全域性組、域本地組、通用組到底有什麼區別?它們之間的關係如何?
首先我們需要明確一點:為什麼我們需要建立組?
答案很簡單:為了管理方便!
其實計算機檔案或者資料夾的控制權限是在屬性的安全的選項卡中設定的,如下圖所示: 
在“組或使用者名稱稱”中可以新增對此資料夾行使許可權的使用者或者組。
現在來看這樣一種情況:
你是一個域的管理員,在檔案伺服器上建立了一個共享資料夾,用來放置一些財務部專用文件,假如你有兩個選擇:
1.在安全屬性頁中一個一個新增財務部的人員並配置相應的許可權。
2.在域控制器中建立財務部的組(包含所有財務部人員),在安全屬性頁中新增財務部組
假設財務部又新來了N位員工,如果你選擇第一種方案,你就需要在安全屬性中新增並配置N位員工,而選擇第二種方案,你只需要在域控制器上建立使用者帳戶的時候指定他們的組為財務部就可以了,而無需修改安全屬性中的角色列表。所以,很顯然你應該選擇第二種方式。尤其是你有很多共享資料夾進行管理的時候,使用組來管理的好處就更能夠體現出來了。
明確了組的作用後就來看看本地組、全域性組、域本地組和通用組的概念和區別。
什麼是本地組呢?
很多時候本地組被人認為是域本地組的簡稱。其實嚴格來說,本地計算機上也可以建立屬於本機的組,這些組才應該稱為“本地組”。它的成員可以來自本地計算機或者所有的可信任域。本地組儲存在本地計算機中,而域本地組儲存在域控制器上。你如果使用過域,應該有這種體驗:使用域帳戶登入域中任意一臺計算機後,預設情況下是普通的Users組許可權,如果要提升成管理員許可權,需要把這個域帳戶新增到本地計算機的Administrators組中。
全域性組成員來自於同一域的使用者賬戶和全域性組,在林範圍內可用。
也就是說能夠新增到全域性組的成員是本域的成員或者全域性組(這樣就構成了組的巢狀)。如果在上海的域中建立了全域性組A,那麼能新增到A中的人只能是上海域中的物件或者是其他可信任域,如北京或大連的全域性組。
域本地組的特點是什麼呢?
域本地組成員來自林中任何域中的使用者賬戶、全域性組和通用組以及本域中的域本地組,在本域範圍內可用。
通用組的特點是什麼呢?
通用組成員來自林中任何域中的使用者賬戶、全域性組和其他的通用組,在全林範圍內可用。但是注意通用組的成員不是儲存在各自的域控制器上,而是儲存在全域性編錄中,當發生變化時能夠全林複製。
全域性組 來自本域用於全林
通用組 來自全林用於全林
域本地組 來自全林用於本域
因為只有域本地組專用於在本地賦予許可權,所以,通常情況下,域本地組總是最後被應用。下面我們通過幾個例子來講述他們的應用:
康博公司是一個大型的軟體公司。公司的業務發展很快,目前在北京擁有自己的辦公大樓,總部也因此設在那裡,另外在上海也有分公司。公司在企業內部建立了域名為comboo.com的域,由於上海的分公司主營外包業務,相對比較獨立,於是為其建立了子域os.comboo.com,從而形成了域樹。
後來公司管理層經過商議與另外一個物流公司A合作創辦了一個電子物流公司,名為博通,總部設在大連。博通在總公司的林中建立了自己的域環境botong.com。為了充分利用所有的資源,在子公司和總公司之間建立了信任關係,以便能夠相互訪問資源。
整個的邏輯結構圖如下所示:
在上面的例子中,大連的公司財務部門出了一點問題,需要從北京、上海都找10個人支援一下,大連公司的賬目資料都儲存在一臺財務部專用伺服器上。因為是公司機密資訊,安全性比較高,所有資料僅僅允許財務部門的人訪問。管理員為了方便管理,就為財務部門建立了一個域本地組dlf,在伺服器上賦予dlf組許可權(這種策略的簡寫就是A-DL-P,Account -域本地組- permission)。然後上海和北京的管理員分別為各自要幫助大連的10個人建立了一個全域性組bjf和shf(這就是A-G,Account -全域性組),這樣然後大連的管理員僅僅新增bjf和shf到dlf即可完成許可權的新增,而不需要關心到底是哪些人來支援財務部工作,然後一個一個添加了。而對於最終資源來說,它感覺自己沒有變化,因為自己始終都是允許被blf訪問,並沒有發生變化。這就是著名的A-G-DL-P的使用。下面是示意圖: 
不使用AGDLP策略的時候,我們也可以實現這個功能,就是直接把使用者帳戶新增到財務部資源的訪問控制列表中,示意圖如下: 
每條線代表一次操作,很顯然,當出現變更的時候,不使用AGDLP的情況會很糟糕,因為每次改動都會帶來目標許可權的重新設定。
在上面的例子中,假設有很多域,有很多全域性組,就推薦使用AGUDLP,在每個域中分別建立了全域性組後,應用通用組來管理全域性組,最後把通用組加入到域本地組,進行許可權的設定。示意圖如下: 
上面我們看到了全域性組和域本地組帶來的管理上的方便性。你也許會問,通用組來自全林用於全林,看起來似乎比全域性組更方便,可以完全取代全域性組的,為什麼不這麼做?
因為正是由於通用組內部成員來自於全林,而且它資訊是儲存在全域性編錄中的,任何的變化都會導致全林複製,這個複製流量不可忽視。前面我們學過,在全域性編錄中一般儲存一些不太經常發生變化的資訊。由於使用者帳戶是會經常發生變化的,所以,強烈建議不要直接新增使用者帳戶到通用組,而是先新增帳戶到全域性組,然後再把這些相對穩定的全域性組新增到通用組.
轉載於:https://blog.51cto.com/lzy821218/439395