win2K域有两种模式,混合模式和本机模式(纯模式),这里以本机模式为例:
一 全局组,特点
1) 用全局组来管理那些进行相同的工作任务并需要类似的网络访问的用户;
2)作用范围:在全域及包括目录林的所有信任域中均可使用,可以说全局组可以跨域;
3)权限作用范围:目录林中的所有域;
4)与帐户、全局组、本地组的关系:
(同域中的帐号、同域中的全局组)--(全局组)---(同一域中的全局组、本地组、通用组);
二 本地组,特点
1) 使用域本地组为本域中的资源分配权限,他不像全局组只起到一个组织用户的作用,他是最终分配权限的组,并不是说不能将一个资源访问权限分配给全局组,只是不主张这么作;
2) 作用范围:域本地组只在他自己的域中可见;
3) 权限作用范围:本域;
4) 与其他组的关系:
(目录林中的任何域的用户帐号、任何域的全局组、任何域的通用组、同域的域本地组)---(本地组)---(同一域中的域本地组)
三 通用组
四 在域中使用组的管理思想
原则:
.将用户加入全局组
.将全局组加入域本地组
.给本地组赋予权限
这个也叫AGDLP策略:
A:User Account 用户帐号
G:Global Group 全局组
DL:Domain Group 域本地组
P:Permission 权限
阅读(818) | 评论(0) | 转发(0) |
