管理的两大误用：“以老板为中心”与“制度大于经营”
作者：夏惊鸣，华夏基石业务副总裁，战略文化、组织与人力资源资深专家
来源：华夏基石e洞察（ID：chnstonewx）
权力驱动还是市场驱动？
一个组织没有效率,我们往往认为没有放权,但是放权之后,并没有得到改观；我们又认为是管理流程的问题，但优化管理流程之后，也没有多少效果。仍然是与内部打交道比与外部还要难。
这是什么原因呢？放权和管理流程优化（流程优化本质上也是责权问题）都没有错，但是我们必须解决一个本质的问题：为谁用&权&&&这是我们的管理导向，直接决定了一个管理体制的效率与活力。
为谁用&权&呢？我们在行使责权和流程优化时经常会遇到一个误区：是权力驱动，还是市场驱动。这一误区具体体现在两个方面：一个方面是以&老板&为中心，进行&猜老板&式的决策，而不是以&公司&为中心，以&经营与发展&的需要去决策；另一个方面是集团部门都成了&管理&的部门，是官僚，专门干&警察抓小偷&的事情，当然，集团确实有控制的功能，但更重要的是，集团是一个&专业支持&部门，是一个激发思考、让思考和行动透明的组织者。
为谁用&权&&&由&权力驱动&转向&市场驱动&。一旦确立了由市场驱动，我们才能真正解决集团是工作的制造者，内部协调比外部协调更难的现象，流程的效率才能得到根本性解决。
我们看一个案例来体会。
据华为公司一线售前服务人员透露，一些业务部门对一线服务支持不到位，责任不明确，经常会出现内部相互扯皮的现象。华为公司把原来跨业务部门的销售模式调整为现在的按业务块划分的结构，他把原来的统一销售部门打散，划归到各个业务部门中，形成按业务单元把产品部门和销售部门、服务部门完全一条龙结合在一起的、类似于事业部式的组织结构。2009年年初，任正非在题为《让一线直接呼唤炮火》的内部讲话中，用惯用的军事化语言对华为正在进行的组织结构调整的原因进行了明确的表述：&我们现在的情况是，前方的作战部队，只有不到三分之一的时间是用在找目标、找机会以及将机会转化为结果上，而大量的时间是用在频繁地与后方平台往返沟通协调上。而且后方应解决的问题让前方来协调，拖了作战部队的后腿。&
任正非受美军特种部队的启示颇大：美军特种部队前线小组由一名信息情报专家、一名火力炸弹专家、一名战斗专家组成一组，在前方寻找作战目标，并进行分析制定作战方案，在权限范围内，直接指挥后方炮火。而以前前线的连长指挥不了炮兵，要报告师部请求支援，由师部下命令炮兵才开炸。这样华为公司就把原来由客户经理一人面对客户的模式调整为以客户经理、解决方案专家、交付专家组成的三人工作小组，形成面向客户的&铁三角&基层作战单元。基层作战单元，在项目管理上，依据&条款、签约、价格&三个授权文件，以毛利及现金流进行授权，在授权范围内直接指挥炮火，超越授权要按程序审批。调整后，由以前的单兵作战转变为小团队作战，并且大大缩短决策过程，大大提升内部沟通与协调效率。
具体来讲，以市场驱动在组织和流程上如何体现呢？
比如讲在组织上。以前华为的产品开发都在中研部(中央研究部)，现在改由PDT(产品开发团队)来承担。以前中研部全权负责研发，市场部门负责销售，中研部做什么，市场部门就卖什么。现在是每个产品都有各自的PDT，每一个PDT团队由研发、市场、财务、采购、用户服务、生产等各部门抽调的代表组建，像一个个创业型小企业，从研发开始，对市场、利润、产品生命周期等全程负全部责任，共同协作完成一个产品从概念、研发，到生产、上市的全过程，从而真正实现由市场驱动，产品研发和市场的同步进行。
比如讲在人事安排上。孙雨辰是华为宽带产品PDT的头儿，以前是做市场的。按理负责研发的头儿应由有多年研发经验的技术人员担任，但当时华为高层强调说：PDT的头目一定得是市场人员。
比如讲在运作流程上。市场代表带着产品规格、技术参数等信息到市场上搜集客户反馈，据此考虑市场空间、客户需求的排序，哪些需求会对未来产品的市场潜力和竞争力产生重大影响等等。在市场人员的强烈参与下，产品的概念得以形成。
接着，财务代表根据市场代表提供的市场数据算账：需投入多少研发工程师、仪器设备成本、制造成本、物料成本、产品生命周期内销售额、利润等，一份&商业计划书&诞生了，用以说服IPMT(投资管理委员会，分产品线设立，共有9个)同意为该产品投资。
用户服务工程师以前对中研部意见最大，因为产品出了问题，没完没了替中研部&擦屁股&。现在在产品策划阶段，用户服务代表&新愁旧恨一起算&，一口气提出100多条可维护性需求，让孙雨辰和其他人大吃一惊。他们开始意识到，在产品设计时就考虑这些可维护需求，对提高产品未来的市场竞争力极有好处。
采购人员也没等项目开始研发，就引入了元器件供应商的竞争和谈判，结果使整个产品的成本降低了40%还多。而以往元器件的选择往往由研发人员决定，他们更多地是想如何使产品功能更强大，很少从降低成本角度考虑。财务和采购的及早加入，使产品的成本竞争力提高了许多。
比如讲，在考核激励上。业务各环节就是一个团队，每个环节与市场的整体成果挂钩，每各环节并承担该环节在市场上表现出来的相应绩效。
这样，就形成了&统一于争夺市场&的一体化组织，组织的行为真正做到了由市场来驱动。
这里谈到的是分权情况下，如何实现市场驱动的流程协同。那么一个问题是，集权的情况下能不能实现市场驱动流程呢？因为企业在小的时候，一般是集权的，任正非在这次讲话中也说到：&我们并不否定廿年来公司取得的成绩。廿年来公司是实行高度的中央集权，防止了权力分散而造成失控，形成灾难，避免了因发展初期产生的问题而拖垮公司。&很显然，是否市场驱动，不是集权与分权的问题，分权可以市场驱动，集权也可以市场驱动，只要&掌权者&不是享受&审批&的快感，而是坚持一切为了前线的胜利，承担&市场责任&。就如任正非在华为高度集权的发展初期，对研发部门所言&华为没有院士，只有&院土&，把&士&的下面一横拉长一点。要想成为院士，就不要来华为。&这里的&院土&，就是任正非常说的&工程商人&。企业是搞产品研发，不是搞发明创造，不是要破解歌德巴赫猜想，而是对产品的市场成功负责。只要确立&市场主义&，分权可以市场驱动，集权也可以市场驱动。
再一个问题是，我们谈集团是对一线的支持，那么集团的管理是不是不需要对一线进行控制呢？控制一定是要的，由内控需要的控制点是必须的。问题是我们怎么理解控制。从另一个角度讲，控制就是放权，放权也是控制。控制就如一个圈，圈内进行控制，圈外无限的范围可以自由发挥自主性。当然，控制也是一切从经营的角度出发，在活力与风险间进行平衡，控制不是问题，关键是不能控制过度，因此控制部门需要有&经营意识&。举一个案例来说，在华为差旅费报销是很快的。首先在出差申请方面是很严格的，出差必须是要解决什么问题，有价值，相关部门愿意承担这个成本。其次，他假定每个人是信用良好，因此，差旅费由部门审核，财务审批就可以直接报销，根本不需要层层审批。当然，事后配套审计，一旦发现问题，当事人及相关负责人都要承担责任，信用记录不良，不仅仅影响以后的报销时间，也影响到相关人员的任用和利益，严重的甚至开除。再比如讲，前述一线的客户经理、方案经理、交付经理形成的铁三角，可以根据&条款、签约、价格&三个授权文件，呼唤炮火，指挥后方平台，这是分权呢还是控制呢？这既是分权也是控制。控制就是风险与经营活力的权衡。
还有一个问题是，总部与一线的业务协同是很容易理解的，但是战略、人力资源等（也有业务支持的功能）并不是业务协同部门，他们如何产生集团管理的价值呢？这个前文已说得很清楚，集团部门不是审批者，而是组织者，让沟通流畅，让思考发生,让责任承担，让行动透明，让资源配置优化。而不是坐在办公室里的审批者，也不是到处巡视抓小偷的警察！
制度第一还是经营第一？
管控体系的另一个导向是：制度第一，还是经营第一。管理一定要为经营服务，制度也要有权威。但当两者发生了矛盾如何解决？
我们看看下面的案例：
某零售公司规定，24小时必须送货到家。这一规定是提升顾客服务满意度的。有一个小伙子结婚，买了几万元钱的电器，再结账的时候，问题来了，因为他的房子装修还没完全结束，需要三天后，因此与门店商量，能否三天后送货。售货员很坚决地回答：不行，因为有规定必须24小时送货到家。再说还是不行，因为，如果不是24小时送到家，他们会被考核扣钱的。没办法，找来店长，店长和店员一样表示，不行！因为有规定，要被考核。最后，该小伙子非常愤怒，一气之下，取消了订单。
我们再看另一个例子：
甲企业是一个冶炼企业，是连续型生产，生产不能停顿。由于当时原料紧缺，原料采购非常困难，加上连续型生产，原料到位时间要求很高。采购部好不容易采购到了一批原料，付款才能出货，但财务部坚决不付款，因为交易合同的供应商名称和发票名称不相同，由于供应商的情况，如果再改采购合同，时间需要拖延两天，在此情况下，财务仍然坚持不能付款，必须合同与发票名称相一致才能付款，结果双方大吵起来。这又是谁的错呢？
经营和制度发生矛盾，应该服从谁？经营！这是毫无疑问的，但制度的权威是不是受到了伤害呢？
我们要记住一个原则&&例外原则。在出现于制度规定不符合的情况下，不是不能做，而是权限内员工或者管理者决策后进行。比如前一个案例，店员就应该有权力，或者至少店长有权力进行决定，三天后送货。后一个案例，当事人应报主管领导，在主管领导审批或同意的情况下，先行付款，再完善手续。
这是一个很简单的问题，但我们却经常发现类是的情况发生。真理是：管理一定要为经营服务！
关注“森林旅游网”微信号：cnftour
我也说两句E-File帐号：用户名：
密码： []评论：（内容不能超过500字，如果您不填写用户名和密码只能以游客的身份发表评论。）*评论内容将在30分钟以后显示！发表须知：一、用户须严格遵守国家法律和政策，包括但不限于、等规定，审慎、合法地利用伊妃（E-file）平台发表言论、作品。二、用户的言论、行为若涉嫌违法或侵权，用户可能被强制承担因该行为直接或间接导致的全部法律责任。依照法律法规规定，伊妃（E-file）运营方有义务提供用户资料，有义务和权利采取删除、屏蔽、断开链接等各种必要措施。三、伊妃（E-file）中心授权网络法律专业研究服务机构“”为用户及客户提供包括免费咨询在内的全方位的法律支持。&
主办单位：国家林业局森林旅游管理办公室
协办单位：国家林业局野生动植物保护司　国家林业局湿地保护管理中心
地址：北京市东城区和平里东街18号
邮政编码：100714
运营：　基于关于林业植物检疫管理信息系统（网络版）试运行的通知
信息来源：江苏省林业局发布日期：
浏览次数：
各省（自治区、直辖市）森防站（林防局），内蒙古、龙江、大兴安岭森工（林业）集团公司森防站：
&&& 林业植物检疫管理信息系统（网络版）（以下简称网络版）现已完成开发、调试工作。为加快林业植物检疫工作的规范化进程，提高林业植物检疫工作的信息化水平，我站将在全国范围内组织开展该系统的试运行工作，现将有关要求通知如下：
一、网络版自日起试运行，截至日期为6月30日。
二、试运行期间要以网络版开证为主，如出现故障时，可继续使用原林业植物检疫软件（2005版）开证。
三、各省级林业植物检疫机构要认真核实本辖区林业植物检疫机构名称、补充林业检疫性有害生物名单等信息，如发现缺失和错误，请及时上报。
四、各单位下载网络版后，要认真阅读操作手册，组织本辖区安装、调试和使用，并尽快开展网络版的使用培训工作。下载安装说明见附件。
五、试运行过程中，如发现问题或其他需求和建议，以省级为单位统计汇总，并于试运行结束前以电子稿形式上报国家林业局森防总站检疫处（E-mail:）。
&& 附件：林业植物检疫管理信息系统（网络版）下载安装说明
二○○九年二月十三日
林业植物检疫管理
信息系统（网络版）下载安装说明
一、软件下载、安装及使用
&&&& 软件下载网址或，登录后在软件下载页面中下载最新的检疫软件。
&&& 用户安装使用前,先卸载旧的程序。如果之前没有安装过相关系统必备组件，请先安装；如果已经安装，则可直接安装新版软件。
用户安装使用前，请仔细查看下面【用户及权限管理】和【系统维护中重新初始化系统】的相关说明。
二、用户及权限管理
1、设立国家级、省级、市级、县级管理员
(1)国家级：分配本级与省级检疫员权限。
(2)省级：分配本级与市级、县级检疫员权限。
(3)市级：分配本级与县级检疫员权限。
(4)县级：分配本级检疫员权限。
2、人员角色设定
(1)国家级、省级、市级、县级管理员。
(2)国家级、省级、市级、县级检疫员。
系统根据管理员为当前登录用户在设置时选择的行政区划对应的区划代码来确定其属于哪个级别的管理员或检疫员。
3、对权限设置的可选范围进行了进一步的细化
由于权限设置可选范围发生了改动，原有的权限可能有的无法正常在新版软件中使用，所以需要各级管理员对管辖范围内的用户的权限范围进行重新设置和调整。
4、用户及权限设定流程
（1）各级管理员设定各人员用户角色的权限范围，系统提供不同角色对应的默认权限范围。
（2）管理员可以根据实际的情况修改特定具体人员所属角色具有的权限范围。管理员在修改权限范围时，系统将根据当前要设置用户的角色和所属行政区划级别辅助提示是否可以设置指定的权限。如果用户不具有获得某个对应权限的权利，则系统自动拒绝对该权限设置的修改并给予提示信息。
三、重新初始化系统的功能
1、目前，初始化系统主要是将中心服务器上最新的检疫机构信息、站领导信息、检疫员管理、报检单位登记重新下载到客户端，由于数据库发生变动和数据量比较大的原因，对于其他类型的业务数据在后续版本中提供下载功能。在数据下载时，站领导信息、检疫员和报检单位的信息将只下载当前用户管辖范围内的数据。
2、注意事项
（1）在操作系统可以访问互联网的状态下，才能使用该功能，否则无法获取中心服务器的数据。
（2）如果是首次激活的用户，系统将自动运行初始化工作。如果是已经激活的用户，请手动执行该功能。位置在【系统】菜单项中的【系统维护】中的【重新初始化系统】。★神兽管理员最新章节_神兽管理员无弹窗
当前位置：-&-&神兽管理员最新章节
神兽管理员最新章节列表
如果您认为神兽管理员不错，请把神兽管理员无弹窗，以方便以后跟进神兽管理员最新章节的连载更新。
风云小说阅读网提供小说神兽管理员无弹窗全文阅读，提供神兽管理员手机小说神兽管理员txt下载。
小说神兽管理员简介： 世界上最牛叉的不是收藏神兵绝学，也不是收藏灵丹妙药，而是收藏各种传奇神兽。
神兽管理员最新章节列表网页地址：/78255/index.html&&&
风云小说阅读网(/)提示:
①在本站阅读神兽管理员最新章节无弹窗广告。
②作者子不言永所写的神兽管理员无弹窗为转载作品，最新章节由网友发布。
③神兽管理员无弹窗是一部优秀的网络玄幻小说小说，会员转载到本站只是为了宣传，让更多读者欣赏。
④小说神兽管理员无弹窗所描述的内容只是作者个人观点，与风云小说阅读网的立场无关，本站只为书友提供全文阅读平台。
⑤如果您发现神兽管理员最新章节，而风云小说阅读网又没有更新，请发留言通知我们，您的热心是对本站最大的支持。
⑥神兽管理员无弹窗是一本非常好的书，为了让作者子不言永能够提供更多更好的作品，请您多多宣传推荐神兽管理员最新章节。黄金分组定律
使用Windows组管理资源权限的基本原则
导读：本文讨论了Windows组的相关内容，包括组的类型、组的范围，以及使用组设置权限的一些重要原则。
在拥有众多用户和资源的分布式计算机环境中管理权限（例如，Windows Server 2003域）可能很费时，也很烦人。为了方便管理员，Windows提供了组。使用组可以将功能类似的用户或计算机连接在一起，从而显著减少在为Windows资源（例如文件和打印机）设置权限时带来的工作量。
在我介绍关于如何使用组设置资源权限的准则之前，你应该了解可能的组类型和组范围。注意我这里说到的组是指可以在Windows Server 2003或Windows 2000域环境中定义和管理的组。（请查看附文“Windows组的发展过程”，了解组的发展过程。）本文不会讨论在独立机器和域成员工作站/服务器的安全数据库上定义的本地组。这些本地组只能在本地计算机的资源上设置权限。而本文讨论的组能在域甚至森林中对资源进行权限管理。
Windows Server 2003和Windows 2000只支持两种组类型：通讯组（Distribution Group）和安全组（Security Group）。图1显示的是在MMC（Microsoft Management Console, 管理控制台）的Active Directory用户和计算机管理单元中创建新组时可以选择的组类型。
图1：Active Directory用户和计算机管理单元中的组属性
在基于AD的邮件服务器中创建组时可以选择通讯组作为邮件分发列表，例如Microsoft Exchange Server 2003和Exchange 2000 Server。Exchange 2000以上版本的邮件服务器与Windows 2000以上的操作系统结合非常紧密，通讯组的使用可以更好地证明这一点。
同样，也可以使用安全组作为邮件分发列表。不过更重要的是，安全组可以用来进行与安全相关的管理，例如设置资源的权限，这是因为在认证过程中安全组的SID被添加到Windows用户的访问令牌（token）中了。而通讯组的SID则没有，所以不能用通讯组来执行安全相关的管理任务。由于只能使用安全组为资源设置权限，所以下面的讨论重点就是这种类型的组。
如果域处于恰当的域功能等级（Domain Functional Level），就可以在Active Directory用户和计算机管理单元的组属性页面中将通讯组转化为安全组，反之亦然（关于域功能等级后面会做简单介绍）。Windows会给出警告信息，提示该转换操作可能会出现权限问题，如图2所示。例如，假设你有一个可能已经用于资源授权的安全组，这时如果将该安全组转换为通讯组，组成员就会失去相关资源的访问权限。如果需要一次修改多个组，可以使用Windows Server 2003中的Dsmod命令行工具，并带上-secgrp[yes/no]参数。
图2：将安全组转换为通讯组时的警告信息
AD组的部分特性依赖于域功能等级。Windows Server 2003之后通过域功能等级建立了一个版本管理系统。域功能等级依赖于域控制器（DC）上操作系统的版本。表1显示的是DC上支持的各种Windows Server 2003域功能等级和操作系统版本。表2提供了各个域功能等级所支持的AD组特性的概览。
表1：域功能等级
域功能等级
在DC上支持的OS
Windows&2003
Windows&2003
Win2K&native
Windows&2003和Win2K
Windows&2003&interim
Windows&2003和NT&4.0
Win2K&mixed
Windows&2003,Win2K及NT&4.0
表2：域功能等级在组特性上的作用
Windows&2003或Win2K-native域功能等级
Win2K&Mixed或Windows&2003&Interim域功能等级
安全组和分发组
安全组和分发组
universal,global和domain&local
global和domain&local
在同一域中的所有计算机能共享domain&local类的组
DC间能共享domain&local类的组
universal组可以是其它universal组或domain&local组的成员
global组可以是其它global组、universal组或domain&local组的成员
domain&local组可以是其它domain&local组的成员
只有global组才能嵌套在domain&local组中，不支持其它组嵌套。
组的类型和范围都能被修改
组的类型和范围都不能被修改
与选择组类型一样，在创建组时还需要指定组的范围。Windows Server 2003和Windows 2000都支持三种组范围：universal（通用）、global（全局）和domain local（域本地）。这两个操作系统还支持local的两种小类：domain local（域本地）和system local（系统本地）。前一种范围类型的组可以在域中任何机器上使用，而后一种则只能在定义并存储它的机器上使用。
组的范围定义了组在多域环境中的使用规则。例如，组范围决定了该组是否能包含另一个域的用户和组，同样还决定了你是否能使用该组为另一个域的资源设置权限。
表3显示的是安全实体（例如，用户、计算机或组）分别与universal、global和domain local组的关系，是否能成为这些组的成员。除此之外，表中还显示了安全实体是否必须与组位于同一个域中（表中的SD栏），还是可以位于同一森林的不同域中（OD-INT），或位于外部域（OD-EXT）。
表3：组成员关系限制
可以包含用户和计算机
可以包含domain&local组
可以包含global组
可以包含universal组
universal组
domain&local组
*同一个域中
**同一森林中的不同域
***其它外部域或其它森林中的域
****只在Windows&2003或Win2K-native域功能等级中
现在大家明白了哪些安全实体可以成为哪类组的成员，下面应该了解在什么场合可以使用组来为资源设置权限。表4显示的是使用组为资源设置权限时，组和资源必须位于同一域中还是可以位于不同的域。如表4所示，domain local组是唯一一种不能为外部域资源设置权限的组。
表4：使用组的限制
能为位于同一域中的资源设置权限
能为位于不同域中的资源设置权限
universal组
domain&local组
组范围还决定了哪些组可以是其它组的成员，这称为组嵌套。组嵌套规则是由Windows的一套机制来管理的，在用户登录到域时，Windows会找出该用户所有的组隶属关系。在Windows Server 2003和Windows 2000中，有以下组嵌套规则：
global组可以是其它global、universal或domain local组的成员。
universal组可以是其它universal或domain local组的成员，但不能是global组成员。
domain local组只能是其它domain local组的成员。
如果域位于Windows Server 2003或Win2K Native域功能等级，组的范围可以在Active Directory用户和计算机管理单元的组属性页面修改。如果一次要修改多个组的范围，可以使用Windows Server 2003的Dsmod命令行工具，并带上-scope [l/g/u]参数。组范围的修改有以下限制：
仅当domain local组中没有其它domain local组成员时，才能将它转换为universal组（domain local组不能是universal组的成员）。
仅当global组不是其它global组的成员时，才能将它转换为universal组（universal组不能是global组的成员）。
在多域环境中，仅当universal组中所有成员都属于同一域时，才能将universal组转换为global组（global组的成员只能是同一域中的对象）。
黄金分组定律
Windows管理员们面临的最主要的挑战之一是如何尽可能有效地管理各种资源的访问权限。其中一个准则就是使用组而不是单独的帐户为资源进行授权。把组作为授权模型中的一个抽象层，使权限分配不依赖于帐户级。这一准则对于Windows域和独立的环境都适用。
例如，在许多组织中，用户在各种组织角色间有规律地进行切换。每种角色通常都需要特殊的权限来访问Windows资源。在AD中，你可以为每种组织角色创建一个组（例如，帮助中心操作人员，开发人员），并将资源的权限授予这些组。如果用户在角色间进行切换，你只需要将该用户的帐户加入到对应的组中。这种方法比起单独将帐户的权限重置并修改要有效得多。
下面是一些其它准则，在使用组管理资源权限时如果按照这些规则处理，你的工作会更为有效。
用global组来连接用户，domain local组则用于为资源授权，然后将global组隶属于domain local组，以应用这些权限设置。
这是一条Windows NT 4.0规则，它是一种解决缺少NT 4.0委托功能和NT 4.0域数据库大小限制的方案。尽管如此，在多域的Windows Server 2003和Windows 2000森林环境中，它仍然适用。组嵌套和组范围的选择在单域的Windows Server 2003和Windows 2000森林环境中并不太重要。在这种环境中，你只需要注意不要单独为用户授权，而是使用组来作为中转。
组嵌套的选择可能会受两个因素影响，第一个是受保护数据的所有者和敏感程度。如果数据非常敏感，管理员必须进行全面的控制，严格限制能访问数据的用户。所以，最好不要嵌套任何组，而应该使用一个单独的组来管理成员关系，并使用该组对资源进行权限设置。不过，如果要访问该资源的用户数量非常多，资源的所有者并不想或不能控制每个用户对于各自组的成员关系，这可能不是一种最好的解决方案。这种情况下，使用以下方案可能会更好：使用多个组，让其他管理员自己管理各自组的成员关系，然后再将这些组嵌套在另外一个顶级组中，最后用这个顶级组进行授权。
第二个影响到是否使用嵌套组的因素是在AD对象被意外删除后AD组成员的可恢复性。domain local组中外域成员的恢复难度最大。
通常来说，在域环境中我建议使用domain local组而不是system local组。如果使用system local组，就无法享受在Windows域中的好处，即集中控制。system local组无法通过AD控制，而且在Active Directory用户和计算机管理单元中用户帐户的组成员关系中看不到system local组。此外，system local组成员的变化日志会记录在本地机器的安全事件日志中，而不是DC的事件日志中。
该规则有一种例外值得大家注意，在AD环境很庞大时，需要非常多本地组。和AD组不同的是，用户的system local组成员关系在登录时不会细化，因而不会影响到用户Kerberos令牌的大小。因此，这种情况下，你可能需要使用system local组，而不是domain local组。
在资源跨越了多个域时，要使用universal组来进行授权。可以按照如下的方法操作：将global组加入到universal组中，并将universal组加入到domain local组中，最后用domain local组来对资源进行授权。
如果组中的成员变化很少，使用universal组。如果组的成员关系变化很频繁，可以使用global组作为中转，将用户添加到global组中，然后将global组加入到universal组中。在多域环境中，universal组带来的网络通信更多，因为universal组成员关系是存储在GC（Global Catalog，全局编录）中的，而GC是在森林里进行复制的。
注意，该规则仅适用于并非位于本地Windows Server 2003森林功能等级的Windows Server 2003和Windows 2000 AD。而在本地Windows Server 2003森林中，AD支持一种名为链接值复制（linked-value replication，LVR）的新特性，该特性可以在组的成员关系发生变化时，在DC间只复制发生变化的那部分组成员关系（而不是整个组的成员关系列表）。该规则还不适用于含有Exchange服务器的多域环境，因为它需要用到universal通讯组。这种情况下，就不应该使用global组来中转，因为Exchange服务器无法获取在外域中定义的global组中的成员关系。
除了遵循这些规则以外，通常我还建议尽可能少地创建新的组，组的嵌套级别也尽可能少。组越少，嵌套级别越少，授权关系就越简单，从而可以减少问题发生时的排错时间。
必需的知识
现在大家了解了AD组的基础知识，以及如何使用它们对资源权限进行有效的管理。这些知识对于任何AD管理员来说都是必不可少的。
Windows组的发展过程
一直以来Windows都提供了对组的支持。Windows NT 4.0及更早版本中使用的模式相较于Windows Server 2003和Windows 2000中的更为简单。以下是这两种组模式的主要区别：
Windows Server 2003和Windows 2000支持两种组类型：安全组和通讯组。Windows NT 4.0及更早版本只支持安全组。
Windows Server 2003和Windows 2000支持三种组范围：universal、global和local。Windows Server 2003和Windows 2000还支持local组的两种小类：domain local和system local。Windows NT 4.0只支持global和system local组范围。universal是Active Directory Global Catalog（GC）引入的，GC是一个DC特性，它可以让Windows Server
2003或Windows 2000森林中一个域的DC访问其它域中AD对象及其属性的子集。
在Windows Server 2003和Windows 2000中，在组被创建后，它的类型和范围还可以修改。而在Windows NT 4.0及早期版本中是无法在组被创建后修改的。
在Windows Server 2003和Windows 2000中，如果组的类型和范围相同，组可以进行嵌套。Windows NT 4.0及早期版本只支持将global组嵌套到system local组中。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：54713次
排名：千里之外
原创：26篇
转载：23篇
(1)(3)(2)(1)(1)(7)(16)(8)(11)