Windows 2000 中的组类型和范围使用

文章翻译 文章翻译
文章编号: 231273 - 查看本文应用于的产品
本文的发布号曾为 CHS231273
展开全部 | 关闭全部

本文内容

概要

Microsoft Windows 2000 通过添加“通用”组和“分配”组,扩展了 Microsoft Windows NT 4.0 用户组的概念。 在 Windows NT 4.0 中只有“全局”和“本地”组,并且两者都被视为“安全”组。

更多信息

在 Windows 2000 中有两种类型的组: 安全和分配。 此外,还有三种作用域:通用、全局和本地域。

组类型



安全



“安全”组用于资源的访问控制。 它们也可以用作电子邮件分发列表。

分配



“分配”组仅能用于电子邮件分发列表或简单的管理分组。 这些组不能用于访问控制,因为它们没有“启用安全”。 在“本机模式”域中,组类型可随时更换。 在“混合模式”域中,组类型在创建时就已经固定了,不能更改。

范围类型



通用



“通用”组可用于同一个 Windows 2000 林中的任何地方。 它们仅在“本机模式”企业中可用。 通用组对某些系统管理员来说可能是一种方便,因为对它们的使用没有固有的限制。 可以为通用组直接分配用户,通用组还可以嵌套,而且可以直接与访问控制列表一起使用,从而在企业的任何域中指定访问权限。

通用组存储在全局编录 (GC) 中;也就是说,对这些组的所有更改,都将复制到整个企业中的所有全局编录。 因此,只有在仔细对比了通用组的好处与全局编录复制工作量增加而带来的开销之后,才能对通用组做更改。 如果单位有且仅有一个连接状况良好的 LAN,则不会出现性能下降的情况,而大范围分散的站点可能会受到严重影响。 通常,使用 WAN 的单位应当仅在成员身份极少变动的相对静态组中使用通用组。

全局



“全局”组是用户处于“混合模式”域时,组的主要作用域。 全局组只能放置在同一个域中的资源对象安全描述符中。 也就是说,您不能只是基于另一个域的全局组用户成员身份,而限制对对象的访问。

在用户登录到一个域时,用户的全局组成员身份将被评估。 因为全局组成员身份是以域为中心的,所以全局组成员身份的更改不会强行复制到整个企业范围的全局编录。

在“本机模式”域中,全局组可相互嵌套。 这在系统管理员已嵌套了各个部门,而又想在 OU 树中以一种有条不紊的递减方式,逐级向下委派部门 (OU) 管理职能的情况下,可能有用。 在这种情况下,全局组树可用作一种平行构造,从而方便这种递减特权的分配。

本地域



“本地域”组可用来为没有直接存储在 Active Directory 中的特定资源(如文件服务器共享、打印机队列,等等),直接分配访问策略。

不应该用本地域组来为 Active Directory 对象分配权限,因为其它域不能评估本地域组,而且多数 Active Directory 对象都以 GC 的形式复制到其它域中。 基于本地域组成员身份而置于 Active Directory 对象的访问限制,对本地域组所在的域之外的组发生的 GC 查询毫无影响。

属性

文章编号: 231273 - 最后修改: 2004年3月11日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbinfo kbenv KB231273
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com