理解Window组类型及其作用域
2009-07-27 17:58
375 查看
Windows Server 2003拥有两种类型的组:
安全组:用于分配网络资源的访问许可。
通讯组:用于
其中安全组可以用作通讯组,但是通讯组是决不能做为安全组来使用的。
Windows Server 2003 域的作用级别:
Windows 2000 mixed:支持NT4,2000以及2003的DC
Windows 2000 native:支持2000以及2003的DC
Windows Server 2003 interim:支持NT4,2000,2003的DC
Windows Server 2003:支持2003的DC
Windows Server 2003组作用域:
组作用域定义了非配给组成员的权限。在Windows 2003的组中安全组以及通讯组均拥有以下3个组作用域:
域本地:主要用于为全局组分配本地域资源的访问权限。
存在于所有mixed,interim以及native功能级别的域环境以及森林中。
仅仅在win 2000 native以及win 2003功能级别上可用。当域处于mixed功能级别的时候域级别的组在域控制器上仅仅作为本地组。
可以包含森林中的域、其他森林中信任域、以及可信任的下层与中的成员。
在win 2000 native以及win 2003功能级别的域中,可以提供(本组所在)域中所有win 2003中资源的访问权限。
本地(计算机级别的组):主要用于NT4的向后兼容,在windows server 2003域成员上拥有本地用户以及组,但是DC上面不使用本地组。
可以包含森林以及其他森林中的信任域总的成员。
本地组仅仅拥有计算机级别的访问权限,仅仅可以使用它访问他所在计算机上的资源。
全局:主要用于为个人安全实体或直接访问许可提供分类过的本地域成员。通常,全局组用于收集域中用户以及计算机信息,以及共享角色,职务等功能。
存在于所有mixed,interim,以及native功能级别的域以及森林中。
仅包含当前与众的成员。
可以被作为计算机级别或者本地域级别的组。
可以被任何域授权。
可以包含其他全局域(仅仅在win2000 native以及win 2003 域功能级别有效)
通用:主要用于在所有信任域中获得资源的访问权限。但是通用域在win 2000以及 win 2003与功能级别上仅能作为安全组类型。
可以包含森林中所有域中的成员。
在win2000 native以及win2003与功能级别上,通用组可以被本地域以及存在信任关系的其他森里中域授予权限。
组之间的转换
在创建组的时候就已经决定的组的作用域。然而,在win 2000 native以及 2003与功能级别的域中,没有被其他同等作用范围的组包含的与 domain local以及全局组可以被转换为通用组。例如:一个是另外一个全局组的成员的全局组是不能够被转换成通用组的。
特权
系统中同时存在一些被系统管理的特殊组---特权。特权是不可以被创建或删除的,另外他们的成员是不可以被管理员修改的。同时特权是不会出现在AD下用户以及计算机snapin或者其他的计算机管理工具中,但是可以在ACL中授权。以下对windows server 2003中部分特权的描述:
英文水平有点咯,想看原版的详见MCSE-Training kit Chap-4 lesson 1.
安全组:用于分配网络资源的访问许可。
通讯组:用于
其中安全组可以用作通讯组,但是通讯组是决不能做为安全组来使用的。
Windows Server 2003 域的作用级别:
Windows 2000 mixed:支持NT4,2000以及2003的DC
Windows 2000 native:支持2000以及2003的DC
Windows Server 2003 interim:支持NT4,2000,2003的DC
Windows Server 2003:支持2003的DC
Windows Server 2003组作用域:
组作用域定义了非配给组成员的权限。在Windows 2003的组中安全组以及通讯组均拥有以下3个组作用域:
域本地:主要用于为全局组分配本地域资源的访问权限。
存在于所有mixed,interim以及native功能级别的域环境以及森林中。
仅仅在win 2000 native以及win 2003功能级别上可用。当域处于mixed功能级别的时候域级别的组在域控制器上仅仅作为本地组。
可以包含森林中的域、其他森林中信任域、以及可信任的下层与中的成员。
在win 2000 native以及win 2003功能级别的域中,可以提供(本组所在)域中所有win 2003中资源的访问权限。
本地(计算机级别的组):主要用于NT4的向后兼容,在windows server 2003域成员上拥有本地用户以及组,但是DC上面不使用本地组。
可以包含森林以及其他森林中的信任域总的成员。
本地组仅仅拥有计算机级别的访问权限,仅仅可以使用它访问他所在计算机上的资源。
全局:主要用于为个人安全实体或直接访问许可提供分类过的本地域成员。通常,全局组用于收集域中用户以及计算机信息,以及共享角色,职务等功能。
存在于所有mixed,interim,以及native功能级别的域以及森林中。
仅包含当前与众的成员。
可以被作为计算机级别或者本地域级别的组。
可以被任何域授权。
可以包含其他全局域(仅仅在win2000 native以及win 2003 域功能级别有效)
通用:主要用于在所有信任域中获得资源的访问权限。但是通用域在win 2000以及 win 2003与功能级别上仅能作为安全组类型。
可以包含森林中所有域中的成员。
在win2000 native以及win2003与功能级别上,通用组可以被本地域以及存在信任关系的其他森里中域授予权限。
组之间的转换
在创建组的时候就已经决定的组的作用域。然而,在win 2000 native以及 2003与功能级别的域中,没有被其他同等作用范围的组包含的与 domain local以及全局组可以被转换为通用组。例如:一个是另外一个全局组的成员的全局组是不能够被转换成通用组的。
Group Scope | Allowed Objects |
Windows 2000 native | Or Windows Server 2003 functional level domain |
Domain Local | Computer accounts, users, global groups, and universal groups from any forest or trusted domain. Domain local groups from the same domain. Nested domain local groups in the same domain |
Global | Users, computers and global groups from same domain. Nested global(in same domain), domain local, or universal groups |
Universal | Universal groups ,global groups from the same domain. Nested global(in the same domain),domain local groups in the forest. Nested global, domain local or universal groups. |
Windows 2000 mixed | Or Windows Server 2003 interim functional level domain |
Domain Local | Computer accounts, users, global groups from any domain. Cannot be nested. |
Global | Only users and computers from same domain. Cannot be nested. |
Universal | Not available. |
系统中同时存在一些被系统管理的特殊组---特权。特权是不可以被创建或删除的,另外他们的成员是不可以被管理员修改的。同时特权是不会出现在AD下用户以及计算机snapin或者其他的计算机管理工具中,但是可以在ACL中授权。以下对windows server 2003中部分特权的描述:
身份 | 描述 |
Everyone | 表示所有当前的网络用户,包括guests以及其他域的用户。当一个用户登录到网络,那么该用户被自动的添加到Everyone组中。 |
Network | 表示所有通过网络访问给定资源的用户。当用户通过网络访问给定资源,该用户被自动的添加到Network组中。 |
Interactive | 表示所有登录特定计算机以及访问计算机上给定资源的所有用户。当一个用户访问他们已经登录的计算机上的资源时,这些用户会被自动的添加到 Interactive 组中。 |
Anonymous Logon | 匿名登录指任何使用网络资源但并未通过验证的登录。 |
Authenticated Users | 改组包含所有通过正确的帐号被验证访问特定的网络。授权的时候,您可以使用Authenticated users组代替Everyone来拒绝资源的匿名访问。 |
Creator Owner | 指创建或拥有该资源的用户。 |
dialup | 指任何通过拨号连接到网络的任何人。 |
相关文章推荐
- [javascript][变量][作用域][内存泄漏]深入理解JavaScript的变量作用域及其内存泄漏
- Xcode 中IOS项目文件类型及其作用
- 我所理解的PhoneWindow的一个作用
- Xcode 中IOS项目文件类型及其作用
- 枚举类型理解和作用
- XCODE中IOS项目文件类型及其作用的介绍
- GAC的理解及其作用
- 移位操作及其在数据类型转换中的作用
- 理解BFC的原理及其作用
- GAC的理解及其作用
- GAC的理解及其作用
- 我所理解的PhoneWindow的一个作用
- 阐述游戏中的运气元素类型及其作用
- GAC的理解及其作用
- GAC的理解及其作用
- Android Window理解(1)---三种Window类型
- GAC的理解及其作用
- 关于asp.net mvc中Controller中的方法返回值类型ActionResult及其子类的理解
- 理解网络名字意义及其功能作用
- C# 中堆栈,堆,值类型,引用类型的理解