Domain Local vs Domain Global Group

ในกรณีที่ Mixed Mode Domain

Local Group
- สำหรับ Domain Controller จะเห็นได้เฉพาะภายใน DC ด้วยกันเองเท่านั้น เพราะ DC ทุกตัวจะ share local security database เดียวกัน
- สำหรับ Stand Alone จะเห็นได้เฉพาะเครื่องตัวเองเท่านั้น
- ตัวอย่างเช่น Group Administrators เป็น Local Group ดังนั้นจะสามารถเอาไปใช้ได้เฉพาะภายใน DC ด้วยกันเอง เครื่อง Member Server หรือ Workstation ภายใน Domain จะไม่สามารถมองเห็น Group Administrators นี้

Global Group
- จะสามารถมองเห็นได้จากทุกเครื่องที่อยู่ใน Domain เช่น Group Domain Admins เป็นต้น
- เวลาสร้าง group ใหม่ขึ้นมาให้เลือกเป็น Global Group จะสำดวกกว่า
- ถ้ามีการ add computer เข้าเป็นสมาชิกของ Domain แล้วโดย default จะมีการเพิ่ม Domain Admins group เข้าไปเป็นสมาชิกของ Local Administrators เพื่อให้มีสิทธิที่จะ manage computer นั้นได้

ในกรณีที่ได้ Raise Domain and Forest ให้ทำงานใน Native Mode แล้ว
- Local Group จะกลายเป็น Domain Local Group ทำให้สามารถมองเห็นได้จากทั้ง Domain
- Domain Local Group (ยกเว้น Administrators group) จะสามารถถูกมองเห็นได้จาก Member Server/Workstation ของ Domain
- สามารถ convert Domain Local Group ให้เป็น Universal Group ได้ แต่จะไม่สามารถเปลี่ยนให้เป็น Domain Global Group ( Mixed Mode เปลี่ยนอะไรไม่ได้เลย)

Concept ของ AGDLP เป็นดังนี้

Accounts > Global Groups > Domain Local Groups > Permissions
หรือ
Accounts > Global Groups > Universal > Domain Local Groups > Permissions

ความหมายคือ จับ account ที่มีความต้องการใช้ resource คล้ายๆกันให้รวมกันอยู่ใน Global Group เสร็จแล้วค่อยเอา Global Group นั้นมาอยู่ใน Domain Local Group อีกทีเพื่อ Assign Resource ให้


Note:
- Domain ที่ได้เปลี่ยน Function Level ให้เป็น Native Mode แล้ว ไม่มีผลอะไรกับเครื่อง Windows 98 client เพราะว่า Mixed/Native Mode เป็นเรื่อง Backward Compatable ของ Domain Controller ไม่เกี่ยวข้องกับ Client

Domain Local Group
– This group scope is designed to contain Global Groups and Universal Groups, even though it can also contain user accounts and other Domain Local Groups. If you want to follow a logical nesting rule pattern, you will not put user accounts into Domain Local Groups. As you design and create Domain Local Groups, you should be considering “What the group is designed to do at the resource.” Examples might be “Read SQL DB,” “Full Control HR Data,” or “Modify Finance Group Membership.”

Note:
Domain Local Groups can only be seen and used on domain controllers if the domain is still in mixed mode. Mixed mode also eliminates the capability of nesting Domain Local Groups into other Domain Local Groups. This is due to the fact that NT4 domain controllers don’t understand the concept of Domain Local Groups, so they are simply seen as Local Groups.

Global Groups
– This group scope is designed to contain user accounts. Global Groups can contain user accounts and other Global Groups. Global groups are designed to be “global” for the domain. After you place user accounts into Global Groups, the Global Groups are typically placed into Domain Local Groups or Local Groups (which reside on member servers in the Security Accounts Manager (SAM)). As you design and create Global Groups, you should be considering “What type of user belongs in this group.” Examples might be “Salesreps,” “HR Managers,” or “Finance Managers.”

Note:
Global Groups can only contain user accounts if the domain is in mixed mode. Like group nesting is not available in mixed mode due to legacy NT4 domain controllers.

Universal Groups
– This group scope is designed to contain Global Groups from multiple domains. Universal Groups are designed to help “group” groups in a multi-domain enterprise. Universal Groups can contain Global Groups, other Universal Groups, and user accounts. After the Global Groups from the different domains are placed into the Universal Group, the Universal Group is typically placed into a Domain Local Group or Local Group. As you design and create Universal Groups, you should be almost mimicking the concepts of the Global Group, but from an enterprise standpoint. So, you might have a Universal Group named “All HR Managers” or “All Finance Managers.” Within each of these Universal Groups, you will have the “HR Managers” or “Finance Managers” from each domain as members.

Note:
Universal Groups cannot be used as Security Groups if the domain is in mixed mode. This means that they can’t be used for controlling access to resources via permissions. Again, this is because NT4 domain controllers don’t understand the concept of Universal Groups.

Security Groups
– This type of group has a unique characteristic in that it has a Security Identifier (SID) assigned to it from Active Directory. This SID enhances the function of the group so that it can be used for assigning and controlling permissions to a resource. In essence,
Security Groups can be placed on an ACL of a resource. Security Groups can also be used for email distribution lists.

Distribution Groups
– This type of group is limited in capabilities, because it does not have a SID assigned to it. Distribution Groups are designed to work with email, but not for the assignment or control of permissions to a resource.