全局組: 只能在創建該全局組的域上進行添加用戶賬戶和全局組,而且全局組可以嵌套在其他組中。可以將某個全局組添加到同一個域上的另一個全局組中,或添加到其他域的通用組和域本地組中(注意這裏不能它加入到不同域的全局組中,全局組只能在創建它的域中添加用戶和組)。雖然可以利用全局組授予訪問任何域上的資源的權限,但一般不直接用它來進行權限管理。
本地域組: 可以從任何域添加用戶賬戶、通用組和全局組。域本地組不能嵌套於其他組中。它主要是用於授予位於本域資源的訪問權限。
通用組:通用組是集合了上面兩種組的優點,即可以從任何域中添加用戶和組,可以嵌套於其他域組中。但是只能在域處於本機模式的時候使用,也就是說所有域控都必須是2000以上系統。
比如:有兩個域,A和B,A中的5個財務人員和B中的3個財務人員都需要訪問B中的“FINA”文件夾,這時,可以在B中建一個DL,因爲DL的成員可以來自所有的域,然後把這8個人都加入這個DL,並把FINA的訪問權賦給DL。這樣做的壞處是什麼呢?因爲DL是在B域中,所以管理權也在B域,如果A域中的5個人變成6個人,那隻能A域管理員通知B域管理員,將DL的成員做一下修改,B域的管理員太累了。
這時候,我們改變一下,在A和B域中都各建立一個全局組(G),然後在B域中建立一個DL,把這兩個G都加入B域中的DL中,然後把FINA的訪問權賦給DL。哈哈,這下兩個G組都有權訪問FINA文件夾了,是嗎?組嵌套造成權限繼承嘛!這時候,兩個G分佈在A和B域中,也就是A和B的管理員都可以自己管理自己的G啦,只要把那5個人和3個人加入G中,就可以了!以後有任何修改,都可以自己做了,不用麻煩B域的管理員!這就是AGDLP。
注:A表示用戶賬號,G表示全局組,U表示通用組,DL表示域本地組,P表示資源權限。A-G-DL-P策略是將用戶賬號添加到全局組中,將全局組添加到域本地組中,然後爲域本地組分配資源權限。
本地域組的成員可以來自所有域的用戶和組,但其作用域只能是當前域
全局組的成員只能來自當前域的用戶和組,而作用域可以是所有的域
本地域組的權利是自身的,全局域的權利是來自其屬於的本地域組的
打個比方,現在有兩個域domainA,domainB,用戶UseA,UseB. 在DomainA上有一個文件夾Resource.UseB屬於domainB,他想訪問Resource.
這個時候就應該先在domainB上建一個全局組GlobalB,然後將UseB加入GlobalB,然後到Domain域中建立一個域本地組LocalA,將全局組GlobalB加入域本地組LocalA,再針對域本地組LocalA授權對Resource的訪問權限。