none
萬用群組相關問題 RRS feed

  • 問題

  • 請問各位前輩,

    我有兩個網域 A 與 B,雙向信任(2003樹系)

    我在A網域建立一個 萬用/通用群組,
    但是發現,無法加入B 網域的帳號,(看不見另一個樹系)

    但是使用區域網域的群組,就可以加入另一個網域的使用者帳號。

    這讓我有點搞混,

    我參考TechNet文件,卻和我的結論有些不同

    群組領域

    群組可納入的成員…

    群組權限的指定位置…

    群組領域可轉換為…

    萬用

    • 此萬用群組所在樹系內任何網域的帳戶
    • 此萬用群組所在樹系內任何網域的通用群組
    • 此萬用群組所在樹系內任何網域的萬用群組

    任何網域或樹系

    • 網域區域
    • 通用 (只要沒有其他萬用群組是成員)

    通用

    • 來自於父系通用群組之相同網域的帳戶
    • 來自於父系通用群組之相同網域的通用群組

    成員權限可在任何網域中指派

    萬用 (只要不是任何其他通用群組的成員)

    網域區域

    • 任何網域的帳戶
    • 任何網域的通用群組
    • 任何網域的萬用群組
    • 網域區域群組,但僅限來自於父系網域區域群組的相同網域

    只能在父系網域區域群組的相同網域內指派成員權限

    萬用 (只要沒有其他網域區域群組是成員)

    2009年3月25日 上午 01:48

解答

  • 是的。有興趣的話,
    可以參考一下這個搜尋來的網頁資料:http://192.192.75.66/elearn/winserver/4.htm
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月26日 上午 02:47
    版主
  • 你的A & B 網域應該是不同樹系,然後進行雙向信任吧
    而A網域的萬用群組(Universal)和通用群組(Global)的群組成員當然不能包含B網域的成員(Global & Universal)
    只有A網域的網域區域群組(Domain Local)才可以包含B網域的成員(Global & Universal)
    跟Technet上的文件應該是一樣的

    簡單描述一下大概是這樣

    • 萬用群組(Universal)的成員可以包含該萬用群組所在的樹系的成員(user,萬用群組,通用群組)
    • 通用群組(Global)的成員只能包含該通用群組所在的網域的成員(user,通用群組)
    • 網域區域群組(Domain Local)的成員可以包含跨樹系的萬用群組和通用群組


    通常網域區域群組(Domain Local)是用來取得資料存取的權限用的.

    假設B網域的共用資料要給A網域的人用時,通常會建立一個網域區域群組,把A網域的帳號or群組加進來後
    然後在共用資料夾內給這個網域區域群組權限

    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月25日 上午 06:36
  • 如果你的A網域跟B網域的信任,
    像是 abc.com.tw <-- 互相信任 --> xyz.com.tw,
    這樣就是樹系跟樹系的信任。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月26日 上午 02:05
    版主

所有回覆

  • 你的A & B 網域應該是不同樹系,然後進行雙向信任吧
    而A網域的萬用群組(Universal)和通用群組(Global)的群組成員當然不能包含B網域的成員(Global & Universal)
    只有A網域的網域區域群組(Domain Local)才可以包含B網域的成員(Global & Universal)
    跟Technet上的文件應該是一樣的

    簡單描述一下大概是這樣

    • 萬用群組(Universal)的成員可以包含該萬用群組所在的樹系的成員(user,萬用群組,通用群組)
    • 通用群組(Global)的成員只能包含該通用群組所在的網域的成員(user,通用群組)
    • 網域區域群組(Domain Local)的成員可以包含跨樹系的萬用群組和通用群組


    通常網域區域群組(Domain Local)是用來取得資料存取的權限用的.

    假設B網域的共用資料要給A網域的人用時,通常會建立一個網域區域群組,把A網域的帳號or群組加進來後
    然後在共用資料夾內給這個網域區域群組權限

    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月25日 上午 06:36
  • 請問我要怎麼確認呢?
    因為網域是前輩架設的

    我從 Active Directory 網域及信任 裡頭看到 信任類型是"樹系"

    2009年3月26日 上午 12:48
  • 如果你的A網域跟B網域的信任,
    像是 abc.com.tw <-- 互相信任 --> xyz.com.tw,
    這樣就是樹系跟樹系的信任。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月26日 上午 02:05
    版主
  • 因此
    所謂同一個樹系
    應該是指
    abc.com
    a.abc.com
    b.abc.com
    是嗎?

    如果
    abc.com
    xyz.com
    就算是兩個樹系? 即使是互相信任,也不能算為同一個樹系,這樣對嗎?
    2009年3月26日 上午 02:39
  • 是的。有興趣的話,
    可以參考一下這個搜尋來的網頁資料:http://192.192.75.66/elearn/winserver/4.htm
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    • 已標示為解答 Super god 2009年3月26日 上午 02:49
    2009年3月26日 上午 02:47
    版主
  • 感激
    小弟獲益良多
    2009年3月26日 上午 02:49