组作用域

组（不论是安全组还是通讯组）都有一个作用域，用来确定在域树或林中该组的应用范围。有三类不同的组作用域：通用、全局和本地域。

• 通用组的成员可包括域树或林中任何域中的其他组和帐户，而且可在该域树或林中的任何域中指派权限。
• 全局组的成员可包括只在其中定义该组的域中的其他组和帐户，而且可在林中的任何域中指派权限。
• 本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户，而且只能在域内指派权限。

下表总结了不同组作用域的行为。

何时使用具有本地域作用域的组

具有本地域作用域的组将帮助您定义和管理对单个域内资源的访问。这些组可将以下组或帐户作为它的成员：

• 具有全局作用域的组
• 具有通用作用域的组
• 帐户
• 具有本地域作用域的其他组
• 上述任何组或帐户的混合体

例如，要使五个用户访问特定的打印机，您可在打印机权限列表中添加全部五个用户。如果您以后希望这五个用户都能访问新的打印机，则需要再次在新打印机的权限列表中指定全部五个帐户。

如果采用简单的规划，您可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将五个用户帐户放在具有全局作用域的组中，并且将该组添加到有本地域作用域的组。当您希望使五个用户访问新打印机时，可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。

何时使用具有全局作用域的组

使用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机帐户。因为有全局作用域的组不在自身的域之外复制，所以具有全局作用域的组中的帐户可以频繁更改，而不需要对全局编录进行复制以免增加额外通信量。

虽然权利和权限指派只在指派它们的域内有效，但是通过在相应的域中统一应用具有全局作用域的组，可以合并对具有类似用途的帐户的引用。这将简化不同域之间的管理，并使之更加合理化。例如，在具有两个域（如 Europe 和 UnitedStates）的网络中，如果 UnitedStates 域中有一个称作 GLAccounting 的具有全局作用域的组，则 Europe 域中也应有一个称作 GLAccounting 的组（除非 Europe 域中不存在帐户管理功能）。

强力推荐在指定复制到全局编录的域目录对象的权限时，使用全局组或通用组，而不是本地域组。

何时使用具有通用作用域的组

使用具有通用作用域的组来合并跨越不同域的组。为此，请将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略，对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。

例如，在具有 Europe 和 UnitedStates 这两个域的网络中，在每个域中都有一个名为 GLAccounting 全局作用域的组，创建名为 GLAccounting 且具有通用作用域的组，可以将两个 GLAccounting 组 UnitedStates\GLAccounting 和 Europe\GLAccounting 作为它的成员。这样就可在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组的成员身份所做的任何更改都不会引起 UAccounting 组的复制。

具有通用作用域的组成员身份不应频繁更改，因为对这些组成员身份的任何更改都将引起整个组的成员身份复制到树林中的每个全局编录中。

更改组作用域

创建新组时，在默认情况下，新组配置为具有全局作用域的安全组，而与当前域功能级别无关。尽管在域功能级别设置为 Windows 2000 混合的域中不允许更改组作用域，但在其域功能级别设置为 Windows 2000 本地或 Windows Server 2003 的域中，允许进行下列转换：

• 全局到通用。只有当要更改的组不是另一个全局作用域组的成员时，允许进行该转换。
• 本地域到通用。只有当要更改的组没有另一个本地域组作为其成员时，允许进行该转换。
• 通用到全局。只有当要更改的组没有另一个通用组作为其成员时，允许进行该转换。
• 通用到本地域。该操作没有限制。

在客户端计算机和独立服务器上的组

某些组功能，诸如通用组、组嵌套以及安全组和通讯组之间的区分，仅在 Active Directory 域控制器和成员服务器上提供。在 Windows 2000 Professional、Windows XP Professional、Windows 2000 Server 或运行 Windows Server 2003 的独立服务器上的组帐户与 Windows NT 4.0 中的组帐户工作原理相同：

• 在计算机上只能在本地创建本地组。
• 创建于其中一台计算机上的本地组只能在该计算机上被指派权限。