今天因为创建一个跨域的组,重新温习了一下最基本的AD知识,所谓温故而知新,把温习的结果整理了一下。AD里面的group类型从范围来说分为global, universal 和 local domain, 从类型来分分为security和distribution。后面的类型理解很容易,security就是纯粹用来权限访问的,而distribution主要是用来设定群发邮件。前面的类型就稍微复杂一些了。

根据论坛上微软讲师的推荐记忆,可以按照以下方式理解

A-> G -> U -> LD -> P

A就是账户,G是global group,U是universal group, LD 是local domain group,P代表权限划分

前者可以是后者的成员,但是不能倒过来;同时因为同样类型的组也可以是同类型组的成员,上面的链接可以扩展成

A->G->G->U->U->LD->LD->P

对于G而已,他的成员范围只能是同一个域;U的成员可以扩展到整个森;而LD的成员可以是任何的域或者森;

比如说我有A域和B域,A域试图访问B域的资源,那么常见的做法,可以在A创建一个Global或者Universal的组,然后B创建一个Local domain的组,把A创建的组作为B组的成员,那么A组的成员即可访问B组的资源。

为了验证这个理论,我做了个小测试, 我创建了4个组如下

TEST1和TEST4都是 global 类型

因此添加成员的时候,只能看见同一个域下的成员

而且只能看见同为Global类型的对象

TEST2是Domain Local

所以能够看见所有的域,和森的结构

也能看见所有类型的组

TEST3 是Universal的

所以只能看见森里面的域,注意和TEST1的区别,前者只能看见自己,这个可以看见整个森的结构和其他的域(虽然我只创建了一个)

然后他只能看见Global和Universal的组