Active Directory用戶和計算機是管理域用戶的重要組成

Builtin -- 域的默認組

Computers --加入域的計算機

Domain Controllers -- 域控制器的計算機

ForeignSecurityPrincips --

Managed Service Accounts --

Users -- 域用戶

Builtin：

里有很多組，每個組有各種的權(quán)限，來管理用戶的權(quán)限，用組可以統(tǒng)一的方便管理一組用戶的權(quán)限

在新建組中：

1.組作用域

本地域：用于在只能在本地域中分配權(quán)限，組成員可以是林中的任意用戶，可以被轉(zhuǎn)換為通用組（只要原組內(nèi)的成員不含本地域組即可）

全局：可以在整個林中分配權(quán)限，但組成員只能是本域的用戶，不能加入其它域的用戶，可以被轉(zhuǎn)成通用組（只要原組不隸屬于任何一個全局組即可）

通用：可以在整個林中分配權(quán)限，組成員可以是林中的任意用戶，可以被轉(zhuǎn)換成本地域組，可以被轉(zhuǎn)換成全局組（只要原組內(nèi)的成員不含通用組即可）

為什么要有轉(zhuǎn)換呢？

本地域：可以被轉(zhuǎn)換為通用組（只要原組內(nèi)的成員不含本地域組即可）

如果轉(zhuǎn)成通用組，并組成員有本地域組，該組成員有通組的權(quán)限及特征

全局：可以被轉(zhuǎn)成通用組（只要原組不隸屬于任何一個全局組即可）

如果轉(zhuǎn)成通用組，并隸屬于任何一個全局組，該組有全局組的權(quán)限及特征

那么全局組中就有可能有不是本地域成員的發(fā)生

2.組類型

安全組：顧名思義用來安全權(quán)限分配的

通訊組：不能分配權(quán)限

在組的屬性：

常規(guī)：

電子郵件：當有郵件發(fā)送到這個郵箱是會發(fā)送到這個組內(nèi)的所有成員的郵箱

Computers：

里有加入域的計算機

Domain Controllers：

里有域服務的計算機

預創(chuàng)建只讀控制器賬戶：

預創(chuàng)建只讀控制器賬戶可以，預先創(chuàng)建一個賬號來管理這個只讀控制器，使用新建一個賬戶來管理，不必使用域管理員賬號才能管理。

ForeignSecurityPrincips：

Managed Service Accounts：

Users：

里有域服務的用戶