什麼是群組，簡單來說群組可看成一個邏輯單位，它包含一群使用者帳戶或是其它的群組。將權限指派給群組後，任何加入這個群組的帳戶或其它群組，都會擁有這個群組具有的權限。

在網域內的群組，和使用者帳戶一樣具有獨一無二的SID，因此我們可以把權限指派給群組。

 

何謂群組領域 :

不管是哪一種群組，都有其群組領域(Group Scope)。簡單來說【群組領域】就是指這個群組的「使用範圍」。

1.      能用於指派位於何處 (網域或樹系) 資源權限

2.      能放在哪個領域 (網域或樹系) 的其它群組之中

3.      能包含來自何處的使用者帳戶及群組

在windows server2003中一共有3種群組領域分別為 :

網域區域 (Domain Local):使用範圍是本網域的群組，此群組簡稱為網域區域群組。

通用群組(Global):指派權限時使用範圍可及於樹系，但只能含同網域其它帳戶或群組，此群組稱為

                            通用群組

萬用群組(Universal): 使用範圍及於整個樹系，此群組稱為萬用群組。

   (對於這三種群組後面會有較詳細的說明)

 

 

網域區域群組: 

包含以下成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      若網域功能等級設為windows2000純粹模式或windows server2003模式，則還可以包含任何網域的萬用群組及同網域的網域區域群組。

雖然網域區域群組幾乎可以包括所有類型的成員，但是他的群限範圍只限於同網域的資源。

在管理網域資源時，一般都會把存取權限指派給網域區域群組，而不會直接指派給使用者帳戶。

PS網域區域群組只限於存取同網域的資源，無法使用其它網域的資源

 

 

通用群組:

通常使用通用群組來組織需要相同權限的使用者帳戶。

包含以下2種成員

1.      同網域的使用者帳戶

2.      若網域功能等級設為windows2000純粹模式或windows server2003模式，則可包含同網域的其他通用群組。

通用群組的群限範圍是整個樹系，我們可以將A網域資源的存取權限，指派給B、C、D等網域的通用群組。但是在實際的應用上，最好是把通用群組加到網域區域群組中，而不要直接把權限指派給通用群組。

PS:通用群組是用來組織某個網域的使用者帳戶，讓這些帳戶一次獲得相同的權限。

 

萬用群組:

包含以下3種成員

1.      任何網域的使用者帳戶

2.      任何網域的通用群組

3.      任何網域的萬用群組

萬用群組和通用群組一樣，可以指派樹系中任何資源的權限給它。萬用群組和通用群組是差不多的，但是差別在於萬用群組主要用於單一網域的環境下，而通用指能用在多網域的情況下。

 

由於跨網域存取資訊時，會利用通用類別目錄(Global Catalog)來查詢資源所在的位置。所以不同網域的通用類別目錄間彼此需要相互複寫資料，以確保資料的同步。

 

萬用群組的特性之一，就是會把群組名稱以及包含的成員都發佈到通用類別目錄上。若有成員變動，則會觸發通用類別目錄之間的複寫動作，造成網路可觀的負載。然而，通用群組和網域區域群組則只有群組名稱會記錄於通用類別目錄，群組包含的成員資訊不會存於通用類別目錄，所以無論成員如何變動，都不會影想到通用類別目錄的內容而觸發複寫機制。

PS:因此在多網域的環境，為了控制網路頻寬，利用通用群組來組織帳戶還是有其必要性。

 

 

接下來介紹如何設定

新增群組

【開始】→【系統管理工具】→【Active Directory 使用者及電腦】→【右鍵User】→【新增】→【群組】

 

群組名撐 : 輸入想要建立的名稱

群組領域 : 選擇想要建立的群組領域

 

用相同的步驟，建立一個新的通用群組【Products】，建立完成後就會在下圖看到這兩個群組。

和使用者帳戶一樣，建立群組時，系統也會自動指派給群組一個獨一無二的SID

 

使用者加入通用群組

通用群組是用來組織需要相同群限的使用者帳戶。因此新增群組之後，就可以把使用者加入群組中。

將要加入群組的使用者【右鍵內容】

 

【成員】→【新增】→【輸入名稱】

如果忘了要輸入的名稱的話，可以點選下方的【進階】可以查詢

 

 加入使用者名稱後會在這邊看到剛剛所加入的。

 

把通用群組加入網域區域群組

把【Products】通用群組加到【Printers】網域區域群組

請對【Products】右鍵【內容】

【成員隸屬】→【新增】→【輸入名稱】

如果忘了要輸入的名稱的話，可以點選下方的【進階】可以查詢

 

加入使用者名稱後會在這邊看到剛剛所加入的。

 

如了可以用【Products】的成員隸屬加入【Printers】外，也可以，【反向操作】

【Printers右鍵】→【內容】→【成員】→【新增加入使用者】

也就是說要把【Products】通用群組加入【Printers】網域區域群組有兩種方式

1.      在【Products】的成員隸屬頁次中，新增【Printers】群組。

2.      在【Printers】的成員頁次中，新增【Products】群組。

 

 

將資源存取權限指派給網域區域群組

再來要說明如何把資源的權限指派給群組。

假設如果要將文件夾的使用權限指派給【Printers】網域區域群組，讓【Printers】的成員都能使用此文件夾。

對此文件夾【右鍵內容】

 

 

【安全性】→【輸入要加入的使用者名稱】→【確定】

 

此時會在安全性這邊看到剛剛所加入進去的使用者

而在下方權限處，就可設定所要給他的使用權限

 

認識群組類型

Windows server 2003支援安全性群組和發佈群組這2種群組類型 :

安全性群組 :

安全性群組和使用者帳戶一樣，每個都會有獨一無二的SID，所以可以直接將資源的使用權限指派給安全性群組。

1.      能夠獲得資源的使用權限

2.      能夠組織其成員的電子郵件地址

3.      成為電子郵件清單

實際上安全性群組也具有發佈群組的功能。也就是可以把安全性群組當成發佈群組使用

 

發佈群組 :

發佈群組沒有SID，所以不能用來指派物件的存取權限，發佈群組的功能是組織其成員的MAIL，成為MAIL清單，我們可以利用MAIL處理程式寄信給發佈群組的所有成員

1.      能夠組隻其成員的電子郵件地址

2.      成為電子郵件清單

PS:此程式必須支援Active Directory才能使用發佈群組

此外在windows 2000 純粹模式或windows server 2003模式中，系統管理員可以隨時轉變群組類型。

 

 

參考書籍 (若想更加了解可自行購買)

Windows Server 2003 Active Dirctory 建置指南

Windows Server 2003安裝與管理指南