Groepsbereik

Groepsbereik

Elke groep, ongeacht de vraag of deze een beveiligingsgroep of een distributiegroep is, wordt gekenmerkt door een bereik dat aangeeft in welke mate de groep wordt toegepast in de domeinstructuur of het forest. De grens of het bereik van een groepsbereik wordt ook bepaald door de instelling voor het domeinfunctionaliteitsniveau van het domein waarin dit zich bevindt. Er zijn drie verschillende groepsbereiken: universeel, globaal en domeingebonden.

In de volgende tabel worden de verschillen tussen de bereikwaarden voor elke groep beschreven.

 

Groepsbereik

Groep kan als leden bevatten…

Aan groep kunnen machtigingen worden toegewezen in…

Groepsbereik kan worden geconverteerd naar…

Universeel

 • Accounts van elk domein in het forest waarin deze universele groep zich bevindt
 • Globale groepen van elk domein in het forest waarin deze universele groep zich bevindt
 • Universele groepen van elk domein in het forest waarin deze universele groep zich bevindt

Elk domein of forest

 • Domeingebonden
 • Globaal (zolang er geen andere universele groepen als leden bestaan)

Globaal

 • Accounts van hetzelfde domein als de bovenliggende globale groep
 • Globale groepen van hetzelfde domein als de bovenliggende globale groep

Ledenmachtigingen kunnen in elk domein worden toegewezen

Universeel (zolang het item geen lid is van andere globale groepen)

Domeingebonden

 • Accounts van elk domein
 • Globale groepen van elk domein
 • Universele groepen van elk domein
 • Domeingebonden groepen maar alleen uit hetzelfde domein als de bovenliggende domeingebonden groep

Ledenmachtigingen kunnen alleen binnen hetzelfde domein als de bovenliggende domeingebonden groep worden toegewezen

Universeel (zolang er geen andere domeingebonden groepen als leden bestaan)

noteOpmerking
In deze tabel wordt ervan uitgegaan dat het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 native modus, Windows Server 2003 of Windows Server 2003 interim. Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 gemengde modus, kunnen er geen beveiligingsgroepen met universeel bereik worden gemaakt maar zijn distributiegroepen met een universeel bereik wel toegestaan.

Wanneer u groepen met domeingebonden bereik gebruikt

Met groepen met domeingebonden bereik kunt u de toegang tot bronnen binnen één domein eenvoudiger definiëren en beheren. Als u bijvoorbeeld vijf gebruikers toegang wilt geven tot een bepaalde printer, kunt u alle vijf de gebruikers toevoegen aan de lijst met printermachtigingen. Als u de vijf gebruikers later echter toegang wilt geven tot een nieuwe printer, moet u opnieuw alle vijf de accounts opgeven in de lijst met machtigingen voor de nieuwe printer.

Met enige planning kunt u deze beheerhandeling vereenvoudigen door een groep te maken met een domeingebonden bereik en aan de groep de machtiging te verlenen de printer te gebruiken. Plaats de vijf gebruikers in een groep met globaal bereik en voeg deze groep toe aan de groep met domeingebonden bereik. Als u de vijf gebruikers toegang tot de nieuwe printer wilt geven, wijst u aan de groep met domeingebonden bereik de machtiging voor toegang tot de nieuwe printer toe. Alle leden van de groep met globaal bereik krijgen automatisch toegang tot de nieuwe printer.

Wanneer u groepen met globaal bereik gebruikt

Met groepen met globaal bereik beheert u directoryobjecten die dagelijks onderhoud vereisen, zoals gebruikers- en computeraccounts. Omdat groepen met globaal bereik niet buiten het eigen domein worden gerepliceerd, kunt u accounts in groepen met globaal bereik regelmatig wijzigen zonder dat dit replicatieverkeer naar de globale catalogus genereert. Zie De werking van replicatie voor meer informatie over groepen en replicatie.

Hoewel rechten en machtigingen alleen geldig zijn binnen het domein waarbinnen deze zijn toegewezen, kunt u verwijzingen naar accounts met vergelijkbare doelen consistent maken door groepen met globaal bereik op een uniforme manier toe te passen binnen de juiste domeinen. Dit vereenvoudigt en verduidelijkt het beheer van groepen in verschillende domeinen. Stel dat u een netwerk hebt met twee domeinen, Europa en VerenigdeStaten. Als het domein VerenigdeStaten een groep met globaal bereik bevat die GLBoekhouding heet, maakt u in het domein Europa ook een groep zijn met die naam (tenzij de boekhoudfunctie niet bestaat binnen het domein Europa).

Het is raadzaam om globale groepen of universele groepen te gebruiken in plaats van domeingebonden groepen waneer u machtigingen opgeeft voor domeinmapobjecten die worden gerepliceerd naar de globale catalogus. Zie Replicatie van de globale catalogus voor meer informatie.

noteOpmerking
Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 gemengde modus, kunnen leden van globale groepen alleen accounts uit hetzelfde domein opnemen.

Wanneer u groepen met universeel bereik gebruikt

Met groepen met universeel bereik verenigt u groepen die domeinen omvatten. Hiervoor voegt u de accounts toe aan groepen met globaal bereik en nest u deze groepen in groepen met universeel bereik. Als u deze strategie volgt, hebben lidmaatschapswijzigingen in de groepen met globaal bereik geen effect op de groepen met universeel bereik.

U hebt bijvoorbeeld een netwerk met twee domeinen, Europa en VerenigdeStaten, en een groep met globaal bereik genaamd GLBoekhouding in beide domeinen. U maakt een groep met universeel bereik genaamd UBoekhouding, die als lid de twee GLBoekhouding-groepen heeft: VerenigdeStaten\GLBoekhouding en Europa\GLBoekhouding. De groep UBoekhouding kan nu overal in de onderneming worden gebruikt. Wijzigingen in het lidmaatschap van de afzonderlijke GLBoekhouding-groepen leiden niet tot replicatie van de groep UBoekhouding.

Wijzig het lidmaatschap van een groep met universeel bereik niet regelmatig, omdat alle wijzigingen in deze groepslidmaatschappen ertoe leiden dat de gegevens voor het hele lidmaatschap van de groep wordt gerepliceerd naar elke globale catalogus in het forest. Zie Globale catalogussen en sites voor meer informatie over universele groepen en replicatie.

noteOpmerking
Wanneer het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 gemengde modus, kunt u geen beveiligingsgroepen met universeel bereik maken.

Groepsbereik wijzigen

Als u een nieuwe groep maakt, wordt de nieuwe groep standaard geconfigureerd als een beveiligingsgroep met globaal bereik, ongeacht het huidige domeinfunctionaliteitsniveau. Hoewel het wijzigen van een groepsbereik niet is toegestaan in domeinen waarvoor het functionaliteitsniveau is ingesteld op Windows 2000 gemengde modus, zijn de volgende conversies toegestaan in domeinen waarvoor het functionaliteitsniveau is ingesteld op Windows 2000 native modus of Windows Server 2003:

 • Globaal naar universeel. Deze conversie is alleen toegestaan als de groep die u wilt wijzigen geen lid is van een andere groep met een globaal bereik.
 • Domeingebonden naar universeel. Deze conversie is alleen toegestaan als de groep die u wilt wijzigen geen lid is van een andere groep met een domeingebonden bereik.
 • Universeel naar globaal. Deze conversie is alleen toegestaan als de groep die u wilt wijzigen geen lid is van een andere groep met een universeel bereik.
 • Universeel naar domeingebonden. Voor deze bewerking gelden geen beperkingen.

Zie Groepsbereik wijzigen voor meer informatie.

Groepen op clientcomputers en zelfstandige servers

Bepaalde groepsfuncties, zoals universele groepen, geneste groepen en het verschil tussen beveiligingsgroepen en distributiegroepen, zijn alleen beschikbaar op Active Directory-domeincontrollers en -lidservers. Groepsaccounts op servers met Windows 2000 Professional, Windows XP Professional of Windows 2000 Server en zelfstandige servers met Windows Server 2003 werken hetzelfde als in Windows NT 4.0:

 • Alleen domeingebonden groepen kunnen lokaal op de computer worden gemaakt.
 • Aan een domeingebonden groep die op een van deze computers wordt gemaakt, kunnen alleen machtigingen op die computer worden toegewezen.

Zie Standaard lokale groepen voor meer informatie.

Community-inhoud

Weergeven: