AD：本地、全球和通用组之间有什么区别？

Question

Active Directory 中的本地、全局和通用组之间的基本区别是什么？将用户和组分配给这些组时的最佳做法是什么？

Answer 1

区别归结为权限分配的范围以及是否可以将不同域的成员添加为组成员。

• 域本地

  • 权限只能在本地域中分配。
  • 成员可以来自林中的任何域。
  • 旨在用于不直接在 AD 中的对象，例如文件共享、打印机队列等。
  • 不应用于分配 AD 对象（例如 OU、用户帐户等）的权限，因为它们无法在其他域中进行评估。

• 全球的

  • 可以在任何域中分配权限。
  • 成员必须与组在同一个域中。

• 普遍的

  • 权限可以分配给林中的任何地方。
  • 成员可以来自林中的任何域。

资料来源：

• Windows 中的组类型和范围使用 (Microsoft KB231273)
• Active Directory 安全组
• 在 Active Directory 中，通用、全局和域本地组之间有什么区别？

Answer 2

区别在于不同组中可以包含哪些组/用户、可以向该组分配哪些权限以及是否可以转换该组。

如果您只有一个域和一棵树，并且您知道它将永远保持这种状态，那么您真的不需要对此了解太多。但是，我强烈建议您阅读以下内容： http://technet.microsoft.com/en-us/library/cc755692%28WS.10%29.aspx

如果你必须纠正他们的错误，你会讨厌最初建立小组的人。我不得不这样做，但这一点也不好玩。