TechNet
Exporteren (0) Afdrukken
Alles uitvouwen

Waar groepen kunnen worden gemaakt

Waar groepen kunnen worden gemaakt

In Active Directory worden groepen gemaakt in domeinen. U gebruikt Active Directory: gebruikers en computers voor het maken van groepen. Als u de benodigde machtigingen hebt, kunt u groepen maken in het hoofddomein van het forest, in elk willekeurig ander domein in het forest of in een organisatie-eenheid.

Een groep wordt behalve door het domein waarin deze wordt gemaakt, ook gekenmerkt door het bereik ervan. Het bereik van een groep bepaalt het volgende:

  • Het domein van waaruit leden kunnen worden toegevoegd
  • Het domein waarin de rechten en machtigingen gelden die aan de groep zijn toegewezen

Zie Groepsbereik voor meer informatie over groepsbereik.

Kies het domein of de organisatie-eenheid waarin u een groep maakt op basis van de eisen die voor het beheer van de groep gelden. Als uw directory bijvoorbeeld meerdere organisatie-eenheden omvat die elk een andere beheerder hebben, wilt u mogelijk binnen deze organisatie-eenheden groepen met een globaal bereik maken, zodat de beheerders het lidmaatschap kunnen beheren voor gebruikers in hun organisatie-eenheid. Als groepen nodig zijn voor toegangsbeheer buiten de organisatie-eenheid, kunnen de groepen binnen de organisatie-eenheid worden genest in groepen met universeel bereik (of andere groepen met globaal bereik), die elders in het forest kunnen worden gebruikt.

Als het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 native modus of hoger, het domein een hiërarchie van organisatie-eenheden bevat en het beheer per organisatie-eenheid is overgedragen aan een beheerder, kan het efficiënter zijn groepen met globaal bereik te nesten. Als de organisatie-eenheid OE1 bijvoorbeeld de organisatie-eenheden OE2 en OE3 bevat, kan een groep met globaal bereik in OE1 groepen met globaal bereik in OE2 en OE3 als lid hebben. In OE1 kan de beheerder groepsleden uit OE1 toevoegen of verwijderen en de beheerders van OE2 en OE3 kunnen groepsleden toevoegen of verwijderen voor accounts uit hun eigen organisatie-eenheid, zonder beheerrechten te hebben voor de groep met globaal bereik in OE1.

Opmerking

  • Groepen kunnen binnen een domein worden verplaatst. Alleen groepen met universeel bereik kunnen echter van het ene domein naar het andere worden verplaatst. De rechten en machtigingen die zijn toegewezen aan een groep met universeel bereik, gaan verloren als de groep naar een ander domein wordt verplaatst en er nieuwe toewijzingen moeten worden uitgevoerd.

Zie de De Windows Deployment Kit en Resource Kit gebruiken voor informatie over de hulpprogramma's waarmee u groepen tussen domeinen verplaatst.

Community-inhoud

Weergeven:
© 2016 Microsoft