Windows 2000 中的群組類型使用範圍

文章翻譯 文章翻譯
文章編號: 231273 - 檢視此文章適用的產品。
本文曾發行於 CHT231273
全部展開 | 全部摺疊

在此頁中

結論

Microsoft Windows 2000 透過新增「全域」群組和「發佈」群組,擴充了 Microsoft Windows NT 4.0 使用者群組的概念。 在 Windows NT 4.0 中,只有「通用」和「本機」群組,並且兩者皆被視為「安全」群組。

其他相關資訊

在 Windows 2000 中有兩種類型的群組: 安全和發佈。 此外,還有三種領域:全域、通用和網域本機。

群組類型

安全

「安全」群組用於控制對資源的存取。 它們也可以作為電子郵件發佈清單。

發佈

「發佈」群組僅能用於電子郵件發佈清單或簡單的管理群組。 這些群組不能用於存取控制,因為它們並未「啟用安全」。 在「本機模式」網域中,群組類型可隨時轉換。 在「混合模式」網域中,群組類型在建立時就已經固定了,並且不能變更。

領域類型

全域

「全域」群組可用於相同 Windows 2000 目錄林中的任何地方。 它們僅在「本機模式」的企業中是可用的。 全域群組對某些管理員來說可能是一種更簡單的方式,因為對它們在使用上沒有固有的限制。 可以直接指派使用者給全域群組,全域群組還可以巢狀,而且可以直接與存取控制清單一起使用,以在企業的任何網域中指定存取權限。

全域群組存放於通用類別目錄 (GC) 中;也就是說,對這些群組的所有變更,皆將複製到整個企業中的所有通用類別目錄伺服器。 因此,只有在仔細檢視全域群組的好處並比較過增加的通用類別目錄複製工作量產生的成本後,才必須對全域群組進行變更。 如果組織僅有一個單一、連結狀況良好的 LAN,並不會出現執行效能下降的情況,但是廣泛分散的站臺卻可能會受到嚴重影響。 通常,使用 WAN 的組織只有在針對成員身份極少變更的相對靜態群組時,應該使用「全域」群組。

通用

「通用」群組是群組的主要領域,而該群組的使用者則被置於「混合模式」網域中。 通用群組只能放置在位於相同網域的資源物件的安全描述元中。 亦即,您不能僅根據另一個網域的通用群組使用者成員身份,即限制其對物件的存取。

在使用者登入到網域時,會評估使用者的通用群組成員身份。 因為通用群組的成員身份是以網域為中心的,所以通用群組成員身份的變更不會在整個企業中迫使通用類別目錄進行複製。

在「本機模式」網域中,通用群組可以彼此巢狀。 當管理員已巢狀了組織單位,而又想以一種有條不紊的遞減方式,延著 OU 樹向下委派組織單位 (OU) 的管理功能時,可能是有用的。 在這種情況下,通用群組樹可作為一種平行構造,用於此種遞減式特權的指派。

網域本機

「網域本機」群組可用來針對未直接存放於 Active Directory 中的特定資源 (如檔案伺服器共用、印表機隊列,等等),進行存取原則的直接指派。

網域本機群組不應該用來指派 Active Directory 物件的權限,因為在其他網域中不能評估網域本機群組,而且多數 Active Directory 物件皆以 GC 的形式複製到其他網域中。 根據「網域本機」群組的成員身份,在 Active Directory 物件上的存取限制,對於發生在網域本機群組所在的網域之外的群組的 GC 查詢毫無影響。

屬性

文章編號: 231273 - 上次校閱: 2004年9月22日 - 版次: 3.1
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbhowto kbenv KB231273
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com