简述通用组，全局组和本地域组的区别

如题所述

在现实生活中有很多初级网管员对全局组作用域、本地域组作用域、通用域作用域之间的关系比较模糊，而这类看似简单很容易被我们忽略的问题事实上是很重要，明白这类基本的问题对我们网络故障排错是很有帮助的，下面我来讨论一下全局组作用域、本地域组作用域、通用域作用域之间的关系：
对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。
全局组：可以全局使用。即：可在本域和信任关系的其它域中都可以使用，体现的是全局性。ms建议的规则：基于组织结构、行政结构规划。
域本地组：只能在本域的域控制器dc上使用。ms建议的规则：基于资源（夹、打印机……）规划。
在域的混合模式下，只能把全局组加入到域本地组，即agdlp原则。
说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明：
例1：将用户张三（域帐号z3）加入到域本地组administrators中，并不能使z3对非dc的域成员计算机有任何特权，但若加入到全局组domain
admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。
例2：只有在域的dc上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非dc的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在dc上使用。
通用组：组的成员情况，记录在全局目录gc中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处

温馨提示：答案为网友推荐，仅供参考

当前网址：http://11.wendadaohang.com/zd/424FS42P7Pv78F28PS.html