Windows
Active Directory 組範圍 - 域本地還是全域?
CONTOSO 在英國和美國設有辦事處。每個國家都有自己的域,但域相互信任。
我在英國的 AD 中創建了一個組,但如果該組設置為
global
我無法將美國使用者添加到該組。一旦我將組範圍更改為
domain local
我可以允許美國使用者進入英國組。問題:
為什麼會這樣?
我是否必須將組更改為
domain local
才能將位置更改為CONTOSO.COM
而不是contoso.co.uk
能夠在美國域中搜尋,並將美國使用者添加到該組?
它按預期工作,文件說:
可能的成員
環球集團
- 來自同一域的帳戶
- 來自同一域的其他全域組
域本地組
- 來自任何域或任何受信任域的帳戶
- 來自任何域或任何受信任域的全域組
- 來自同一林中任何域的通用組
- 來自同一域的其他域本地組
- 來自其他林和外部域的帳戶、全域組和通用組