Active Directory 中該群組的使用者權利,以及定義給資源上群組的使用權限。

和發佈群組一樣,安全性群組也可做為電子郵件項目。向群組傳送電子郵件訊息就是向群組的所有成員傳送訊息。

Converting between security and distribution groups
群組隨時都可以從安全性群組轉換為發佈群組,反之亦然,但是只有在網域功能等級設定為 Windows 2000 原始或更高時才可以進行。當網域功能等級設定為 Windows 2000 混合模式時,群組無法轉換。

==============================================================
其實還蠻複雜的.
建議你跟公司的前輩請教一下吧.
或者是買本,有關AD的書來K一下.
當然直接上微軟網站上看,應該是最快的吧!!

8
macosorawate
iT邦新手 2 級 ‧ 2008-07-09 13:00:44

群組領域在微軟的作業系統上的意思就是可以管理和管制所有的電腦.(不清楚).WATER.0911115854.( macosorawater@pchome.com.tw ). http://www.macosorawater.pchome.com.tw .( Pchome online ).小禮.Thanks. 11111111 .

20
花輪
iT邦大師 1 級 ‧ 2008-07-09 23:44:50

最基本的原則就是: A-G-DL-P
將 A(ACCOUNT)加入 G(GROUP:通用群組),再將 G 加入 DL(DOMAIN LOCAL GROUP),最後將各資源的權限指定給 DL(DOMAIN LOCAL GROUP)即可。
再複雜一點就是: A-G-G-DL-P (用兩層通用群組)
至於 U (萬用群組)則隨便要加入那一層都可以喔!
這就是 gkkangel 所說得啦。
希望您看得懂...
^_^

我要發表回答

立即登入回答