首先我们需要明确一点:为什么我们需要建立组?
答案很简单:为了管理方便!
其实计算机文件或者文件夹的控制权限是在属性的安全的选项卡中设定的,如下图所示:
在“组或用户名称”中可以添加对此文件夹行使权限的用户或者组。
现在来看这样一种情况:
你是一个域的管理员,在文件服务器上建立了一个共享文件夹,用来放置一些财务部专用文档,假如你有两个选择:
1.在安全属性页中一个一个添加财务部的人员并配置相应的权限。
2.在域控制器中创建财务部的组(包含所有财务部人员),在安全属性页中添加财务部组
假设财务部又新来了N位员工,如果你选择第一种方案,你就需要在安全属性中添加并配置N位员工,而选择第二种方案,你只需要在域控制器上创建用户帐户的时候指定他们的组为财务部就可以了,而无需修改安全属性中的角色列表。所以,很显然你应该选择第二种方式。尤其是你有很多共享文件夹进行管理的时候,使用组来管理的好处就更能够体现出来了。
通过这个例子你也能够体会到:使用组其实是为了管理方便,用最少的工作获得最好的效果!
明确了组的作用后就来看看本地组、全局组、域本地组和通用组的概念和区别。
什么是本地组呢?
很多时候本地组被人认为是域本地组的简称。其实严格来说,本地计算机上也可以创建属于本机的组,这些组才应该称为“本地组”。它的成员可以来自本地计算机或者所有的可信任域。本地组存储在本地计算机中,而域本地组存储在域控制器上。你如果使用过域,应该有这种体验:使用域帐户登录域中任意一台计算机后,默认情况下是普通的Users组权限,如果要提升成管理员权限,需要把这个域帐户添加到本地计算机的Administrators组中。
全局组的特点是什么呢?
全局组成员来自于同一域的用户账户和全局组,在林范围内可用。
也就是说能够添加到全局组的成员是本域的成员或者全局组(这样就构成了组的嵌套)。如果在上海的域中创建了全局组A,那么能添加到A中的人只能是上海域中的对象或者是其他可信任域,如北京或大连的全局组。
域本地组的特点是什么呢?
域本地组成员来自林中任何域中的用户账户、全局组和通用组以及本域中的域本地组,在本域范围内可用。
通用组的特点是什么呢?
通用组成员来自林中任何域中的用户账户、全局组和其他的通用组,在全林范围内可用。但是注意通用组的成员不是保存在各自的域控制器上,而是保存在全局编录中,当发生变化时能够全林复制。
规则就这些,请不要记混。可以简单这样记忆:
全局组 来自本域用于全林
通用组 来自全林用于全林
域本地组 来自全林用于本域
因为只有域本地组专用于在本地赋予权限,所以,通常情况下,域本地组总是最后被应用。下面我们通过几个例子来讲述他们的应用:
康博公司是一个大型的软件公司。公司的业务发展很快,目前在北京拥有自己的办公大楼,总部也因此设在那里,另外在上海也有分公司。公司在企业内部建立了域名为comboo.com的域,由于上海的分公司主营外包业务,相对比较独立,于是为其创建了子域os.comboo.com,从而形成了域树。
后来公司管理层经过商议与另外一个物流公司A合作创办了一个电子物流公司,名为博通,总部设在大连。博通在总公司的林中创建了自己的域环境botong.com。为了充分利用所有的资源,在子公司和总公司之间建立了信任关系,以便能够相互访问资源。
整个的逻辑结构图如下所示: 
在上面的例子中,大连的公司财务部门出了一点问题,需要从北京、上海都找10个人支援一下,大连公司的账目资料都保存在一台财务部专用服务器上。因为是公司机密信息,安全性比较高,所有资料仅仅允许财务部门的人访问。管理员为了方便管理,就为财务部门创建了一个域本地组dlf,在服务器上赋予dlf组权限(这种策略的简写就是A-DL-P,Account -domain local group - permission)。然后上海和北京的管理员分别为各自要帮助大连的10个人创建了一个全局组bjf和shf (这就是A-G,Account - global group),这样然后大连的管理员仅仅添加bjf和shf到dlf即可完成权限的添加,而不需要关心到底是哪些人来支持财务部工作,然后一个一个添加了。而对于最终资源来说,它感觉自己没有变化,因为自己始终都是允许被blf访问,并没有发生变化。这就是著名的A-G-DL-P的使用。下面是示意图:
不使用AGDLP策略的时候,我们也可以实现这个功能,就是直接把用户帐户添加到财务部资源的访问控制列表中,示意图如下:
每条线代表一次操作,很显然,当出现变更的时候,不使用AGDLP的情况会很糟糕,因为每次改动都会带来目标权限的重新设置。
在上面的例子中,假设有很多域,有很多全局组,就推荐使用AGUDLP,在每个域中分别创建了全局组后,应用通用组来管理全局组,最后把通用组加入到域本地组,进行权限的设置。示意图如下:
上面我们看到了全局组和域本地组带来的管理上的方便性。你也许会问,通用组来自全林用于全林,看起来似乎比全局组更方便,可以完全取代全局组的,为什么不这么做?
因为正是由于通用组内部成员来自于全林,而且它信息是存储在全局编录中的,任何的变化都会导致全林复制,这个复制流量不可忽视。前面我们学过,在全局编录中一般存储一些不太经常发生变化的信息。由于用户帐户是会经常发生变化的,所以,强烈建议不要直接添加用户帐户到通用组,而是先添加帐户到全局组,然后再把这些相对稳定的全局组添加到通用组.