組的概念
組是Windows Server2003從Windows 2000Server系統繼承下來的安全管理形式,我們可以把組看成一個班級,用戶便是班級里的學生。當要給一批用戶分配同一個許可權時,就可以將這些用戶都歸到一個組中,只要給這個組分配此許可權,組內的用戶就都會擁有此許可權。就好像一個班級發了一個通知,班級內的所有學生都會收到這個通知一樣,組是為了方便管理用戶的許可權而設計的。
組是指本地計算機或Active Directory中的對象,包括用戶、聯繫人、計算機和其他組。在Windows Server2003中,通過組來管理用戶和計算機對共享資源的訪問。如果賦予某個組訪問某個資源的許可權,這個組的用戶都會自動擁有該許可權。引入組的概念主要是為了方便管理訪問許可權相同的一系列用戶賬戶。
組的分類
與用戶賬戶一樣,根據Windows Server2003伺服器的工作組模式和域模式,組分為本地組和域組。
本地組:創建在本地的組賬戶。可以在Windows Server2003/2000/NT獨立伺服器或成員伺服器、WindowsXP、Windows NT Workstation等非域控制器的計算機上創建本地組。這些組賬戶的信息被存儲在本地安全賬戶資料庫(SAM)內。本地組只能在本地機使用,它有兩種類型:用戶創建的組和系統內置的組。
域組:該賬戶創建在Windows Server 2003的域控制器上,組賬戶的信息被存儲在Active Directory資料庫中,這些組能夠被使用在整個域中的計算機上。
域組分類方法有很多,根據許可權不同,域組可以分為安全組合分散式組。
安全組:被用來設定許可權,例如,可以設定安全組對某個檔案有讀取的許可權。
分散式組:與許可權無關,例如,可以講電子郵件發給分散式組。系統管理員無法設定分散式組的許可權。
根據組的作用範圍,Windows Server 2003 域組又分為通用組、全局組合本地域組。