Esporta (0) Stampa
Espandi tutto

Ambiti dei gruppi

Aggiornamento: marzo 2007

Si applica a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Ambiti dei gruppi

Qualsiasi gruppo, che sia di protezione o di distribuzione, è caratterizzato da un ambito che identifica la gamma di applicazione del gruppo all'interno della struttura di dominio o dell'insieme di strutture. Il limite, o la portata, dell'ambito di un gruppo si determina anche in base all'impostazione del livello di funzionalità del dominio riferito al dominio in cui il gruppo risiede. Esistono tre ambiti di gruppo: universale, globale e locale di dominio.

Nella tabella riportata di seguito sono illustrate le differenze tra gli ambiti di ciascun gruppo.

 

Ambiti dei gruppi

Il gruppo può contenere come membri…

Al gruppo possono essere assegnate autorizzazioni in…

L'ambito del gruppo può essere convertito in…

Universale

  • Account di qualsiasi dominio all'interno dell'insieme di strutture in cui risiede il gruppo universale

  • Gruppi globali di qualsiasi dominio all'interno dell'insieme di strutture in cui risiede il gruppo universale

  • Gruppi universali di qualsiasi dominio all'interno dell'insieme di strutture in cui risiede il gruppo universale

Qualsiasi dominio o insieme di strutture

  • Locale al dominio

  • Globale (se non esistono altri gruppi universali come membri)

Globale

  • Account dello stesso dominio del gruppo globale padre

  • Gruppi globali dello stesso dominio del gruppo globale padre

Le autorizzazioni ai membri possono essere assegnate in qualsiasi dominio

Universale (se non è un membro di un altro gruppo globale)

Locale al dominio

  • Account di qualsiasi dominio

  • Gruppi globali di qualsiasi dominio

  • Gruppi universali di qualsiasi dominio

  • Gruppi locali del dominio, ma solo dello stesso dominio del gruppo locale del dominio padre

Le autorizzazioni ai membri possono essere assegnate solo all'interno dello stesso dominio del gruppo locale del dominio padre

Universale (se non esistono altri gruppi locali del dominio come membri)

noteNota
Per i dati riportati nella tabella si presuppone che il livello di funzionalità del dominio sia impostato su Windows 2000 nativo, Windows Server 2003 o Windows Server 2003 interim. Quando il livello di funzionalità del dominio è impostato sulla modalità mista di Windows 2000, non è possibile creare gruppi di protezione con ambito universale, mentre sono consentiti i gruppi di distribuzione con ambito universale.

Quando utilizzare i gruppi con ambito locale di dominio

I gruppi con ambito locale di dominio consentono di definire e gestire l'accesso alle risorse all'interno di un singolo dominio. Per concedere a cinque utenti l'accesso a una determinata stampante, ad esempio, è possibile aggiungere i cinque account utente all'elenco delle autorizzazioni della stampante. Tuttavia, se in un secondo momento si desidera concedere ai cinque utenti l'accesso a una nuova stampante, sarà necessario specificare di nuovo i cinque account nell'elenco delle autorizzazioni della nuova stampante.

Con una minima attività di pianificazione è possibile semplificare questa operazione amministrativa di routine creando un gruppo con ambito locale di dominio e assegnando a tale gruppo l'autorizzazione ad accedere alla stampante. Inserire i cinque account utente in un gruppo con ambito globale e aggiungere il gruppo a quello con ambito locale di dominio. Quando si desidera concedere ai cinque utenti l'accesso a una nuova stampante, assegnare al gruppo con ambito locale di dominio l'autorizzazione ad accedere alla nuova stampante. Tutti i membri del gruppo con ambito globale riceveranno automaticamente l'accesso alla nuova stampante.

Quando utilizzare i gruppi con ambito globale

Utilizzare i gruppi con ambito globale per gestire oggetti directory che richiedono una manutenzione quotidiana, ad esempio gli account utente e gli account computer. Poiché i gruppi con ambito globale non vengono replicati all'esterno del dominio di appartenenza, gli account di un gruppo con ambito globale possono essere modificati di frequente senza generare traffico di replica verso il catalogo globale. Per ulteriori informazioni sui gruppi e sulla replica, vedere Funzionamento della replica.

Sebbene i diritti e le autorizzazioni siano validi solo all'interno del dominio in cui vengono assegnati, applicando uniformemente i gruppi con ambito globale nei domini appropriati, sarà possibile consolidare i riferimenti agli account che hanno scopi simili. In tal modo si semplifica e razionalizza la gestione dei gruppi tra domini diversi. Si supponga di disporre di una rete composta dai due domini Europa e StatiUniti. Se nel dominio Europa è presente un gruppo con ambito globale denominato GLAmministrazione, è opportuno che esista un gruppo GLAmministrazione anche nel dominio StatiUniti, a meno che in questo dominio il reparto Amministrazione non esista.

Durante la definizione delle autorizzazioni per gli oggetti directory del dominio che vengono replicati nel catalogo globale, è consigliabile utilizzare gruppi globali o universali anziché gruppi locali del dominio. Per ulteriori informazioni, vedere Replica del catalogo globale.

noteNota
Quando il livello di funzionalità del dominio è impostato su Windows 2000 misto, i membri dei gruppi globali possono includere account dello stesso dominio.

Quando utilizzare i gruppi con ambito universale

Utilizzare i gruppi con ambito universale per consolidare i gruppi utilizzati in più domini. Per eseguire questa operazione, aggiungere gli account a gruppi con ambito globale, quindi nidificare questi ultimi in gruppi con ambito universale. Quando si adotta questa strategia, le eventuali modifiche apportate alle appartenenze ai gruppi con ambito globale non influiscono sui gruppi con ambito universale.

Ad esempio, in una rete costituita da due domini, Europa e StatiUniti, e in un gruppo con ambito globale denominato GLAmministrazione in ciascun dominio, creare un gruppo con ambito universale denominato UNAmministrazione che abbia come membri i due gruppi GLAmministrazione (Europa\\GLAmministrazione e StatiUniti\\GLAmministrazione). Il gruppo UNAmministrazione potrà quindi essere utilizzato ovunque all'interno dell'organizzazione. Qualsiasi modifica apportata all'appartenenza dei singoli gruppi GLAmministrazione non causerà la replica del gruppo UNAmministrazione.

Evitare di modificare spesso i membri di un gruppo con ambito universale, poiché qualsiasi modifica ai gruppi provoca la replica dell'appartenenza del gruppo in ciascun catalogo globale dell'insieme di strutture. Per ulteriori informazioni sui gruppi universali e sulla replica, vedere Cataloghi globali e siti.

noteNota
Quando il livello di funzionalità del dominio è impostato su Windows 2000 misto, non è possibile creare gruppi di protezione con ambito universale.

Modifica dell'ambito dei gruppi

Quando si crea un nuovo gruppo, per impostazione predefinita il gruppo viene configurato come gruppo di protezione con ambito globale, indipendentemente dal livello di funzionalità corrente del dominio. Sebbene non sia possibile modificare l'ambito di un gruppo nei domini con livello di funzionalità impostato su Windows 2000 misto, nei domini con livello di funzionalità impostato su Windows 2000 nativo o su Windows Server 2003 sono consentite le conversioni seguenti:

  • Da globale a universale.Questa conversione è consentita solo se il gruppo da modificare non è membro di un altro gruppo con ambito globale.

  • Da locale di dominio a universale.Questa conversione è consentita solo se tra i membri del gruppo da modificare non è presente un altro gruppo locale.

  • Da universale a globale.Questa conversione è consentita solo se tra i membri del gruppo da modificare non è presente un altro gruppo universale.

  • Da universale a locale di dominio.Non sono previste limitazioni per questa operazione.

Per ulteriori informazioni, vedere Modificare l'ambito dei gruppi.

Gruppi su computer client e server autonomi

Alcune funzionalità relative ai gruppi, ad esempio i gruppi universali, la nidificazione dei gruppi e la distinzione tra i gruppi di protezione e quelli di distribuzione, sono disponibili solo sui server membri e i controller di dominio di Active Directory. Gli account di gruppo in Windows 2000 Professional, in Windows XP Professional, in Windows 2000 Server e nei server autonomi con sistema operativo Windows Server 2003 funzionano in modo analogo a quelli di Windows NT 4.0:

  • A livello locale sul computer è possibile creare solo i gruppi locali.

  • Ai gruppi locali creati su uno di questi computer è possibile assegnare autorizzazioni solo in tale computer.

Per ulteriori informazioni, vedere Gruppi locali predefiniti.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

Mostra:
© 2014 Microsoft