群組是使用者、電腦帳戶、連絡人與其他可視為單一單位管理之群組的集合。屬於特定群組的使用者與電腦稱為群組成員。

Active Directory 網域服務 (AD DS) 中的群組,就是位於網域與組織單位 (OU) 容器物件中的目錄物件。AD DS 於安裝時會提供一組預設群組。此外,還提供用以建立群組的選項。

您可以使用 AD DS 中的群組:

  • 將共用資源的權限指派給群組而非個別使用者,以簡化管理。將權限指派給群組,即可將資源的相同存取權指派給該群組的所有成員。

  • 透過群組原則將使用者權限一次指派給群組,以委派管理。接著,您可以新增成員至要與該群組擁有相同權利的群組。

  • 建立電子郵件通訊群組清單。

群組會依其領域與類型加以區分。群組的領域可決定網域或樹系內套用群組的範圍。群組類型則決定您可使用群組來指派共用資源的權限 (針對安全性群組),還是只能使用電子郵件通訊群組清單的群組 (針對發佈群組)。

也有某些您無法修改或檢視成員資格的群組。這些群組稱為特殊身分。視情況而定,它們在不同的時間可能代表不同的使用者。例如,Everyone 群組為代表所有目前網路使用者的特殊身分,包括來自其他網域的來賓與使用者在內。

以下幾節將提供 AD DS 中各群組帳戶的其他相關資訊。

了解預設群組

預設群組 (如 Domain Admins 群組) 是您在建立 Active Directory 網域時自動建立的安全性群組。您可以使用這些預先定義的群組加強控制共用資源的存取權,以及委派特定網域範圍的系統管理角色。

有許多預設群組會自動被指派一組使用者權限,用以授權給群組成員在網域中執行特定的動作,如登入本機系統或備份檔案與資料夾。例如,Backup Operators 群組的成員有權執行網域中所有網域控制站的備份操作。

當您新增使用者至群組時,使用者將獲得下列項目:

  • 所有指派給群組的使用者權限

  • 所有指派給群組的任何共用資源權限

位於 Builtin 容器與 Users 容器中的預設群組。Builtin 容器中的預設群組具有「內建本機」群組領域。其群組領域與群組類型無法變更。Users 容器中含有以全域領域定義的群組,和以網域本機領域定義的群組。您可以將位於這些容器中的群組移至網域內的其他群組或 OU,但無法將其移至其他網域。

如需預設群組的相關資訊,請參閱<預設群組>(https://go.microsoft.com/fwlink/?LinkId=131422 (可能為英文網頁))。

了解群組領域

領域可識別網域樹狀目錄或樹系內套用群組的範圍,而群組可藉此領域加以區分。群組領域共有三種:網域本機、全域與萬用。

了解網域本機群組

網域本機群組的成員可包含來自 Windows Server 2003、Windows 2000、Windows NT、Windows Server 2008 及 Windows Server 2008 R2 網域的其他群組與帳戶。這些群組的成員僅可被指派網域內的權限。

具有網域本機領域的群組有助於您定義及管理單一網域內各項資源的存取權。這些群組可將下列項目當做其成員:

  • 具有全域領域的群組

  • 具有萬用領域的群組

  • 帳戶

  • 具有網域本機領域的其他群組

  • 上述各項的任意組合

例如,若要將特定印表機的存取權指派給五位使用者,您可以將這五個使用者帳戶全都新增到印表機權限清單中。不過,若您稍後要將新印表機的存取權指派給這五位使用者,即必須再次將這五個帳戶全都指派到新印表機的權限清單中。

若稍加規劃,您即可藉由建立具有網域本機領域的群組,並為其指派印表機的存取權限,來簡化此例行系統管理工作。將五個使用者帳戶放入具有全域領域的群組中,並將此群組新增至具有網域本機領域的群組。當您要將新印表機的存取權指派給這五位使用者時,請將新印表機的存取權限指派給具有網域本機領域的群組。在具有全域領域的群組中,所有成員皆會自動獲得新印表機的存取權。

了解全域群組

全域群組的成員僅可包含來自已定義群組之網域的其他群組與帳戶。這些群組的成員可被指派樹系中任何網域內的權限。

使用具有全域領域的群組來管理需要每日維護的目錄物件,例如:使用者與電腦帳戶。由於具有全域領域的群組不會在其所屬網域之外進行複寫,因此您可以在具有全域領域的群組中頻繁地變更帳戶,而不會對通用類別目錄產生複寫流量。

雖然權利與權限的指派效力僅限於所指派的網域內,但藉由在所有適當的網域統一套用具有全域領域的群組,您即可整合目的相似的帳戶參照。如此將可簡化及合理處理各網域的群組管理。以具有 Europe 與 UnitedStates 這兩個網域的網路為例,若 UnitedStates 網域中有個具有全域領域的群組 GLAccounting,則 Europe 網域中也應該有個名為 GLAccounting 的群組 (除非 Europe 網域中沒有此會計函數)。

重要

當您為複寫至通用類別目錄的網域目錄物件指派權限時,強烈建議您使用全域群組或萬用群組,而不要使用網域本機群組。

了解萬用群組

萬用群組的成員可包含來自網域樹狀目錄或樹系中任何網域的其他群組與帳戶。這些群組的成員可被指派網域樹狀目錄或樹系中任何網域內的權限。

使用具有萬用領域的群組可整合跨越多個網域的群組。若要執行此作業,請將帳戶新增至具有全域領域的群組,再將這些群組放入具有萬用領域的群組中。當您採用此策略時,具有全域領域之群組中的任何成員資格變更,都不會影響到具有萬用領域的群組。

例如,在具有 Europe 與 UnitedStates 這兩個網域、且每個網域中都有個具有全域領域的群組 GLAccounting 的網路中,建立具有萬用領域的群組 UAccounting,而該群組的成員則是兩個 GLAccounting 群組 (UnitedStates\GLAccounting 與 Europe\GLAccounting)。接著,您將可在企業中隨處使用 UAccounting 群組。個別 GLAccounting 群組的成員資格如有任何變動,將不會導致複寫 UAccounting 群組。

請不要經常變更具有萬用領域之群組的成員資格。此類群組的成員資格如有任何變動,都會致使群組的整體成員資格複寫至樹系中的每個通用類別目錄。

了解群組類型

AD DS 中共有兩種群組類型:發佈群組與安全性群組。使用發佈群組可建立電子郵件發佈清單,而安全性群組則可用以指派共用資源的權限。

發佈群組只能與電子郵件應用程式搭配使用 (如 Microsoft Exchange Server 2007),以便將電子郵件傳送給使用者集合。發佈群組不具安全性功能,亦即這類群組無法列於判別存取控制清單 (DACL) 中。如需可控制共用資源存取權的群組,請建立安全性群組。

在謹慎使用之下,安全性群組可提供有效的方法來指派您網路上的資源存取權。使用安全性群組可讓您:

  • 指派使用者權限給 AD DS 中的安全性群組。

    您可以指派使用者權限給安全性群組,以決定該群組的哪些成員可在網域 (或樹系) 的領域內執行作業。在安裝 AD DS 時,使用者權限會自動指派給某些安全性群組,以協助系統管理員定義網域中的個人系統管理角色。例如,使用者在新增至 Active Directory 中的 Backup Operators 群組後,即有能力備份及還原網域中各網域控制站上的檔案與目錄。

  • 指派資源的權限給安全性群組。

    權限與使用者權限有所不同。權限可決定哪些人能存取共用資源,還可決定存取層級,如「完全控制」。您可使用安全性群組來管理共用資源的存取權與權限。系統會自動指派網域物件上所設定的某些權限,以允許預設安全性群組 (如 Account Operators 群組或 Domain Admins 群組) 的各種存取層級。

與發佈群組相同,安全性群組亦可做為電子郵件實體。傳送電子郵件訊息給群組時,該訊息也會傳送給群組中的所有成員。

特殊身分

除了 Users 容器與 Builtin 容器中的群組以外,執行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的伺服器還包含數個特殊身分。為方便起見,這些身分通常統稱為群組。這些特殊群組不含可修改的特定成員資格。但視情況而定,它們在不同的時間可能代表不同的使用者。下列群組代表特殊身分:

  • Anonymous Logon

    此群組代表可透過網路存取電腦及其資源,而不需使用帳戶名稱、密碼或網域名稱的使用者與服務。在執行 Windows NT 與更舊版本的電腦上,Anonymous Logon 群組是 Everyone 群組的預設成員。在執行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的電腦上,Anonymous Logon 群組不是 Everyone 群組的預設成員。

  • Everyone

    此群組代表目前所有的網域使用者,包括來自其他網域的來賓與使用者在內。每當使用者登入網路時,便會自動新增至 Everyone 群組。

  • Network

    此群組代表目前透過網路存取指定資源的使用者,相對於以本機方式登入資源所在電腦以存取資源的使用者。每當使用者透過網路存取指定的資源時,便會自動新增至 Network 群組。

  • Interactive

    此群組代表目前登入特定電腦以及存取位於該電腦之指定資源的所有使用者,相對於透過網路存取資源的使用者。每當使用者存取目前所登入之電腦的指定資源時,便會自動新增至 Interactive 群組。

雖然您可將資源的權利與權限指派給特殊身分,但無法修改或檢視成員資格。群組領域不適用於特殊身分。每當使用者登入或存取特定資源時,便會自動指派給這些特殊身分。

了解可建立群組的位置

在 AD DS 中,群組會建立於網域中。您可以使用 [Active Directory 使用者和電腦] 建立群組。如有必要的權限,您即可在樹系的根網域、樹系的任何其他網域或 OU 中建立群組。

除了其建立所在的網域,群組亦可依其領域加以區分。群組的領域可決定下列事項:

  • 可從中新增成員的網域

  • 指派給群組的權利與權限均有效的網域

根據群組所需的管理,選擇您建立群組所在的特定網域或 OU。例如,若您的目錄中有多個 OU,而且每個 OU 都具有不同的系統管理員,您即可在這些 OU 內建立具有全域領域的群組,以便系統管理員管理其各自 OU 中使用者的群組成員資格。若 OU 以外的存取控制需要群組,您可將 OU 中的群組放入具有萬用領域的群組或具有全域領域的其他群組 (您可於樹系中別處使用)。

如果網域功能等級設定為 Windows?2000 原生或更新版本,網域中包含 OU 的階層,且系統管理工作已委派給每個 OU 的系統管理員,則放入具有全域領域的群組可能會更有效。例如,若 OU1 包含 OU2 與 OU3,則 OU1 中具有全域領域的群組可將 OU2 與 OU3 中具有全域領域的群組視為其成員。在 OU1 中,系統管理員可在 OU1 中新增或移除群組成員,而 OU2 與 OU3 的系統管理員可在其本身的 OU 中新增或移除帳戶的群組成員,無需具備 OU1 中具有全域領域之群組的系統管理權限。

附註

您可以移動網域內的群組。但是,只有具有萬用領域的群組可在不同的網域間移動。當具有萬用領域的群組移至其他網域時,該群組會喪失受指派的權利與權限,而必須重新予以指派。

其他參考資料

目錄