終端服務器集群方案

1、終端服務器集群應用方案終端服務器集群應用方案1、基本概念、基本概念.311 集群服務器基本概念.312 網絡負載平衡概念.413 分布式文件系統概念.52、實現的環(huán)境簡介、實現的環(huán)境簡介.72、1 實現的環(huán)境說明.72、1、1意事項.72、1、2實現環(huán)境的網絡設置如下：（以此為例）.72、2 域控制器的配置.82、3 負載平衡配置注意事項.242、4文件服務器的配置.252、5其它設置：域用戶的加入.282、6用戶配置及文件的集中管理.312、7 漫游用戶.332、8終端服務授權的安裝.35附一、組織單元附一、組織單元.36組，及其作用域.361 1、基本概念、基本概念11 集群服務器基本概念

2、集群服務器基本概念服務器群集是一組運行 Windows Server 2003 Enterprise Edition 或 Windows Server 2000 Advancedserver 的獨立的計算機系統（稱為節(jié)點） ，不同節(jié)點像單個系統一樣協同工作，從而確保執(zhí)行關鍵任務的應用程序和資源始終可由客戶端使用。通過交換稱為檢測信號的周期性的信息，群集中的節(jié)點保持恒定的通信。如果群集中的某個節(jié)點由于故障或維護而不可用，另一個節(jié)點立即開始提供服務（被稱作故障轉移的過程） 。服務器群集最多可以組合 8 個節(jié)點。此外，群集不能由運行 Windows Server 2003 Enterprise Ed

3、ition 和 Windows Server 2003 Datacenter Edition 的節(jié)點構成，因為不同的操作系統可能運行不兼容版本的群集服務。在有兩個以上節(jié)點的服務器群集中，所有節(jié)點必須運行 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition，但不是兩個系統都運行。然而，服務器群集可以用運行 Microsoft Windows 2000 操作系統的節(jié)點和其他運行 Windows Server 2003 Enterprise Edition 或 Windows Server 2

4、003 Datacenter Edition 的節(jié)點來操作。服務器群集可以設立成三種不同群集模型配置： “單一節(jié)點服務器群集”可以用（或不用）外部群集存儲設備。對于沒有外部群集存儲設備的單一節(jié)點群集，本地磁盤被配置為群集存儲設備。 “單一仲裁設備服務器群集”有兩個或更多節(jié)點并且已經進行配置，使得每一個節(jié)點都已連接到一個或多個群集存儲設備上。群集配置數據存儲在單一群集存儲設備上。 “多數節(jié)點集服務器群集”有兩個或更多節(jié)點，但是這些節(jié)點可能（也可能沒有）連接到一個或多個群集存儲設備上。群集配置數據存儲在群集中的多個磁盤上，并且群集服務確保該數據在不同的磁盤上保持一致。 12 網絡負載平衡概念網絡負

5、載平衡概念 Windows 網絡載量平衡服務增強了 Web 服務器、FTP 服務器和其他關鍵任務服務器之類的 Internet 服務器程序的可用性和可伸縮性。運行 Windows 的單個計算機可提供有限的服務器可靠性和可伸縮性能。但是，通過將兩個或多個運行 Windows Server 的計算機的資源組合為單個群集，網絡載量平衡可以提供 Web 服務器和其他關鍵任務服務器所需的性能和可靠性。下圖描述了一個擁有四個主機的群集： 每個主機運行所需服務器程序（如 Web、FTP、Telnet 和電子郵件服務器）的獨立副本。對于某些服務，如使用 Web 服務器的服務，群集中的所有主機上都運行程序的一個

6、副本，并且在這些服務之間進行網絡載量平衡。對于其他服務，例如電子郵件，只有服務的一個副本處理群集中的工作負載。除了為這些服務提供載量平衡外，網絡載量平衡允許網絡通信流向一臺主機，只有當發(fā)生故障時才把通信轉移到另一主機。網絡載量平衡將一些運行服務器程序的計算機會合在一起，而這些服務器程序必須使用 TCP/IP 網絡協議。網絡載量平衡允許群集中的所有計算機通過一組相同的群集地址來尋址（同時保持其現有的使用唯一的專用 IP 地址尋址的特性） 。網絡載量平衡以在主機之間平衡 TCP/IP 通信量的形式來分發(fā)接收的客戶請求。為了調整服務器的性能，網絡載量平衡可以在通過群集中所有主機接收的 TCP/IP

7、通信中進行加載平衡。在這種情況下，所有的載量平衡主機都運行服務器程序的一個副本，并在主機間分配負載。每臺主機處理的負載比重可在必要時配置。也可動態(tài)地向群集中添加主機來處理增加的負載。另外，網絡載量平衡可以將所有通信發(fā)到指定的單個主機上，這個主機稱為默認主機。網絡載量平衡管理 TCP/IP 通信以維持對服務器程序的高可用性。當某個主機故障或脫機時，網絡載量平衡自動重新配置群集以便將客戶請求發(fā)給其余的計算機。對于載量平衡程序，負載在繼續(xù)運行的計算機之間自動重新分配。單個服務器中的程序將其通信重定向到特定的主機。與故障或脫機的服務器之間的連接丟失。一旦完成必要的維護工作，脫機的計算機就可透明地重新加

8、入到群集中，并重新得到它分擔的工作負荷。網絡載量平衡配置概述網絡載量平衡按如下方式控制從 Internet 客戶端到群集中所選主機間的 TCP 和 UDP 通信的分配：在配置完網絡載量平衡后，傳入的群集 IP 地址客戶請求被群集中的所有主機接收。網絡載量平衡在傳入指定 TCP 和 UDP 端口的數據報到達 TCP/IP 協議軟件之前對其進行篩選。網絡載量平衡只管理 TCP/IP 中的 TCP 和 UDP 協議，并在每個端口的基礎上控制其操作。網絡載量平衡除了指定端口的 TCP 和 UDP 通信外不控制接收的其他任何 IP 通信。它不篩選 ICMP、IGMP、ARP（除下面介紹的以外）或其他 I

9、P 協議。所有這類通信信息都原封不動地傳遞到群集中的所有主機上的 TCP/IP 協議軟件。由于 TCP/IP 的健壯性及其處理重復數據報的能力，其他協議在群集環(huán)境中都能正常工作。但是，當群集 IP 地址被使用時，應該可以從某個點到點的 TCP/IP 程序（如 ping）得到完全相同的響應。這些程序可為每個主機使用專用 IP 地址來避免這一操作。會合為了協調這些操作，網絡載量平衡主機在群集內周期性地交換多播或廣播消息 （詳細信息，請參閱什么是 IP 多播？） 。這允許它們監(jiān)視群集的狀態(tài)。當群集狀態(tài)改變時（例如主機失敗，離開或加入群集） ，網絡載量平衡調用一個叫做會合的過程，在此過程中主機交換消息

10、來確定群集新的一致狀態(tài)，并選出擁有最高主機優(yōu)先級的主機作為默認主機。當所有群集主機對群集的新狀態(tài)達成一致后，它們將在 Windows 2000 事件日志中記錄會合的完成情況。在會合過程中，主機繼續(xù)正常處理接收的網絡通信，但故障主機的通信不能接收服務。正在工作的主機的客戶請求不受影響。在會合完成時，對于故障主機的通信被重新分發(fā)到其余的主機。載量平衡通信在其余的主機中重新分配，以便使針對特定 TCP 或 UDP 端口的新載量平衡盡可能達到最大。如果某個主機添加到群集中，因為它擁有最高的優(yōu)先級，會合允許該主機接管端口的處理，并接收它承擔的載量平衡通信。群集的擴展不影響正在進行的群集操作，并對 Int

11、ernet 客戶端和服務器端程序透明。然而，由于客戶端可能會被重新映射到連接之間的不同群集主機上，因此在選定客戶關系后，它可能會影響跨越多個 TCP 連接的客戶端會話。網絡載量平衡假設群集中的主機只要參與群集主機間的正常報文交換，該主機便可正常工作。如果其他主機在報文交換的某些時段內不能從某個成員接收到響應，它們將初始化會合來重新分配原先由故障的主機處理的負載。您可以控制啟動會合操作所需的報文交換周期和丟失報文的數目。默認值分別為 1,000 毫秒（1 秒）和 5 個丟失報文交換時段。由于這些參數不經常修改，所以它們在“網絡載量平衡屬性”對話框中是不可配置的。若有必要可在注冊表中手工調整。13

12、 分布式文件系統概念分布式文件系統概念 使用分布式文件系統 (DFS)，系統管理員可以使用戶方便地訪問和管理物理上分布在網絡各處的文件。通過 DFS，可以使分布在多個服務器上的文件如同位于網絡上的一個位置一樣顯示在用戶面前。用戶在訪問文件時不再需要知道和指定它們的實際物理位置。例如，如果市場材料分布在某個域的多個服務器上，則您可使用 DFS，使得所有材料如同存儲在一個服務器上一樣。這樣，用戶可避免為查找他們需要的信息而訪問網絡上的多個位置。使用 DFS 的原因以下情形，您應考慮實施 DFS： 文件服務器間的實時備份您期望添加文件服務器或修改文件位置。 訪問目標的用戶分布在一個或多個站點上。 大

13、多數用戶都需要訪問多個目標。 通過重新分布目標可以改善服務器的負載平衡狀況。 用戶需要連續(xù)地訪問目標。 您的組織中有供內部或外部使用的網站。2 2、實現的環(huán)境簡介、實現的環(huán)境簡介硬件環(huán)境：一臺域控制器：DELL POWEREDGE 系列，至強 2.4G，38G 硬盤，1G 內存一臺文件服務器：DELL POWEREDGE4650，奔騰 933，六個硬盤做RAID總共 700 多 G，內存 1G三臺以上終端服務器：HP LS6000，至強 2.4G，硬盤 120G，內存 2G，雙網卡軟件環(huán)境：安裝 WINDOWS2003終端服務器處還安裝了：OFFICE2000、NOTES5.0、WINRAR3

14、.2、終端管理工具等，及其它業(yè)務系統最終效果： 逐步添加終端和終端服務器，達到 100 臺終端左右，加入域后，實現了用戶的集中管理，實現負載平衡后，由 Windows 群集使用的技術通過在群集中跨多個服務器分發(fā)客戶端請求來伸縮基于服務器的程序（如 Web 服務器）的性能。每臺主機都可以指定將要處理的百分比，否則負載將被平均分配給所有主機。如果某臺主機發(fā)生故障，Windows 群集將會在其余的主機之間動態(tài)地重新分發(fā)負載2、1 實現的環(huán)境說明實現的環(huán)境說明此硬件環(huán)境為負載平衡實現的環(huán)境，作為參考依據，具體實現過程由軟件配置過程為主2、1、1 意事項意事項1 安裝操作系統為 WINDOWS2003，

15、在其上安裝的軟件盡量注意是否適用于windows2003，如：若安裝 winrar3.0 在 windows2003 上，會出現查看我的電腦屬性消耗極大服務器資源的情況發(fā)生，未升級到域前，注意做備份。2 終端服務器存放各個用戶的用戶配置文件地方默認為 C 盤，可以修改到其它盤，注意保證其存放用戶配置文件的分區(qū)容量盡量大，原因見后；文件服務器存放漫游用戶文件的分區(qū)也要保證其容量夠用2、1、2 實現環(huán)境的網絡設置如下：（以此為例）實現環(huán)境的網絡設置如下：（以此為例）域控制器計算機名為：“startad”IP 地址規(guī)定分配為：“3”文件服務器計算機名為“startfile”IP

16、 地址規(guī)定分配為“2”終端服務器計算機名依次為“start01” 、 “start02” 、終端服務器為雙網卡，每個網卡都要分配其一個 IPIP 地址規(guī)定分配如下：終端服務器一“start01”終端服務器二“start02”終端服務器三“start03”配置域名為“”2、2 域控制器的配置域控制器的配置域控制器計算機名為：“startad”IP 地址規(guī)定分配為：“3” 配置域名為“1在域控制器上安裝好系統。2安裝好軟件，配置好網絡設置，連上網絡，升級到域控制器（不連上網絡無法升級到域控）打開“控制面板”“管理工具” “配置您的服務器向導”選擇“第一臺

17、服務器的典型配置” ，下一步輸入域名“”默認選擇下一步，自動開始 Active Directory 的配置自動重起，配置完成，（注：如果初試網絡中還存在另一臺域控制器則不會進行“第一臺服務器的典型配置” ，而會自動轉入“自定義配置” ）2、3終端服務器的配置第一臺終端服務器第一臺終端服務器“start01”的安裝配置：的安裝配置：一一1. 安裝好 windows2003，選擇最大連接數為“200”2. “添加/刪除程序”配置好服務器去掉“Internet Explorer 增強的安全配置”選項選擇安裝上“終端服務器”和“終端服務授權”3選擇寬松安全模式（可以更好的兼容更多軟件，若無此要求且對安

18、全性要求更高則選擇嚴謹安全模式）依次安裝好輸入法、OFFICE2000、NOTES5.0、及其它軟件，做好備份，二：加入域二：加入域配置好網絡 TCP/IP 屬性將兩個網卡命名為 NIC1 和 NIC2，設置 IP 為打開系統屬性點擊“更改” ，將終端服務器一加入域“”重啟即可。三：負載平衡的配置三：負載平衡的配置1對 NIC1 網卡進行配置對此網卡 NIC1 進行負載平衡設置，鉤選“網絡負載平衡”打開“屬性”“群集參數”中輸入規(guī)定的完整 Internet 名（域控計算機名.域名） “群集操作模式”選擇“多播” 主機參數中設置優(yōu)先級為 1 （注：終端服務器一 start01 優(yōu)先級設為“1”

19、，終端服務器二 start02 優(yōu)先級設為“2” ，依次類推） 端口規(guī)則中“編輯”篩選模式中“相似性”設為 “無”（負荷量默認為“相等” ，即登陸服務器的終端平均分配到終端服務器上） 2對 NIC 1 網卡進行TCP/IP 設置：備用 DNS 中填入域控制器 IP 點選“高級”設置 添加，輸入 3對 NIC 2 網卡進行TCP/IP 設置：僅設好 IP 即可重啟服務器重啟服務器至此，網絡負載平衡服務配置完成，判斷網絡負載平衡是否生效可在命令至此，網絡負載平衡服務配置完成，判斷網絡負載平衡是否生效可在命令行狀態(tài)敲入行狀態(tài)敲入 wlbs query，如果返回提示，如果返回提示“節(jié)點已與節(jié)點節(jié)點已與

20、節(jié)點 1、2、3 會合會合”表明安表明安裝成功。裝成功。其它終端服務器其它終端服務器“start02、start03” 的安裝配置：的安裝配置：一：加入域一：加入域配置方法同上設置終端服務器一配置方法同上設置終端服務器一“start01” ，注意設好網絡，注意設好網絡 TCP/IP 屬性屬性以終端服務器二以終端服務器二“start02”為例為例將兩個網卡命名為 NIC1 和 NIC2，設置 IP 為二：負載平衡的配置二：負載平衡的配置以終端服務器二以終端服務器二“start02”為例為例1對 NIC1 網卡進行配置主機參數中，優(yōu)先級設為 2 注注：一：一.對于其它終端服務器對于其它終端服務器“

21、start03、start04” ，優(yōu)先級依次類，優(yōu)先級依次類推，設為推，設為“3” 、 “4” 二二.專用專用 IP 設為本機的網卡設為本機的網卡 NIC1（即實現負載平衡的網卡）的（即實現負載平衡的網卡）的 IP 三其它參數均按配置終端服務器一三其它參數均按配置終端服務器一“start01”來配來配2對 NIC1 網卡進行 TCP/IP 配置配置方法同上設置終端服務器一配置方法同上設置終端服務器一“start01”3對 NIC2 網卡進行 TCP/IP 配置配置方法同上設置終端服務器一配置方法同上設置終端服務器一“start01” ，設好，設好 IP 即可即可2、3 負載平衡配置注意事項負

22、載平衡配置注意事項1、如果可能，在每個群集主機上使用兩個或更多的網卡。第二個網卡可提高整個網絡的性能并加速對后臺數據庫的訪問。 同樣，如果群集在單播模式（默認模式）下運行，群集主機之間的普通網絡通信只有每個群集主機至少具有兩個網卡時才能進行。2、如果使用了第二個網卡，必須保證只在一個適配器（稱為群集適配器）上安裝了網絡負載平衡。 3、TCP/IP 是群集適配器上的唯一網絡協議。不能將任何其他協議（例如，IPX）添加到該適配器中。 4、確保群集參數和端口規(guī)則在所有群集主機上設置相同。 5、確保主機參數對每個群集主機都是唯一的。 6、確保進行負載平衡的應用程序使用的所有端口（例如，FTP 使用了端

23、口 20、端口 21、端口 1024-65535）設置了端口規(guī)則。 在設置完端口規(guī)則后單擊“添加”按鈕。否則，端口規(guī)則將不會在規(guī)則列表中顯示，而且規(guī)則也不會生效。7、確保給定的進行負載平衡的任何應用程序在所有已安裝了這些程序的群集主機上均已啟動。網絡負載平衡不啟動程序。 8、安裝時在“網絡平衡屬性”對話框中輸入的專用 IP 地址和群集的 IP 地址必須也在“Internet 協議（TCP/IP）屬性”對話框中輸入。確保在這兩個地方的地址相同。 9、確保專用的 IP 地址在“Internet 協議（TCP/IP）屬性”對話框總是列在最前（在群集 IP 地址前） 。 詳細信息，請參閱在單網卡上設置

24、用于網絡負載平衡的 TCP/IP 和在多網卡上設置用于網絡負載平衡的 TCP/IP。10、專用 IP 地址和群集 IP 地址必須是靜態(tài) IP 地址。而不能是 DHCP 地址。 11、確保群集中的所有主機屬于同一個子網并且群集的客戶機能夠訪問該子網。 除群集所在的子網以外，網絡負載平衡沒有使用群集互聯網絡。在沒有必要的情況下試圖創(chuàng)建系統區(qū)域網絡 (SAN)，就不應該連接兩個網卡。12、確保所有的群集主機要么運行于單播模式，要么運行于多播模式，而不是在兩種模式下運行。 13、網絡負載平衡命令行的命令都以“wlbs”開頭。14、網絡負載平衡在 Windows 2000 Advanced Server

25、 上作為一項服務存在。它不以安裝程序（例如 Setup.exe）的形式進行安裝。2、4文件服務器的配置文件服務器的配置先將文件服務器也加入域再在 Windows2003 下：“控制面板”“管理工具” “配置您的服務器向導”下一步，直到選擇“自定義配置”下一步，選擇文件服務器（若系統檢查到網絡中存在一個域控制器則自動轉入此步）下一步，直至啟動共享文件夾向導再下一步，直到選擇路徑，選擇一 files 文件夾共享用來存放用戶個人文件（重定向的文件夾）下一步，直到選擇權限，按下圖配置權限完成，選擇關閉時再次運行該向導同樣方法配置一個共享目錄 “startuser”用來存放漫游用戶文件，即用戶個人配置文

26、件2、5其它設置：域用戶的加入其它設置：域用戶的加入一終端服務器加入域后，在登陸時要選擇登陸域，而不是登陸本機，每次管理員登陸服務器輸入的是域控制器的密碼。二組織單元（ou） 、用戶和組都在域控制器處添加，組織單元的建立是為了方便“控制面板”“管理工具”“Active Directory 用戶和計算機”在域名“”上點右鍵， “新建”“組織單元”輸入名稱“瘦客戶機部”（同樣方法建立另一個組織單元“技術支持部” ） 在“瘦客戶機部”組織單元上點右鍵， “新建”“組” ，輸入名稱“廣州”（同樣方法建立另一個組“福州” ）在“瘦客戶機部”組織單元上點右鍵， “新建”“用戶” ，輸入名稱“ning”下一

27、步，注意 windows2003 默認啟用了密碼的復雜性要求，依用戶需要更改，要在“管理工具”“域安全策略”中修改（注：用戶名稱建議輸入英文，因為有部分軟件不支持中文名稱，如：notes5.0等） （同樣方法建立其他用戶）用戶加入組：雙擊“廣州” ， “成員”中“添加” ，加入用戶 ning 等在每臺終端服務器上， “管理工具”“終端服務配置”“連接” “RDPTCP”連接屬性“權限” “添加”上組，并鉤選用戶訪問。2、6用戶配置及文件的集中管理用戶配置及文件的集中管理“我的文檔”中資料放在哪臺服務器上是不一定的，要想用戶每次登陸服務器的用戶配置文件和資料始終相同需要用到漫游用戶和文件夾重定向

28、到文件服務器，因此每臺終端服務器上都有可能存放域中所有用戶的配置文件和資料，所以需要將終端服務器和文件服務器上存放用戶文件的分區(qū)設置得合適大小。 文件夾重定向僅僅是將用戶的個人目錄存放到文件服務器，但用戶的個人配置文件還存放在終端登陸的一臺終端服務器上，因此如果終端服務器較多、軟件有些特殊的話，例如“notes5.0”的共享安裝多用戶使用，則每臺終端服務器都需要進行配置，用戶增加的話就是一個比較大的工作量，因此需要用到漫游用戶，僅僅在文件服務器上為每個用戶配置一遍后，就不必再對每臺終端服務器都進行配置。文件夾重定向：文件夾重定向：“管理工具”“Active Directory 用戶和計算機”

29、組織單元“瘦客戶機部”屬性“組策略” “新建”組策略對象，并命名“編輯”“用戶配置”“windows 設置”“文件夾重定向”“我的文檔”屬性按用戶要求進行重定向設置，指向用戶文件服務器上建立的共享目錄：以為每個用戶建立一個目錄為例注意分配給用戶的權限，管理員是否需要對用戶的目錄進行管理2、7 漫游用戶漫游用戶 以一個用戶 ning 為例在“管理工具”“Active Directory 用戶和計算機”組織單元“瘦客戶機部”中，雙擊用戶 ning，輸入路徑“文件服務器名漫游用戶文件存放路徑用戶名”配置完成，以后用戶不論登陸到哪臺終端服務器，其配置文件和個人文件總是保證是最新最完整的。2、8終端服務

30、授權的安裝終端服務授權的安裝在含有終端服務器及域控制器的網絡中，在終端服務器中不再安裝終端服務授權，而改為在域控制器中安裝終端服務授權。所有終端均在域控制器中獲得終端服務許可證。附一、組織單元附一、組織單元包含在域中的特別有用的目錄對象類型就是組織單位。組織單位是可將用戶、組、計算機和其他組織單位放入其中的 Active Directory 容器。它不能容納來自其他域的對象。組織單位是可以指派組策略設置或委派管理權限的最小作用域或單元。使用組織單位，您可在組織單位中代表邏輯層次結構的域中創(chuàng)建容器。這樣您就可以根據您的組織模型管理帳戶和資源的配置和使用。如圖中所示，組織單位中可包含其他的組織單位

31、。可根據需要擴展容器的層次以模擬域中組織的層次。使用組織單位可幫助您將網絡所需的域數量降到最低?？墒褂媒M織單位創(chuàng)建可縮放到任意規(guī)模的管理模型。用戶可擁有對域中所有組織單位或對單個組織單位的管理權限。組織單位的管理員不需要具有域中任何其他組織單位的管理權限。組，及其作用域組，及其作用域組（不論是安全組還是通訊組）都有一個作用域，用來確定在域樹或林中該組的應用范圍。有三類不同的組作用域：通用、全局和本地域。通用組的成員可包括域樹或林中任何域中的其他組和帳戶，而且可在該域樹或林中的任何域中指派權限。全局組的成員可包括只在其中定義該組的域中的其他組和帳戶，而且可在林中的任何域中指派權限。本地域組的成員

32、可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他組和帳戶，而且只能在域內指派權限。下表總結了不同組作用域的行為。通用作用域全局作用域本地域作用域當域功能級別被設置為 Windows 2000 本機或 Windows Server 2003 時，通用組的成員可包括來自任何域的帳戶、全局組和通用組。當域功能級別被設置為 Windows 2000 本機或 Windows Server 2003 時，全局組的成員可包括來自相同域的帳戶或全局組。當域功能級別被設置為 Windows 2000 本機或 Windows Server 2003 時

33、，本地域組的成員可包括來自任何域的帳戶、全局組或通用組，以及來自相同域的本地域組。當域功能級別被設置為 Windows 2000 混合時，不能創(chuàng)建具有通用組的安全組。當域功能級別被設置為 Windows 2000 混合時，全局組的成員可包括來自相同域的帳戶。當域功能級別被設置為 Windows 2000 本機或 Windows Server 2003 時，本地域組的成員可包括來自任何域的帳戶或全局組。當域功能級別被設置為 Windows 2000 本機或 Windows Server 2003 時，組可被添加到其他組并在任何域中指派權限。組可被添加到其他組并且在任何域中指派權限。組可被添加到其

34、他本地域組并且僅在相同域中指派權限。組可轉換為本地域作用域。只要組中沒有其他通用組作為其成員，就可以轉換為全局作用域。只要組不是具有全局作用域的任何其他組的成員，就可以轉換為通用作用域。只要組不把具有本地域作用域的其他組作為其成員，就可轉換為通用作用域。何時使用具有本地域作用域的組具有本地域作用域的組將幫助您定義和管理對單個域內資源的訪問。這些組可將以下組或帳戶作為它的成員： 具有全局作用域的組具有通用作用域的組帳戶具有本地域作用域的其他組上述任何組或帳戶的混合體例如，要使五個用戶訪問特定的打印機，您可在打印機權限列表中添加全部五個用戶。如果您以后希望這五個用戶都能訪問新的打印機，則需要再次在

35、新打印機的權限列表中指定全部五個帳戶。如果采用簡單的規(guī)劃，您可通過創(chuàng)建具有本地域作用域的組并指派給其訪問打印機的權限來簡化常規(guī)的管理任務。將五個用戶帳戶放在具有全局作用域的組中，并且將該組添加到有本地域作用域的組。當您希望使五個用戶訪問新打印機時，可將訪問新打印機的權限指派給有本地域作用域的組。具有全局作用域的組的成員自動接受對新打印機的訪問。何時使用具有全局作用域的組使用具有全局作用域的組管理那些需要每天維護的目錄對象，如用戶和計算機帳戶。因為有全局作用域的組不在自身的域之外復制，所以具有全局作用域的組中的帳戶可以頻繁更改，而不需要對全局編錄進行復制以免增加額外通信量。雖然權利和權限指派只在指派它們的域內有效，但是通過在相應的域中統一應用具有全局作用域的組，可以合并對具有類似用途