Windows Server 2003 Active Directory(AD) 七. 群組

由 Derek 發表於 六月 1, 2011 / 尚無評論

什麼是群組,簡單來說群組可看成一個邏輯單位,它包含一群使用者帳戶或是其它的群組。將權限指派給群組後,任何加入這個群組的帳戶或其它群組,都會擁有這個群組具有的權限。

在網域內的群組,和使用者帳戶一樣具有獨一無二的SID,因此我們可以把權限指派給群組。

 

何謂群組領域 :

不管是哪一種群組,都有其群組領域(Group Scope)。簡單來說【群組領域】就是指這個群組的「使用範圍」。

1.      能用於指派位於何處 (網域或樹系) 資源權限

2.      能放在哪個領域 (網域或樹系) 的其它群組之中

3.      能包含來自何處的使用者帳戶及群組

windows server2003中一共有3種群組領域分別為 :

網域區域 (Domain Local):使用範圍是本網域的群組,此群組簡稱為網域區域群組。

通用群組(Global):指派權限時使用範圍可及於樹系,但只能含同網域其它帳戶或群組,此群組稱為

                            通用群組

萬用群組(Universal): 使用範圍及於整個樹系,此群組稱為萬用群組。

   (對於這三種群組後面會有較詳細的說明)

 

 

網域區域群組: 

包含以下成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      若網域功能等級設為windows2000純粹模式windows server2003模式,則還可以包含任何網域的萬用群組及同網域的網域區域群組

雖然網域區域群組幾乎可以包括所有類型的成員,但是他的群限範圍只限於同網域的資源。

在管理網域資源時,一般都會把存取權限指派給網域區域群組,而不會直接指派給使用者帳戶。

PS網域區域群組只限於存取同網域的資源,無法使用其它網域的資源

 

 

通用群組:

通常使用通用群組來組織需要相同權限的使用者帳戶。

包含以下2種成員

1.      同網域的使用者帳戶

2.      若網域功能等級設為windows2000純粹模式windows server2003模式,則可包含同網域的其他通用群組。

通用群組的群限範圍是整個樹系,我們可以將A網域資源的存取權限,指派給BCD等網域的通用群組。但是在實際的應用上,最好是把通用群組加到網域區域群組中,而不要直接把權限指派給通用群組。

PS:通用群組是用來組織某個網域的使用者帳戶,讓這些帳戶一次獲得相同的權限。

 

萬用群組:

包含以下3種成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      任何網域的萬用群組

萬用群組和通用群組一樣,可以指派樹系中任何資源的權限給它。萬用群組和通用群組是差不多的,但是差別在於萬用群組主要用於單一網域的環境下,而通用指能用在多網域的情況下。

 

由於跨網域存取資訊時,會利用通用類別目錄(Global Catalog)來查詢資源所在的位置。所以不同網域的通用類別目錄間彼此需要相互複寫資料,以確保資料的同步。

 

萬用群組的特性之一,就是會把群組名稱以及包含的成員都發佈到通用類別目錄上。若有成員變動,則會觸發通用類別目錄之間的複寫動作,造成網路可觀的負載。然而,通用群組網域區域群組則只有群組名稱會記錄於通用類別目錄,群組包含的成員資訊不會存於通用類別目錄,所以無論成員如何變動,都不會影想到通用類別目錄的內容而觸發複寫機制。

PS:因此在多網域的環境,為了控制網路頻寬,利用通用群組來組織帳戶還是有其必要性。

 

 

接下來介紹如何設定

新增群組

【開始】【系統管理工具】Active Directory 使用者及電腦】【右鍵User→【新增】→【群組】


 

群組名撐 : 輸入想要建立的名稱

群組領域 : 選擇想要建立的群組領域


 

用相同的步驟,建立一個新的通用群組【Products】,建立完成後就會在下圖看到這兩個群組。

和使用者帳戶一樣,建立群組時,系統也會自動指派給群組一個獨一無二的SID


 

使用者加入通用群組

通用群組是用來組織需要相同群限的使用者帳戶。因此新增群組之後,就可以把使用者加入群組中。

將要加入群組的使用者【右鍵內容】


 

【成員】【新增】【輸入名稱】

如果忘了要輸入的名稱的話,可以點選下方的【進階】可以查詢


 

 加入使用者名稱後會在這邊看到剛剛所加入的。


 

把通用群組加入網域區域群組

把【Products】通用群組加到【Printers】網域區域群組

請對【Products】右鍵【內容】

【成員隸屬】【新增】【輸入名稱】

如果忘了要輸入的名稱的話,可以點選下方的【進階】可以查詢


 

加入使用者名稱後會在這邊看到剛剛所加入的。


 

如了可以用【Products】的成員隸屬加入【Printers】外,也可以,【反向操作】

Printers右鍵】→【內容】→【成員】→【新增加入使用者】


也就是說要把【Products】通用群組加入【Printers】網域區域群組有兩種方式

1.      在【Products】的成員隸屬頁次中,新增【Printers】群組。

2.      在【Printers】的成員頁次中,新增【Products】群組。

 

 

將資源存取權限指派給網域區域群組

再來要說明如何把資源的權限指派給群組。

假設如果要將文件夾的使用權限指派給【Printers】網域區域群組,讓【Printers】的成員都能使用此文件夾。

對此文件夾【右鍵內容】


 

 

【安全性】→【輸入要加入的使用者名稱】→【確定】


 

此時會在安全性這邊看到剛剛所加入進去的使用者

而在下方權限處,就可設定所要給他的使用權限


 

認識群組類型

Windows server 2003支援安全性群組發佈群組2種群組類型 :

安全性群組 :

安全性群組和使用者帳戶一樣,每個都會有獨一無二的SID,所以可以直接將資源的使用權限指派給安全性群組。

1.      能夠獲得資源的使用權限

2.      能夠組織其成員的電子郵件地址

3.      成為電子郵件清單

實際上安全性群組也具有發佈群組的功能。也就是可以把安全性群組當成發佈群組使用

 

發佈群組 :

發佈群組沒有SID,所以不能用來指派物件的存取權限,發佈群組的功能是組織其成員的MAIL,成為MAIL清單,我們可以利用MAIL處理程式寄信給發佈群組的所有成員

1.      能夠組隻其成員的電子郵件地址

2.      成為電子郵件清單

PS:此程式必須支援Active Directory才能使用發佈群組


此外在windows 2000 純粹模式或windows server 2003模式中,系統管理員可以隨時轉變群組類型。

 

 

參考書籍 (若想更加了解可自行購買)

Windows Server 2003 Active Dirctory 建置指南

Windows Server 2003安裝與管理指南

 

 

關於作者

一個半路殺出來的傻小子,憑著一股傻勁努力的學習、嘗試、分享。希望能用自己微薄之力,替IT界和資訊界盡一點心力。單憑一己之力始終還是有限,歡迎和我有相同理念的夥伴一同加入一同努力。

評論

此文章尚無評論。

發表評論

*