谁能告诉我什么叫全局组什么叫通用组和本地域组?谢谢

在现实生活中有很多初级网管员对全局组作用域、本地域组作用域、通用域作用域之间的关系比较模糊，而这类看似简单很容易被我们忽略的问题事实上是很重要，明白这类基本的问题对我们网络故障排错是很有帮助的，下面我来讨论一下全局组作用域、本地域组作用域、通用域作用域之间的关系：

对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。

全局组：可以全局使用。即：可在本域和信任关系的其它域中都可以使用，体现的是全局性。MS建议的规则：基于组织结构、行政结构规划。

域本地组：只能在本域的域控制器DC上使用。MS建议的规则：基于资源（夹、打印机……）规划。

在域的混合模式下，只能把全局组加入到域本地组，即AGDLP原则。

说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明：

例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。

例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。

通用组：组的成员情况，记录在全局目录GC中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处