组是指用户与计算机帐户、联系人以及其他可以作为单个单位管理的组的集合。属于特定组的用户和计算机称为组成员。

Active Directory 域服务 (AD DS) 中的组都是驻留在域和组织单位 (OU) 容器对象中的目录对象。AD DS 在安装时会提供一组默认组。它还提供了用于创建组的选项。

使用 AD DS 中的组可以执行以下操作:

  • 通过将共享资源的权限分配给组而不是单个用户来简化管理。将权限分配给组会将对资源的相同访问权限分配给该组的所有成员。

  • 通过组策略将用户权限一次性分配给组来进行委派管理。然后可以向组添加那些希望与组具有相同权利的成员。

  • 创建电子邮件通讯组列表。

组的特征体现在它们的作用域和类型上。组作用域确定组在域或林内的应用程度。组类型确定可以使用组来分配共享资源的权限(对于安全组),还是仅将组用于电子邮件通讯组列表(对于通讯组)。

此外,还存在您无法修改或查看其成员身份的组。这些组称为特殊身份组。根据不同环境,它们代表了不同时间内的不同用户。例如,Everyone 组是代表所有当前网络用户的特殊身份组,包括来自其他域的来宾和用户。

以下部分提供有关 AD DS 中的组帐户的其他信息。

默认组

默认组(如 Domain Admins 组)是在创建 Active Directory 域时自动创建的安全组。您可以使用这些预定义组来帮助控制共享资源的访问权限,并委派特定的全域性管理角色。

会自动为许多默认组分配一组用户权限,这些用户权限将允许组成员在域中执行特定的操作,如登录到本地系统或备份文件和文件夹。例如,Backup Operators 组的成员有权在域中为所有域控制器执行备份操作。

将用户添加到组时,该用户将获得以下权限:

  • 分配给组的所有用户权限

  • 分配给组的有关任何共享资源的所有权限

默认组位于 Builtin 容器和 Users 容器中。Builtin 容器中的默认组具有“本地内置”组作用域。不能更改它们的组作用域和组类型。Users 容器中包含通过全局作用域定义的组和通过本地域作用域定义的组。您可以将位于这些容器中的组移动到域内的其他组或 OU 中,但不能将它们移动到其他域中。

有关默认组的详细信息,请参阅“默认组”(https://go.microsoft.com/fwlink/?LinkId=131422)(可能为英文网页)。

组作用域

组的特征体现在用来标识组在域树或林中的应用程度的作用域。有三个组作用域:本地域、全局和通用。

域本地组

域本地组的成员可以包括 Windows NT、Windows 2000、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 域中的其他组和帐户。仅能在域内为这些组的成员分配权限。

具有本地域作用域的组帮助您定义和管理单一域内的资源访问权限。这些组的成员可以包括下列组:

  • 任何域的帐户

  • 任何域的全局组

  • 任何域的通用组

  • 域本地组,但仅限于与父域本地组位于同一域的本地组

  • 上面任意组的组合

例如,若要授予五个用户访问特定打印机的权限,您可以在打印机权限列表中添加五个用户帐户。但是,如果您以后要授予这五个用户访问新打印机的权限,则必须重新在新打印机权限列表中指定这五个帐户。

稍作计划之后,通过创建具有本地域作用域的组并为其分配访问打印机的权限,即可简化此日常管理任务。将这五个用户帐户放在具有全局作用域的组中,并将此组添加到具有本地域作用域的组。若要授予这五个用户访问新打印机的权限,可以为具有本地域作用域的组分配新打印机的访问权限。具有全局作用域的组的所有成员都会自动获得对新打印机的访问权限。

全局组

全局组的成员可以只包括与父全局组位于同一域的帐户和与父全局组位于同一域的全局组。可以在林中的任何域为这些组成员分配权限。

使用具有全局作用域的组来管理需要进行日常维护的目录对象,如用户和计算机帐户。由于具有全局作用域的组在自已的域外不会被复制,因此您可以经常更改具有全局作用域的组中的帐户,且不会对全局编录产生重复流量。

尽管权限分配只在分配它们的域内有效,但通过在多个相应域中统一应用具有全局作用域的组,您可以合并对具有类似用途的帐户的引用。这将使跨域范围的组管理简化和合理化。例如,在具有两个域(Europe 和 UnitedStates)的网络中,如果 UnitedStates 域中存在名为 GLAccounting 的具有全局作用域的组,那么在 Europe 域中也应存在名为 GLAccounting 的组(除非 Europe 域中不存在记帐功能)。

重要

当您对复制到全局编录的域目录对象指定权限时,强烈建议您使用全局组或通用组,而不要使用本地域组。

通用组

通用组的成员可以包括下列组:

  • 此通用组所在林中的任何域中的帐户

  • 此通用组所在林中的任何域中的全局组

  • 此通用组所在林中的任何域中的通用组

可以在域树或林中的任何域为这些组成员分配权限。使用具有通用作用域的组来合并跨域的组。为此,向具有全局作用域的组添加帐户,并在具有通用作用域的组内嵌套这些组。使用此策略时,对具有全局作用域的组成员身份的任何更改都不会影响具有通用作用域的组。

例如,在具有两个域(Europe 和 UnitedStates)的网络中,如果每个域中都存在名为 GLAccounting 的具有全局作用域的组,则创建名为 UAccounting 的具有通用作用域的组,该组的成员包括两个 GLAccounting 组,即 UnitedStates\GLAccounting 和 Europe\GLAccounting。然后可以在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组成员身份的任何更改都不会导致对 UAccounting 组的复制。

不要经常更改具有通用作用域的组的成员身份。对这类组的成员身份的任何更改都会导致该组的全部成员身份被复制到林中的各个全局编录中。

组类型

AD DS 中有两种组类型:通讯组和安全组。可以使用通讯组来创建电子邮件通讯组列表。可以使用安全组向共享资源分配权限。

通讯组只能用于电子邮件应用程序(如 Microsoft Exchange Server 2007)向用户集合发送电子邮件。通讯组没有启用安全功能,这意味着它们不能列在自定义访问控制列表 (DACL) 中。如果需要用于控制共享资源访问权限的组,则创建安全组。

当谨慎使用安全组时,它们会提供一种有效的方法来分配网络资源的访问权限。使用安全组可以执行以下操作:

  • 将用户权限分配给 AD DS 中的安全组。

    将用户权限分配给安全组,以确定该组成员在域(或林)的作用域内可执行的操作。在安装 AD DS 时会自动将用户权限分配给某些安全组,以便帮助管理员定义人员在域中的管理角色。例如,添加到 AD DS 中 Backup Operators 组的用户能够备份和还原域中各个域控制器上的文件和目录。

  • 将资源权限分配给安全组。

    权限与用户权限不同。权限确定可以访问共享资源的对象。并确定访问级别,如“完全控制”。可以使用安全组来管理对共享资源的访问和权限。将自动分配某些域对象上设置的权限,以允许针对默认安全组(如 Account Operators 组或 Domain Admins 组)的各种访问级别。

与通讯组类似,安全组也可以用作电子邮件实体。将电子邮件发送到安全组时,会将该邮件发送到该组的所有成员。

特殊身份

除了 Users 容器和 Builtin 容器中的组之外,运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的服务器还包括数种特殊身份。为方便起见,通常将这些身份称为组。这些特殊组不含可以修改的特定成员身份。但根据不同环境,它们可以代表不同时间内的不同用户。下列组表示特殊身份:

  • 匿名登录

    此组所代表的用户和服务在不使用帐户名、密码或域名的情况下通过网络访问计算机及其资源。在运行 Windows NT 和早期版本的计算机上,“匿名登录”组是 Everyone 组的默认成员。但在运行 Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 的计算机上,“匿名登录”组在默认情况下不是 Everyone 组的成员。

  • Everyone

    此组代表了所有当前网络用户,包括来自于其他域的来宾和用户。无论用户何时登录到网络上,都会自动将该用户添加到 Everyone 组。

  • 网络

    此组所代表的用户当前正通过网络访问给定的资源,这些用户与通过本地登录到资源所在的计算机来访问该资源的用户相对。无论用户何时通过网络访问给定的资源,都会自动将该用户添加到“网络”组。

  • 交互

    此组代表当前已登录到特定计算机,并且正在访问位于该计算机上的给定资源的所有用户,他们与通过网络访问资源的用户相对。无论用户何时访问他们当前已登录的计算机上的给定资源,都会自动将该用户添加到“交互”组。

尽管可以将资源的权限分配给特殊身份成员,但不能修改或查看其特殊成员身份。组作用域不适用于特殊身份成员。无论用户何时登录或访问特定资源,都会自动为他们分配这些特殊身份。

可以创建组的位置

在 AD DS 中,组是在域中创建的。可以使用 Active Directory 管理中心创建组。具有必需的权限之后,您可以在林的根域、林的任何其他域或 OU 中创建组。

除了创建组所在的域之外,组的特征还体现在它的作用域上。组的作用域将确定下列域:

  • 可以从中添加成员的域

  • 从中分配给组的权限均有效的域

基于组所需要的管理,选择创建该组所在的特定域或 OU。例如,如果您的目录有多个 OU,且每个 OU 具有不同的管理员,则可能要在这些 OU 内创建具有全局作用域的组,以便管理员在其所在的 OU 中管理用户的组成员身份。如果组是控制 OU 之外的访问权限所必需的,则可以将 OU 中的组嵌套到具有通用作用域的组(或其他具有全局作用域的组)中,您在林中的任何地方都可以使用这些组。

如果将域功能级别设置为 Windows 2000 本机或更高级别,则该域将包含 OU 的层次结构,而将管理委派给各个 OU 的管理员后,可能会更有效地嵌套具有全局作用域的组。例如,如果 OU1 包含 OU2 和 OU3,则 OU1 中具有全局作用域的组的成员可以包括 OU2 和 OU3 中具有全局作用域的组。在 OU1 中,管理员可以在其中添加或删除组成员,OU2 和 OU3 的管理员可以在各自的 OU 中添加或删除帐户的组成员,而无需具有 OU1 中具有全局作用域的组的管理权限。

注意

可以在域内移动组。但只能在域之间移动具有通用作用域的组。将组移动到其他域时,分配给具有通用作用域的组的权限都会丢失,因此必须重新进行分配。

其他参考

目录