（三）域中计算机分类

一，域中计算机分类

• 域控制器(必有):用于管理所有网络访问
• 成员服务器:安装了服务器系统且加入了域,但没有安装AD的计算机
• 客户机:用户使用账号密码登录来访问并调用此间资源
• 独立服务器:和域没有关系,既没有加入域也没有安装AD的服务器
  

二，域内权限解读


域本地组：多域用户访问单域资源（访问同一个域）可以从任何域添加用户账户、通用组、和全局组，只能在其所在域内指派权限，域本地组不能嵌套于其他组中，它主要用于授予位于本域资源的访问权限。


全局组：单域用户访问多域资源（必须是同一个域里面的用户）。只能在创建该全局组的域上进行添加用户和全局组，可以在域林中的任何域中指派权限，全局组可以嵌套在其他组中。


通用组：通用组成员来自域林中的用户账户、全局组和其他的通用组，可以在该域林中的任何域中指派权限可，以嵌套于其他域组中，非常适用于域林中的跨域访问


可以这样简单记忆：
域本地组：来自全林作用于本域
全局组：来自本域作用于全林
通用组：来自全林用于全林




解释：
本地组1，成员必须是本域的用户、组，或者其他狱中的域的用户、组，对应的权限是本域的资源权限。
全局组1，成员必须是本域中的用户、组，对应的权限是，当域中的用户、组访问其他域的时候，其他域来分配，比如在B域建立本地组2，吧全剧组1加人管理员，那么他就具有管理员的权限。
通用组1，成员是域林中的用户、组，对应的权限是当本组中的用户、组访问其他域的时候进行权限分配，比如通用组中包含用户，tom1、marry1以及全局组1，在B域中有个本地组2把通用组1加为管理员权限，则他具有管理员权限。



三，A-G-DL-P策略
A（account），表示用户账号。
G（Global group），表示全局组。
U（Universal group），表示通用组。
DL（Domain local group），表示域本地组。
P（permission 许可），表示资源权限。
A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。按照AGDLP的原则对用户进行组织和管理起来更加容易。在AGDLP形成以后当给一个用户某一权限的时候，只要把这个用户加入到某一个本地域组即可。


四，内置组权限解读
Administrators 管理员组---------重要
Print Operators 打印机操作员组，管理打印机
Account Operators 管理域中域用户和域账户
Server Operators 管理域服务器，默认无成员
Backup Operators 备份操作员为了备份或还原文件可以替代安全限制
Remote Desktop Users 管理远程登录权限


domian admins 域管理员组------->重要
schema admins 架构管理员组------->重要
Enterprise admins 企业系统管理员组 ------->重要
domain users 所有域用户