Active Directory 基礎回顧 （一） 如何理解group的類型

今天由於建立一個跨域的組，從新溫習了一下最基本的AD知識，所謂溫故而知新，把溫習的結果整理了一下。AD裏面的group類型從範圍來講分爲global, universal 和 local domain, 從類型來分分爲security和distribution。後面的類型理解很容易，security就是純粹用來權限訪問的，而distribution主要是用來設定羣發郵件。前面的類型就稍微複雜一些了。

根據論壇上微軟講師的推薦記憶，能夠按照如下方式理解

A-> G -> U -> LD -> P

A就是帳戶，G是global group，U是universal group, LD 是local domain group，P表明權限劃分

前者能夠是後者的成員，可是不能倒過來；同時由於一樣類型的組也能夠是同類型組的成員，上面的連接能夠擴展成

A->G->G->U->U->LD->LD->P

對於G而已，他的成員範圍只能是同一個域；U的成員能夠擴展到整個森；而LD的成員能夠是任何的域或者森；

好比說我有A域和B域，A域試圖訪問B域的資源，那麼常見的作法，能夠在A建立一個Global或者Universal的組，而後B建立一個Local domain的組，把A建立的組做爲B組的成員，那麼A組的成員便可訪問B組的資源。

爲了驗證這個理論，我作了個小測試， 我建立了4個組以下

TEST1和TEST4都是 global 類型

所以添加成員的時候，只能看見同一個域下的成員

並且只能看見同爲Global類型的對象

TEST2是Domain Local

因此可以看見全部的域，和森的結構

也能看見全部類型的組

TEST3 是Universal的

因此只能看見森裏面的域,注意和TEST1的區別，前者只能看見本身，這個能夠看見整個森的結構和其餘的域（雖然我只建立了一個）

而後他只能看見Global和Universal的組