Windows Server 2003拥有两种类型的组:
安全组:用于分配网络资源的访问许可。
通讯组:用于
其中安全组可以用作通讯组,但是通讯组是决不能做为安全组来使用的。
Windows Server 2003 域的作用级别:
Windows 2000 mixed:支持NT4,2000以及2003的DC
Windows 2000 native:支持2000以及2003的DC
Windows Server 2003 interim:支持NT4,2000,2003的DC
Windows Server 2003:支持2003的DC
Windows Server 2003组作用域:
组作用域定义了非配给组成员的权限。在Windows 2003的组中安全组以及通讯组均拥有以下3个组作用域:
域本地:主要用于为全局组分配本地域资源的访问权限。
- 存在于所有mixed,interim以及native功能级别的域环境以及森林中。
- 仅仅在win 2000 native以及win 2003功能级别上可用。当域处于mixed功能级别的时候域级别的组在域控制器上仅仅作为本地组。
- 可以包含森林中的域、其他森林中信任域、以及可信任的下层与中的成员。
- 在win 2000 native以及win 2003功能级别的域中,可以提供(本组所在)域中所有win 2003中资源的访问权限。
本地(计算机级别的组):主要用于NT4的向后兼容,在windows server 2003域成员上拥有本地用户以及组,但是DC上面不使用本地组。
- 可以包含森林以及其他森林中的信任域总的成员。
- 本地组仅仅拥有计算机级别的访问权限,仅仅可以使用它访问他所在计算机上的资源。
全局:主要用于为个人安全实体或直接访问许可提供分类过的本地域成员。通常,全局组用于收集域中用户以及计算机信息,以及共享角色,职务等功能。
- 存在于所有mixed,interim,以及native功能级别的域以及森林中。
- 仅包含当前与众的成员。
- 可以被作为计算机级别或者本地域级别的组。
- 可以被任何域授权。
- 可以包含其他全局域(仅仅在win2000 native以及win 2003 域功能级别有效)
通用:主要用于在所有信任域中获得资源的访问权限。但是通用域在win 2000以及 win 2003与功能级别上仅能作为安全组类型。
- 可以包含森林中所有域中的成员。
- 在win2000 native以及win2003与功能级别上,通用组可以被本地域以及存在信任关系的其他森里中域授予权限。
组之间的转换
在创建组的时候就已经决定的组的作用域。然而,在win 2000 native以及 2003与功能级别的域中,没有被其他同等作用范围的组包含的与 domain local以及全局组可以被转换为通用组。例如:一个是另外一个全局组的成员的全局组是不能够被转换成通用组的。
|
Group Scope |
Allowed Objects |
|
Windows 2000 native |
Or Windows Server 2003 functional level domain |
|
Domain Local |
Computer accounts, users, global groups, and universal groups from any forest or trusted domain. Domain local groups from the same domain. Nested domain local groups in the same domain |
|
Global |
Users, computers and global groups from same domain. Nested global(in same domain), domain local, or universal groups |
|
Universal |
Universal groups ,global groups from the same domain. Nested global(in the same domain),domain local groups in the forest. Nested global, domain local or universal groups. |
|
Windows 2000 mixed |
Or Windows Server 2003 interim functional level domain |
|
Domain Local |
Computer accounts, users, global groups from any domain. Cannot be nested. |
|
Global |
Only users and computers from same domain. Cannot be nested. |
|
Universal |
Not available. |
特权
系统中同时存在一些被系统管理的特殊组---特权。特权是不可以被创建或删除的,另外他们的成员是不可以被管理员修改的。同时特权是不会出现在AD下用户以及计算机snapin或者其他的计算机管理工具中,但是可以在ACL中授权。以下对windows server 2003中部分特权的描述:
|
身份 |
描述 |
|
Everyone |
表示所有当前的网络用户,包括guests以及其他域的用户。当一个用户登录到网络,那么该用户被自动的添加到Everyone组中。 |
|
Network |
表示所有通过网络访问给定资源的用户。当用户通过网络访问给定资源,该用户被自动的添加到Network组中。 |
|
Interactive |
表示所有登录特定计算机以及访问计算机上给定资源的所有用户。当一个用户访问他们已经登录的计算机上的资源时,这些用户会被自动的添加到 Interactive 组中。 |
|
Anonymous Logon |
匿名登录指任何使用网络资源但并未通过验证的登录。 |
|
Authenticated Users |
改组包含所有通过正确的帐号被验证访问特定的网络。授权的时候,您可以使用Authenticated users组代替Everyone来拒绝资源的匿名访问。 |
|
Creator Owner |
指创建或拥有该资源的用户。 |
|
dialup |
指任何通过拨号连接到网络的任何人。 |
英文水平有点咯,想看原版的详见MCSE-Training kit Chap-4 lesson 1.