Active Directory 基础回顾 （一） 如何理解group的类型

今天由于建立一个跨域的组，从新温习了一下最基本的AD知识，所谓温故而知新，把温习的结果整理了一下。AD里面的group类型从范围来讲分为global, universal 和 local domain, 从类型来分分为security和distribution。后面的类型理解很容易，security就是纯粹用来权限访问的，而distribution主要是用来设定群发邮件。前面的类型就稍微复杂一些了。

根据论坛上微软讲师的推荐记忆，能够按照如下方式理解

A-> G -> U -> LD -> P

A就是帐户，G是global group，U是universal group, LD 是local domain group，P表明权限划分

前者能够是后者的成员，可是不能倒过来；同时由于一样类型的组也能够是同类型组的成员，上面的连接能够扩展成

A->G->G->U->U->LD->LD->P

对于G而已，他的成员范围只能是同一个域；U的成员能够扩展到整个森；而LD的成员能够是任何的域或者森；

好比说我有A域和B域，A域试图访问B域的资源，那么常见的作法，能够在A建立一个Global或者Universal的组，而后B建立一个Local domain的组，把A建立的组做为B组的成员，那么A组的成员便可访问B组的资源。

为了验证这个理论，我作了个小测试， 我建立了4个组以下

TEST1和TEST4都是 global 类型

所以添加成员的时候，只能看见同一个域下的成员

并且只能看见同为Global类型的对象

TEST2是Domain Local

因此可以看见全部的域，和森的结构

也能看见全部类型的组

TEST3 是Universal的

因此只能看见森里面的域,注意和TEST1的区别，前者只能看见本身，这个能够看见整个森的结构和其余的域（虽然我只建立了一个）

而后他只能看见Global和Universal的组