首先我們需要明確一點:爲什麼我們需要建立組?
答案很簡單:爲了管理方便!
其實計算機文件或者文件夾的控制權限是在屬性的安全的選項卡中設定的,如下圖所示:
答案很簡單:爲了管理方便!
其實計算機文件或者文件夾的控制權限是在屬性的安全的選項卡中設定的,如下圖所示:
在“組或用戶名稱”中可以添加對此文件夾行使權限的用戶或者組。
現在來看這樣一種情況:
你是一個域的管理員,在文件服務器上建立了一個共享文件夾,用來放置一些財務部專用文檔,假如你有兩個選擇:
1.在安全屬性頁中一個一個添加財務部的人員並配置相應的權限。
2.在域控制器中創建財務部的組(包含所有財務部人員),在安全屬性頁中添加財務部組
假設財務部又新來了N位員工,如果你選擇第一種方案,你就需要在安全屬性中添加並配置N位員工,而選擇第二種方案,你只需要在域控制器上創建用戶帳戶的時候指定他們的組爲財務部就可以了,而無需修改安全屬性中的角色列表。所以,很顯然你應該選擇第二種方式。尤其是你有很多共享文件夾進行管理的時候,使用組來管理的好處就更能夠體現出來了。
通過這個例子你也能夠體會到:使用組其實是爲了管理方便,用最少的工作獲得最好的效果!
明確了組的作用後就來看看本地組、全局組、域本地組和通用組的概念和區別。
什麼是本地組呢?
很多時候本地組被人認爲是域本地組的簡稱。其實嚴格來說,本地計算機上也可以創建屬於本機的組,這些組才應該稱爲“本地組”。它的成員可以來自本地計算機或者所有的可信任域。本地組存儲在本地計算機中,而域本地組存儲在域控制器上。你如果使用過域,應該有這種體驗:使用域帳戶登錄域中任意一臺計算機後,默認情況下是普通的Users組權限,如果要提升成管理員權限,需要把這個域帳戶添加到本地計算機的Administrators組中。
全局組的特點是什麼呢?
全局組成員來自於同一域的用戶賬戶和全局組,在林範圍內可用。
也就是說能夠添加到全局組的成員是本域的成員或者全局組(這樣就構成了組的嵌套)。如果在上海的域中創建了全局組A,那麼能添加到A中的人只能是上海域中的對象或者是其他可信任域,如北京或大連的全局組。
域本地組的特點是什麼呢?
域本地組成員來自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組,在本域範圍內可用。
通用組的特點是什麼呢?
通用組成員來自林中任何域中的用戶賬戶、全局組和其他的通用組,在全林範圍內可用。但是注意通用組的成員不是保存在各自的域控制器上,而是保存在全局編錄中,當發生變化時能夠全林複製。
規則就這些,請不要記混。可以簡單這樣記憶:
全局組 來自本域用於全林
通用組 來自全林用於全林
域本地組 來自全林用於本域
因爲只有域本地組專用於在本地賦予權限,所以,通常情況下,域本地組總是最後被應用。下面我們通過幾個例子來講述他們的應用:
康博公司是一個大型的軟件公司。公司的業務發展很快,目前在北京擁有自己的辦公大樓,總部也因此設在那裏,另外在上海也有分公司。公司在企業內部建立了域名爲comboo.com的域,由於上海的分公司主營外包業務,相對比較獨立,於是爲其創建了子域os.comboo.com,從而形成了域樹。
後來公司管理層經過商議與另外一個物流公司A合作創辦了一個電子物流公司,名爲博通,總部設在大連。博通在總公司的林中創建了自己的域環境botong.com。爲了充分利用所有的資源,在子公司和總公司之間建立了信任關係,以便能夠相互訪問資源。
整個的邏輯結構圖如下所示:
![]()
在上面的例子中,大連的公司財務部門出了一點問題,需要從北京、上海都找10個人支援一下,大連公司的賬目資料都保存在一臺財務部專用服務器上。因爲是公司機密信息,安全性比較高,所有資料僅僅允許財務部門的人訪問。管理員爲了方便管理,就爲財務部門創建了一個域本地組dlf,在服務器上賦予dlf組權限(這種策略的簡寫就是A-DL-P,Account -域本地組- permission)。然後上海和北京的管理員分別爲各自要幫助大連的10個人創建了一個全局組bjf和shf(這就是A-G,Account -全局組),這樣然後大連的管理員僅僅添加bjf和shf到dlf即可完成權限的添加,而不需要關心到底是哪些人來支持財務部工作,然後一個一個添加了。而對於最終資源來說,它感覺自己沒有變化,因爲自己始終都是允許被blf訪問,並沒有發生變化。這就是著名的A-G-DL-P的使用。下面是示意圖:
現在來看這樣一種情況:
你是一個域的管理員,在文件服務器上建立了一個共享文件夾,用來放置一些財務部專用文檔,假如你有兩個選擇:
1.在安全屬性頁中一個一個添加財務部的人員並配置相應的權限。
2.在域控制器中創建財務部的組(包含所有財務部人員),在安全屬性頁中添加財務部組
假設財務部又新來了N位員工,如果你選擇第一種方案,你就需要在安全屬性中添加並配置N位員工,而選擇第二種方案,你只需要在域控制器上創建用戶帳戶的時候指定他們的組爲財務部就可以了,而無需修改安全屬性中的角色列表。所以,很顯然你應該選擇第二種方式。尤其是你有很多共享文件夾進行管理的時候,使用組來管理的好處就更能夠體現出來了。
通過這個例子你也能夠體會到:使用組其實是爲了管理方便,用最少的工作獲得最好的效果!
明確了組的作用後就來看看本地組、全局組、域本地組和通用組的概念和區別。
什麼是本地組呢?
很多時候本地組被人認爲是域本地組的簡稱。其實嚴格來說,本地計算機上也可以創建屬於本機的組,這些組才應該稱爲“本地組”。它的成員可以來自本地計算機或者所有的可信任域。本地組存儲在本地計算機中,而域本地組存儲在域控制器上。你如果使用過域,應該有這種體驗:使用域帳戶登錄域中任意一臺計算機後,默認情況下是普通的Users組權限,如果要提升成管理員權限,需要把這個域帳戶添加到本地計算機的Administrators組中。
全局組的特點是什麼呢?
全局組成員來自於同一域的用戶賬戶和全局組,在林範圍內可用。
也就是說能夠添加到全局組的成員是本域的成員或者全局組(這樣就構成了組的嵌套)。如果在上海的域中創建了全局組A,那麼能添加到A中的人只能是上海域中的對象或者是其他可信任域,如北京或大連的全局組。
域本地組的特點是什麼呢?
域本地組成員來自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組,在本域範圍內可用。
通用組的特點是什麼呢?
通用組成員來自林中任何域中的用戶賬戶、全局組和其他的通用組,在全林範圍內可用。但是注意通用組的成員不是保存在各自的域控制器上,而是保存在全局編錄中,當發生變化時能夠全林複製。
規則就這些,請不要記混。可以簡單這樣記憶:
全局組 來自本域用於全林
通用組 來自全林用於全林
域本地組 來自全林用於本域
因爲只有域本地組專用於在本地賦予權限,所以,通常情況下,域本地組總是最後被應用。下面我們通過幾個例子來講述他們的應用:
康博公司是一個大型的軟件公司。公司的業務發展很快,目前在北京擁有自己的辦公大樓,總部也因此設在那裏,另外在上海也有分公司。公司在企業內部建立了域名爲comboo.com的域,由於上海的分公司主營外包業務,相對比較獨立,於是爲其創建了子域os.comboo.com,從而形成了域樹。
後來公司管理層經過商議與另外一個物流公司A合作創辦了一個電子物流公司,名爲博通,總部設在大連。博通在總公司的林中創建了自己的域環境botong.com。爲了充分利用所有的資源,在子公司和總公司之間建立了信任關係,以便能夠相互訪問資源。
整個的邏輯結構圖如下所示:
在上面的例子中,大連的公司財務部門出了一點問題,需要從北京、上海都找10個人支援一下,大連公司的賬目資料都保存在一臺財務部專用服務器上。因爲是公司機密信息,安全性比較高,所有資料僅僅允許財務部門的人訪問。管理員爲了方便管理,就爲財務部門創建了一個域本地組dlf,在服務器上賦予dlf組權限(這種策略的簡寫就是A-DL-P,Account -域本地組- permission)。然後上海和北京的管理員分別爲各自要幫助大連的10個人創建了一個全局組bjf和shf(這就是A-G,Account -全局組),這樣然後大連的管理員僅僅添加bjf和shf到dlf即可完成權限的添加,而不需要關心到底是哪些人來支持財務部工作,然後一個一個添加了。而對於最終資源來說,它感覺自己沒有變化,因爲自己始終都是允許被blf訪問,並沒有發生變化。這就是著名的A-G-DL-P的使用。下面是示意圖:
不使用AGDLP策略的時候,我們也可以實現這個功能,就是直接把用戶帳戶添加到財務部資源的訪問控制列表中,示意圖如下:
每條線代表一次操作,很顯然,當出現變更的時候,不使用AGDLP的情況會很糟糕,因爲每次改動都會帶來目標權限的重新設置。
在上面的例子中,假設有很多域,有很多全局組,就推薦使用AGUDLP,在每個域中分別創建了全局組後,應用通用組來管理全局組,最後把通用組加入到域本地組,進行權限的設置。示意圖如下:
上面我們看到了全局組和域本地組帶來的管理上的方便性。你也許會問,通用組來自全林用於全林,看起來似乎比全局組更方便,可以完全取代全局組的,爲什麼不這麼做?
因爲正是由於通用組內部成員來自於全林,而且它信息是存儲在全局編錄中的,任何的變化都會導致全林複製,這個複製流量不可忽視。前面我們學過,在全局編錄中一般存儲一些不太經常發生變化的信息。由於用戶帳戶是會經常發生變化的,所以,強烈建議不要直接添加用戶帳戶到通用組,而是先添加帳戶到全局組,然後再把這些相對穩定的全局組添加到通用組.