终端服务器集群方案.docx_咨信网zixin.com.cn

资源描述

终端服务器集群应用方案 1、基本概念 3 1．1集群服务器基本概念 3 1．2 网络负载平衡概念 4 1．3 分布式文件系统概念 5 2、实现的环境简介 7 2、1实现的环境说明 7 2、1、1意事项 7 2、1、2实现环境的网络设置如下：（以此为例） 7 2、2域控制器的配置 8 2、3负载平衡配置注意事项 24 2、4文件服务器的配置 25 2、5其它设置：域用户的加入 28 2、6用户配置及文件的集中管理 31 2、7漫游用户 33 2、8终端服务授权的安装 35 附一、组织单元 36 组，及其作用域 36 1、基本概念 1．1集群服务器基本概念服务器群集是一组运行 Windows Server 2003 Enterprise Edition 或 Windows® Server 2000 Advancedserver的独立的计算机系统（称为节点），不同节点像单个系统一样协同工作，从而确保执行关键任务的应用程序和资源始终可由客户端使用。通过交换称为检测信号的周期性的信息，群集中的节点保持恒定的通信。如果群集中的某个节点由于故障或维护而不可用，另一个节点立即开始提供服务（被称作故障转移的过程）。服务器群集最多可以组合 8 个节点。此外，群集不能由运行 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 的节点构成，因为不同的操作系统可能运行不兼容版本的群集服务。在有两个以上节点的服务器群集中，所有节点必须运行 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition，但不是两个系统都运行。然而，服务器群集可以用运行 Microsoft® Windows® 2000 操作系统的节点和其他运行 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition 的节点来操作。服务器群集可以设立成三种不同群集模型配置： “单一节点服务器群集”可以用（或不用）外部群集存储设备。对于没有外部群集存储设备的单一节点群集，本地磁盘被配置为群集存储设备。 “单一仲裁设备服务器群集”有两个或更多节点并且已经进行配置，使得每一个节点都已连接到一个或多个群集存储设备上。群集配置数据存储在单一群集存储设备上。 “多数节点集服务器群集”有两个或更多节点，但是这些节点可能（也可能没有）连接到一个或多个群集存储设备上。群集配置数据存储在群集中的多个磁盘上，并且群集服务确保该数据在不同的磁盘上保持一致。 1．2 网络负载平衡概念 Windows 网络载量平衡服务增强了 Web 服务器、FTP 服务器和其他关键任务服务器之类的 Internet 服务器程序的可用性和可伸缩性。运行 Windows的单个计算机可提供有限的服务器可靠性和可伸缩性能。但是，通过将两个或多个运行 Windows Server 的计算机的资源组合为单个群集，网络载量平衡可以提供 Web 服务器和其他关键任务服务器所需的性能和可靠性。下图描述了一个拥有四个主机的群集：每个主机运行所需服务器程序（如 Web、FTP、Telnet 和电子邮件服务器）的独立副本。对于某些服务，如使用 Web 服务器的服务，群集中的所有主机上都运行程序的一个副本，并且在这些服务之间进行网络载量平衡。对于其他服务，例如电子邮件，只有服务的一个副本处理群集中的工作负载。除了为这些服务提供载量平衡外，网络载量平衡允许网络通信流向一台主机，只有当发生故障时才把通信转移到另一主机。网络载量平衡将一些运行服务器程序的计算机会合在一起，而这些服务器程序必须使用 TCP/IP 网络协议。网络载量平衡允许群集中的所有计算机通过一组相同的群集地址来寻址（同时保持其现有的使用唯一的专用 IP 地址寻址的特性）。网络载量平衡以在主机之间平衡 TCP/IP 通信量的形式来分发接收的客户请求。为了调整服务器的性能，网络载量平衡可以在通过群集中所有主机接收的 TCP/IP 通信中进行加载平衡。在这种情况下，所有的载量平衡主机都运行服务器程序的一个副本，并在主机间分配负载。每台主机处理的负载比重可在必要时配置。也可动态地向群集中添加主机来处理增加的负载。另外，网络载量平衡可以将所有通信发到指定的单个主机上，这个主机称为默认主机。网络载量平衡管理 TCP/IP 通信以维持对服务器程序的高可用性。当某个主机故障或脱机时，网络载量平衡自动重新配置群集以便将客户请求发给其余的计算机。对于载量平衡程序，负载在继续运行的计算机之间自动重新分配。单个服务器中的程序将其通信重定向到特定的主机。与故障或脱机的服务器之间的连接丢失。一旦完成必要的维护工作，脱机的计算机就可透明地重新加入到群集中，并重新得到它分担的工作负荷。网络载量平衡配置概述网络载量平衡按如下方式控制从 Internet 客户端到群集中所选主机间的 TCP 和 UDP 通信的分配：在配置完网络载量平衡后，传入的群集 IP 地址客户请求被群集中的所有主机接收。网络载量平衡在传入指定 TCP 和 UDP 端口的数据报到达 TCP/IP 协议软件之前对其进行筛选。网络载量平衡只管理 TCP/IP 中的 TCP 和 UDP 协议，并在每个端口的基础上控制其操作。网络载量平衡除了指定端口的 TCP 和 UDP 通信外不控制接收的其他任何 IP 通信。它不筛选 ICMP、IGMP、ARP（除下面介绍的以外）或其他 IP 协议。所有这类通信信息都原封不动地传递到群集中的所有主机上的 TCP/IP 协议软件。由于 TCP/IP 的健壮性及其处理重复数据报的能力，其他协议在群集环境中都能正常工作。但是，当群集 IP 地址被使用时，应该可以从某个点到点的 TCP/IP 程序（如 ping）得到完全相同的响应。这些程序可为每个主机使用专用 IP 地址来避免这一操作。会合为了协调这些操作，网络载量平衡主机在群集内周期性地交换多播或广播消息（详细信息，请参阅什么是 IP 多播？）。这允许它们监视群集的状态。当群集状态改变时（例如主机失败，离开或加入群集），网络载量平衡调用一个叫做会合的过程，在此过程中主机交换消息来确定群集新的一致状态，并选出拥有最高主机优先级的主机作为默认主机。当所有群集主机对群集的新状态达成一致后，它们将在 Windows 2000 事件日志中记录会合的完成情况。在会合过程中，主机继续正常处理接收的网络通信，但故障主机的通信不能接收服务。正在工作的主机的客户请求不受影响。在会合完成时，对于故障主机的通信被重新分发到其余的主机。载量平衡通信在其余的主机中重新分配，以便使针对特定 TCP 或 UDP 端口的新载量平衡尽可能达到最大。如果某个主机添加到群集中，因为它拥有最高的优先级，会合允许该主机接管端口的处理，并接收它承担的载量平衡通信。群集的扩展不影响正在进行的群集操作，并对 Internet 客户端和服务器端程序透明。然而，由于客户端可能会被重新映射到连接之间的不同群集主机上，因此在选定客户关系后，它可能会影响跨越多个 TCP 连接的客户端会话。网络载量平衡假设群集中的主机只要参与群集主机间的正常报文交换，该主机便可正常工作。如果其他主机在报文交换的某些时段内不能从某个成员接收到响应，它们将初始化会合来重新分配原先由故障的主机处理的负载。您可以控制启动会合操作所需的报文交换周期和丢失报文的数目。默认值分别为 1,000 毫秒（1 秒）和 5 个丢失报文交换时段。由于这些参数不经常修改，所以它们在“网络载量平衡属性”对话框中是不可配置的。若有必要可在注册表中手工调整。 1．3 分布式文件系统概念使用分布式文件系统 (DFS)，系统管理员可以使用户方便地访问和管理物理上分布在网络各处的文件。通过 DFS，可以使分布在多个服务器上的文件如同位于网络上的一个位置一样显示在用户面前。用户在访问文件时不再需要知道和指定它们的实际物理位置。例如，如果市场材料分布在某个域的多个服务器上，则您可使用 DFS，使得所有材料如同存储在一个服务器上一样。这样，用户可避免为查找他们需要的信息而访问网络上的多个位置。使用 DFS 的原因以下情形，您应考虑实施 DFS：文件服务器间的实时备份您期望添加文件服务器或修改文件位置。访问目标的用户分布在一个或多个站点上。大多数用户都需要访问多个目标。通过重新分布目标可以改善服务器的负载平衡状况。用户需要连续地访问目标。您的组织中有供内部或外部使用的网站。 2、实现的环境简介硬件环境：一台域控制器：DELL POWEREDGE系列，至强2.4G，38G硬盘，1G内存一台文件服务器：DELL POWEREDGE4650，奔腾933，六个硬盘做RAID\总共700多G，内存1G 三台以上终端服务器：HP LS6000，至强2.4G，硬盘120G，内存2G，双网卡软件环境：安装WINDOWS2003 终端服务器处还安装了：OFFICE2000、NOTES5.0、WINRAR3.2、终端管理工具等，及其它业务系统最终效果：逐步添加终端和终端服务器，达到100台终端左右，加入域后，实现了用户的集中管理，实现负载平衡后，由 Windows 群集使用的技术通过在群集中跨多个服务器分发客户端请求来伸缩基于服务器的程序（如 Web 服务器）的性能。每台主机都可以指定将要处理的百分比，否则负载将被平均分配给所有主机。如果某台主机发生故障，Windows 群集将会在其余的主机之间动态地重新分发负载 2、1实现的环境说明此硬件环境为负载平衡实现的环境，作为参考依据，具体实现过程由软件配置过程为主 2、1、1意事项 1．安装操作系统为WINDOWS2003，在其上安装的软件尽量注意是否适用于windows2003，如：若安装winrar3.0在windows2003上，会出现查看我的电脑属性消耗极大服务器资源的情况发生，未升级到域前，注意做备份。 2．终端服务器存放各个用户的用户配置文件地方默认为C盘，可以修改到其它盘，注意保证其存放用户配置文件的分区容量尽量大，原因见后；文件服务器存放漫游用户文件的分区也要保证其容量够用 2、1、2实现环境的网络设置如下：（以此为例）子网掩码： 255.255.255.0 网关： 115.88.14.254 首选DNS服务器： 202.96.128.68 域控制器计算机名为：“startad” IP地址规定分配为：“115.88.14.33” 文件服务器计算机名为“startfile” IP地址规定分配为“115.88.14.32” 终端服务器计算机名依次为“start01”、“start02”、………… 终端服务器为双网卡，每个网卡都要分配其一个IP IP地址规定分配如下：终端服务器一“start01”：115.88.14.34和115.88.14.35 终端服务器二“start02”：115.88.14.36和115.88.14.37 终端服务器三“start03”：115.88.14.38和115.88.14.39 ………………………… ………………………… 还规定一个用于整个群集的IP地址115.88.14.238 配置域名为“” 2、2域控制器的配置域控制器计算机名为：“startad” IP地址规定分配为：“115.88.14.33” 配置域名为“ 1．在域控制器上安装好系统。 2．安装好软件，配置好网络设置，连上网络，升级到域控制器（不连上网络无法升级到域控）打开“控制面板”→“管理工具” →“配置您的服务器向导” 选择“第一台服务器的典型配置”，下一步输入域名“” 默认选择下一步，自动开始Active Directory的配置自动重起，配置完成，（注：如果初试网络中还存在另一台域控制器则不会进行“第一台服务器的典型配置”，而会自动转入“自定义配置”） 2、3终端服务器的配置第一台终端服务器“start01”的安装配置：一 1. 安装好windows2003，选择最大连接数为“200” 2. “添加/删除程序”配置好服务器去掉“Internet Explorer 增强的安全配置”选项选择安装上“终端服务器”和“终端服务授权” 3．选择宽松安全模式（可以更好的兼容更多软件，若无此要求且对安全性要求更高则选择严谨安全模式）依次安装好输入法、OFFICE2000、NOTES5.0、及其它软件，做好备份，二：加入域配置好网络TCP/IP属性将两个网卡命名为NIC1和NIC2，设置IP为 NIC1：115.88.14.34 NIC2：115.88.14.35 打开系统属性点击“更改”，将终端服务器一加入域“” 重启即可。三：负载平衡的配置 1．对NIC1网卡进行配置对此网卡NIC1进行负载平衡设置，钩选“网络负载平衡” 打开“属性” “群集参数”中输入规定的用于整个群集的IP地址 115.88.14.238 完整Internet名（域控计算机名.域名） “群集操作模式”选择“多播” 主机参数中设置优先级为 1 （注：终端服务器一start01优先级设为“1”，终端服务器二start02优先级设为“2”，…………依次类推）专用IP设为此网卡NIC1的IP 115.88.14.34 端口规则中“编辑” 筛选模式中“相似性”设为 “无” （负荷量默认为“相等”，即登陆服务器的终端平均分配到终端服务器上） 2．对NIC 1网卡进行 TCP/IP设置：备用DNS中填入域控制器IP 点选“高级”设置添加，输入用于整个群集的IP地址115.88.14.238，并保证此用于整个群集的IP地址在原有IP（网卡NIC1的IP115.88.14.34）之下 3．对NIC 2网卡进行 TCP/IP设置：仅设好IP即可重启服务器至此，网络负载平衡服务配置完成，判断网络负载平衡是否生效可在命令行状态敲入wlbs query，如果返回提示“节点已与节点1、2、3会合”表明安装成功。其它终端服务器“start02、start03……” 的安装配置：一：加入域配置方法同上设置终端服务器一“start01”，注意设好网络TCP/IP属性以终端服务器二“start02”为例将两个网卡命名为NIC1和NIC2，设置IP为 NIC1：115.88.14.36 NIC2：115.88.14.37 二：负载平衡的配置以终端服务器二“start02”为例 1．对NIC1网卡进行配置用于整个群集的IP地址不变 115.88.14.238 主机参数中，优先级设为 2 专用IP设为此网卡NIC1的IP 115.88.14.36 注：一.对于其它终端服务器“start03、start04…………”，优先级依次类推，设为“3”、“4”………… 二.专用IP设为本机的网卡NIC1（即实现负载平衡的网卡）的IP 三．其它参数均按配置终端服务器一“start01”来配 2．对NIC1网卡进行TCP/IP配置配置方法同上设置终端服务器一“start01” 3．对NIC2网卡进行TCP/IP配置配置方法同上设置终端服务器一“start01”，设好IP即可 2、3负载平衡配置注意事项 1、如果可能，在每个群集主机上使用两个或更多的网卡。第二个网卡可提高整个网络的性能并加速对后台数据库的访问。同样，如果群集在单播模式（默认模式）下运行，群集主机之间的普通网络通信只有每个群集主机至少具有两个网卡时才能进行。 2、如果使用了第二个网卡，必须保证只在一个适配器（称为群集适配器）上安装了网络负载平衡。 3、TCP/IP 是群集适配器上的唯一网络协议。不能将任何其他协议（例如，IPX）添加到该适配器中。 4、确保群集参数和端口规则在所有群集主机上设置相同。 5、确保主机参数对每个群集主机都是唯一的。 6、确保进行负载平衡的应用程序使用的所有端口（例如，FTP 使用了端口 20、端口 21、端口 1024-65535）设置了端口规则。在设置完端口规则后单击“添加”按钮。否则，端口规则将不会在规则列表中显示，而且规则也不会生效。 7、确保给定的进行负载平衡的任何应用程序在所有已安装了这些程序的群集主机上均已启动。网络负载平衡不启动程序。 8、安装时在“网络平衡属性”对话框中输入的专用 IP 地址和群集的 IP 地址必须也在“Internet 协议（TCP/IP）属性”对话框中输入。确保在这两个地方的地址相同。 9、确保专用的 IP 地址在“Internet 协议（TCP/IP）属性”对话框总是列在最前（在群集 IP 地址前）。详细信息，请参阅在单网卡上设置用于网络负载平衡的 TCP/IP 和在多网卡上设置用于网络负载平衡的 TCP/IP。 10、专用 IP 地址和群集 IP 地址必须是静态 IP 地址。而不能是 DHCP 地址。 11、确保群集中的所有主机属于同一个子网并且群集的客户机能够访问该子网。除群集所在的子网以外，网络负载平衡没有使用群集互联网络。在没有必要的情况下试图创建系统区域网络 (SAN)，就不应该连接两个网卡。 12、确保所有的群集主机要么运行于单播模式，要么运行于多播模式，而不是在两种模式下运行。 13、网络负载平衡命令行的命令都以“wlbs”开头。 14、网络负载平衡在 Windows 2000 Advanced Server 上作为一项服务存在。它不以安装程序（例如 Setup.exe）的形式进行安装。 2、4文件服务器的配置先将文件服务器也加入域再在Windows2003下： “控制面板”→“管理工具”“配置您的服务器向导” 下一步，直到选择“自定义配置” 下一步，选择文件服务器（若系统检查到网络中存在一个域控制器则自动转入此步）下一步，直至启动共享文件夹向导再下一步，直到选择路径，选择一files文件夹共享用来存放用户个人文件（重定向的文件夹）下一步，直到选择权限，按下图配置权限完成，选择关闭时再次运行该向导同样方法配置一个共享目录 “startuser” 用来存放漫游用户文件，即用户个人配置文件 2、5其它设置：域用户的加入一．终端服务器加入域后，在登陆时要选择登陆域，而不是登陆本机，每次管理员登陆服务器输入的是域控制器的密码。二．组织单元（ou）、用户和组都在域控制器处添加，组织单元的建立是为了方便 “控制面板”→“管理工具”→“Active Directory 用户和计算机” 在域名“”上点右键，“新建”→“组织单元”输入名称“瘦客户机部” （同样方法建立另一个组织单元“技术支持部”）在“瘦客户机部”组织单元上点右键，“新建”→“组”，输入名称“广州” （同样方法建立另一个组“福州”）在“瘦客户机部”组织单元上点右键，“新建”→“用户”，输入名称“ning” 下一步，注意windows2003默认启用了密码的复杂性要求，依用户需要更改，要在“管理工具”→“域安全策略”中修改（注：用户名称建议输入英文，因为有部分软件不支持中文名称，如：notes5.0等）（同样方法建立其他用户）用户加入组：双击“广州”，“成员”中“添加”，加入用户ning等在每台终端服务器上，“管理工具”→“终端服务配置”→“连接” →“RDP－TCP”连接属性→“权限” →“添加”上组，并钩选用户访问。 2、6用户配置及文件的集中管理配置负载平衡后，终端用户登陆服务器的IP设为用户群集的IP 115.88.14.238，具体登陆的是哪一台终端服务器是由负载平衡自动来分配的，因此各个用户的配置文件、存放在“我的文档”中资料放在哪台服务器上是不一定的，要想用户每次登陆服务器的用户配置文件和资料始终相同需要用到漫游用户和文件夹重定向到文件服务器，因此每台终端服务器上都有可能存放域中所有用户的配置文件和资料，所以需要将终端服务器和文件服务器上存放用户文件的分区设置得合适大小。文件夹重定向仅仅是将用户的个人目录存放到文件服务器，但用户的个人配置文件还存放在终端登陆的一台终端服务器上，因此如果终端服务器较多、软件有些特殊的话，例如“notes5.0”的共享安装多用户使用，则每台终端服务器都需要进行配置，用户增加的话就是一个比较大的工作量，因此需要用到漫游用户，仅仅在文件服务器上为每个用户配置一遍后，就不必再对每台终端服务器都进行配置。文件夹重定向： “管理工具”→“Active Directory 用户和计算机” →组织单元“瘦客户机部”属性→“组策略” →“新建”组策略对象，并命名 “编辑”→“用户配置”→“windows设置”→“文件夹重定向”→“我的文档”属性按用户要求进行重定向设置，指向用户文件服务器上建立的共享目录：以为每个用户建立一个目录为例注意分配给用户的权限，管理员是否需要对用户的目录进行管理 2、7漫游用户以一个用户ning为例在“管理工具”→“Active Directory 用户和计算机”→组织单元“瘦客户机部”中，双击用户ning，输入路径“\\文件服务器名\漫游用户文件存放路径\用户名” 配置完成，以后用户不论登陆到哪台终端服务器，其配置文件和个人文件总是保证是最新最完整的。 2、8终端服务授权的安装在含有终端服务器及域控制器的网络中，在终端服务器中不再安装终端服务授权，而改为在域控制器中安装终端服务授权。所有终端均在域控制器中获得终端服务许可证。附一、组织单元包含在域中的特别有用的目录对象类型就是组织单位。组织单位是可将用户、组、计算机和其他组织单位放入其中的 Active Directory 容器。它不能容纳来自其他域的对象。组织单位是可以指派组策略设置或委派管理权限的最小作用域或单元。使用组织单位，您可在组织单位中代表逻辑层次结构的域中创建容器。这样您就可以根据您的组织模型管理帐户和资源的配置和使用。如图中所示，组织单位中可包含其他的组织单位。可根据需要扩展容器的层次以模拟域中组织的层次。使用组织单位可帮助您将网络所需的域数量降到最低。可使用组织单位创建可缩放到任意规模的管理模型。用户可拥有对域中所有组织单位或对单个组织单位的管理权限。组织单位的管理员不需要具有域中任何其他组织单位的管理权限。组，及其作用域组（不论是安全组还是通讯组）都有一个作用域，用来确定在域树或林中该组的应用范围。有三类不同的组作用域：通用、全局和本地域。通用组的成员可包括域树或林中任何域中的其他组和帐户，而且可在该域树或林中的任何域中指派权限。全局组的成员可包括只在其中定义该组的域中的其他组和帐户，而且可在林中的任何域中指派权限。本地域组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和帐户，而且只能在域内指派权限。下表总结了不同组作用域的行为。通用作用域全局作用域本地域作用域当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时，通用组的成员可包括来自任何域的帐户、全局组和通用组。当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时，全局组的成员可包括来自相同域的帐户或全局组。当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时，本地域组的成员可包括来自任何域的帐户、全局组或通用组，以及来自相同域的本地域组。当域功能级别被设置为 Windows 2000 混合时，不能创建具有通用组的安全组。当域功能级别被设置为 Windows 2000 混合时，全局组的成员可包括来自相同域的帐户。当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时，本地域组的成员可包括来自任何域的帐户或全局组。当域功能级别被设置为 Windows 2000 本机或 Windows Server 2003 时，组可被添加到其他组并在任何域中指派权限。组可被添加到其他组并且在任何域中指派权限。组可被添加到其他本地域组并且仅在相同域中指派权限。组可转换为本地域作用域。只要组中没有其他通用组作为其成员，就可以转换为全局作用域。只要组不是具有全局作用域的任何其他组的成员，就可以转换为通用作用域。只要组不把具有本地域作用域的其他组作为其成员，就可转换为通用作用域。何时使用具有本地域作用域的组具有本地域作用域的组将帮助您定义和管理对单个域内资源的访问。这些组可将以下组或帐户作为它的成员：具有全局作用域的组具有通用作用域的组帐户具有本地域作用域的其他组上述任何组或帐户的混合体例如，要使五个用户访问特定的打印机，您可在打印机权限列表中添加全部五个用户。如果您以后希望这五个用户都能访问新的打印机，则需要再次在新打印机的权限列表中指定全部五个帐户。如果采用简单的规划，您可通过创建具有本地域作用域的组并指派给其访问打印机的权限来简化常规的管理任务。将五个用户帐户放在具有全局作用域的组中，并且将该组添加到有本地域作用域的组。当您希望使五个用户访问新打印机时，可将访问新打印机的权限指派给有本地域作用域的组。具有全局作用域的组的成员自动接受对新打印机的访问。何时使用具有全局作用域的组使用具有全局作用域的组管理那些需要每天维护的目录对象，如用户和计算机帐户。因为有全局作用域的组不在自身的域之外复制，所以具有全局作用域的组中的帐户可以频繁更改，而不需要对全局编录进行复制以免增加额外通信量。虽然权利和权限指派只在指派它们的域内有效，但是通过在相应的域中统一应用具有全局作用域的组，可以合并对具有类似用途的帐户的引用。这将简化不同域之间的管理，并使之更加合理化。例如，在具有两个域（如 Europe 和 UnitedStates）的网络中，如果 UnitedStates 域中有一个称作 GLAccounting 的具有全局作用域的组，则 Europe 域中也应有一个称作 GLAccounting 的组（除非 Europe 域中不存在帐户管理功能）。强力推荐在指定复制到全局编录的域目录对象的权限时，使用全局组或通用组，而不是本地域组。何时使用具有通用作用域的组使用具有通用作用域的组来合并跨越不同域的组。为此，请将帐户添加到具有全局作用域的组并且将这些组嵌套在具有通用作用域的组内。使用该策略，对具有全局作用域的组中的任何成员身份的更改都不影响具有通用作用域的组。例如，在具有 Europe 和 UnitedStates 这两个域的网络中，在每个域中都有一个名为 GLAccounting 全局作用域的组，创建名为 GLAccounting 且具有通用作用域的组，可以将两个 GLAccounting 组 UnitedStates\GLAccounting 和 Europe\GLAccounting 作为它的成员。这样就可在企业的任何地方使用 UAccounting 组。对个别 GLAccounting 组的成员身份所做的任何更改都不会引起 UAccounting 组的复制。具有通用作用域的组成员身份不应频繁更改，因为对这些组成员身份的任何更改都将引起整个组的成员身份复制到树林中的每个全局编录中。更改组作用域创建新组时，在默认情况下，新组配置为具有全局作用域的安全组，而与当前域功能级别无关。尽管在域功能级别设置为 Windows 2000 混合的域中不允许更改组作用域，但在其域功能级别设置为 Windows 2000 本地或 Windows Server 2003 的域中，允许进行下列转换：全局到通用。只有当要更改的组不是另一个全局作用域组的成员时，允许进行该转换。本地域到通用。只有当要更改的组没有另一个本地域组作为其成员时，允许进行该转换。通用到全局。只有当要更改的组没有另一个通用组作为其成员时，允许进行该转换。通用到本地域。该操作没有限制。在客户端计算机和独立服务器上的组某些组功能，诸如通用组、组嵌套以及安全组和通讯组之间的区分，仅在 Active Directory 域控制器和成员服务器上提供。在 Windows 2000 Professional、XOX、Windows 2000 Server 或运行 Windows Server 2003 的独立服务器上的组帐户与 Windows NT 4.0 中的组帐户工作原理相同：在计算机上只能在本地创建本地组。创建于其中一台计算机上的本地组只能在该计算机上被指派权限。

展开阅读全文