组类型

组可用于将用户帐户、计算机帐户和其他组帐户收集到可管理的单元中。使用组而不是单独的用户可简化网络的维护和管理。

在 Active Directory 中有两种类型的组：通讯组和安全组。可以使用通讯组创建电子邮件通讯组列表，使用安全组给共享资源指派权限。

通讯组

只有在电子邮件应用程序（如 Exchange）中，才能使用通讯组将电子邮件发送给一组用户。通讯组不启用安全，这意味着它们不能列在随机访问控制列表 (DACL) 中。如果需要组来控制对共享资源的访问，则创建安全组。

安全组

请小心使用，安全组提供了一种有效的方式来指派对网络上资源的访问权。使用安全组，可以：

• 将用户权限分配到 Active Directory 中的安全组

  可以对安全组指派用户权利可以确定该组的哪些成员可在处理域（或林）作用域内工作。在安装 Active Directory 时系统会自动将用户权限分配给某些安全组，以帮助管理员定义域中人员的管理角色。例如，在 Active Directory 中被添加到 Backup Operators 组的用户能够备份和还原域中每个域控制器上的文件和文件夹。

  这是因为在默认情况下，系统将备份文件和目录以及还原文件和目录用户权利自动指派给 Backup Operators 组。因此该组的用户继承了指派给该组的用户权利。

  可以使用组策略将用户权限分配给安全组，以帮助委派特定任务。在指派委派的任务时始终应谨慎处理，因为在安全组上被指派太多权利的未经培训的用户有可能对您的网络产生重大损害。

• 给安全组指派对资源的权限

  用户权利和权限不应混淆。对共享资源的权限将指派给安全组。权限决定了谁可以访问该资源以及访问的级别，比如完全控制。系统将自动指派在域对象上设置的某些权限，以允许对默认安全组（比如 Account Operators 组或 Domain Admins 组）进行多级别的访问。

  在定义对资源和对象的权限的 DACL 中列出了安全组。为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组，而不是多次分配给单独的用户。添加到组的每个帐户将接受在 Active Directory 中指派给该组的权利以及在资源上为该组定义的权限。

像通讯组一样，安全组也可用作电子邮件实体。给这种组发送电子邮件会将该邮件发给组中的所有成员。

安全组和通讯组之间的转换

在任何时候，组都可以从安全组转换为通讯组，反之亦然，但仅限于域功能级别设置为 Windows 2000 本机或更高模式的情况下。当域功能级别被设置为 Windows 2000 混合模式时，不可以转换组。

 注意

• 虽然联系人可添加到安全组和通讯组，但是不能为联系人指派权利和权限。可向组中的联系人发送电子邮件。

(责任编辑：admin)