Gollum84
18-11-2009, 06:37
Qualcuno mi spiega in parole semplici le differenze tra gruppo locale e globale su AD?
Grazie
Grazie
View Full Version : gruppi locali o globali?
lupotto
19-11-2009, 20:25
Qualcuno mi spiega in parole semplici le differenze tra gruppo locale e globale su AD?
Grazie
In AD i gruppi sono così organizzati:domain local, global group, e universal e questo riguarda il " group scope", ossia l'ambito in cui possono essere utilizzati.
Tutti e tre poi possono essere o di tipo "distribution" o "security" e questo è definito "group type"
Brevemente: I "domain local" si usano per assegnare risorse all'interno di un dominio e possono contenere utenti, computer, global group e domain local nell'ambito dello stesso dominio, e altri gruppi (global e universal) di tutti i domini delle foresta.
I "global group" si usano per raggruppare utenti computer e altri global group con caratteristiche simili, ma solo all'interno dello stesso dominio.
Gli universal possono avere come membri utenti, computer e gruppi global di qualunque dominio della foresta, e sono usati per garantire accesso alle risorse in tutta la foresta.
Per il discorso group type, i gruppi security sono usati per assegnare accesso alle risorse File cartelle etc), i distribution invece sono usati come gruppi di distribuzione per applicazioni tipo exchange (applicazioni tipo e-mail), di fatto i primi hanno il "sid" (security identifer), che viene aggiunto al token dell'utente i secondi no:)
I gruppi di tipo security possono essere comunque usati anche come gruppi di distribuzione, ma ne è sconsigliato l'uso.
La regola per assegnare permessi alle risorse è qulla definita AGDLP ossia:
Account in Global Group, questo inserito in un Domail Local group ed infine assegnazione delle Permission al domain local group.
Oppure la sua estensione con la regola AGUDLP con l'inserimento del Global group in un Universal group, per garantire l'accesso in una foresta multidominio.
Questo salvo qualche cosa che mi son dimenticato e semplificando al massimo :D
Infine piccola nota non confondere i "domain local" con i "group local" sono due cose totalmente differenti, i primi sono gruppi AD, i secondi sono gruppi locali specifici della singola macchina che nulla hanno a che vedere con i gruppi AD, se guardi li trovi pure sul tuo pc windows a casa e sono memoriazzati sul SAM della macchina stessa e non in AD, puoi però inserire un utente di dominio in un gruppo locale :-)
Grazie
In AD i gruppi sono così organizzati:domain local, global group, e universal e questo riguarda il " group scope", ossia l'ambito in cui possono essere utilizzati.
Tutti e tre poi possono essere o di tipo "distribution" o "security" e questo è definito "group type"
Brevemente: I "domain local" si usano per assegnare risorse all'interno di un dominio e possono contenere utenti, computer, global group e domain local nell'ambito dello stesso dominio, e altri gruppi (global e universal) di tutti i domini delle foresta.
I "global group" si usano per raggruppare utenti computer e altri global group con caratteristiche simili, ma solo all'interno dello stesso dominio.
Gli universal possono avere come membri utenti, computer e gruppi global di qualunque dominio della foresta, e sono usati per garantire accesso alle risorse in tutta la foresta.
Per il discorso group type, i gruppi security sono usati per assegnare accesso alle risorse File cartelle etc), i distribution invece sono usati come gruppi di distribuzione per applicazioni tipo exchange (applicazioni tipo e-mail), di fatto i primi hanno il "sid" (security identifer), che viene aggiunto al token dell'utente i secondi no:)
I gruppi di tipo security possono essere comunque usati anche come gruppi di distribuzione, ma ne è sconsigliato l'uso.
La regola per assegnare permessi alle risorse è qulla definita AGDLP ossia:
Account in Global Group, questo inserito in un Domail Local group ed infine assegnazione delle Permission al domain local group.
Oppure la sua estensione con la regola AGUDLP con l'inserimento del Global group in un Universal group, per garantire l'accesso in una foresta multidominio.
Questo salvo qualche cosa che mi son dimenticato e semplificando al massimo :D
Infine piccola nota non confondere i "domain local" con i "group local" sono due cose totalmente differenti, i primi sono gruppi AD, i secondi sono gruppi locali specifici della singola macchina che nulla hanno a che vedere con i gruppi AD, se guardi li trovi pure sul tuo pc windows a casa e sono memoriazzati sul SAM della macchina stessa e non in AD, puoi però inserire un utente di dominio in un gruppo locale :-)
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.