a global group cannot have a universal group as member

Exchange Server üzerinde bir group üyeliğini değiştirirken aşağıdaki gibi bir hata alabilirsiniz;

Bu hatanın temel nedeni grup üyeliğini değiştirmek istediğiniz grubun bir “Global Group” ve üye yapmak istediğiniz grubun ise bir “Universal Group” olmasından kaynaklıdır. Çünkü Global bir gruba, universal bir grup üye olarak eklenemez.

Buradan yola çıkarak hızlıca grupları hatırlayalım isterseniz;

Universal groups

Universal security grupları genellikle birden çok etki alanındaki ilgili kaynaklara izin atamak için kullanılır. herhangi bir etki alanından üyeler bu gruba eklenebilir.ayrıca herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için universal grup kullanabilirsiniz. universal gruplar, herhangi bir etki alanı içerisindeki kullanıcıları, diğer universal grupları ve global grupları üye olarak kabul edebilir.

Kaynak: https://sozluk.cozumpark.com/universal-groups

Global groups


Global security grupları, genellikle benzer ağ erişim gereksinimlerini paylaşan kullanıcıları düzenlemek için kullanılır. üyeler yalnızca global grubun oluşturulduğu etki alanından eklenebilir.

herhangi bir etki alanındaki kaynaklara erişim izinleri atamak için global bir grup kullanılabilir. genel kapsam, aynı etki alanındaki kullanıcı hesaplarını ve global grupları içerebilir ve herhangi bir etki alanındaki evrensel ve domain local gruplarına üye olabilir.

Kaynak: https://sozluk.cozumpark.com/global-groups

Domain local groups


Domain local grupları, çoğunlukla kaynaklara erişim izinleri atamak için kullanılır. bu izinleri yalnızca domain local grubunu oluşturduğunuz aynı etki alanında atayabilirsiniz. herhangi bir etki alanındaki üyeler, domain local grubuna eklenebilir. temel amacı ilgili domain içerisindeki kaynaklara yetki atamalarını kullanıcı bazlı değil grup bazlı yapmaktır.

Kaynak: https://sozluk.cozumpark.com/domain-local-groups

Özetle aşağıdaki görsel yararlı olacaktır;

Koyu mavi: User

Turuncu Domain Local Groups

Yeşil: Global Groups

Açık Mavi: Universal Groups

Nesting of Domain Local Groups

Başlangıç ​​olarak, bir etki alanı yerel grubu, aynı etki alanındaki başka bir (etki alanı yerel) grubunun üyesi olabilir. Ayrıca yerel kullanıcılar ve bilgisayarlar da bu grubun üyesi olabilir.

Veya ortamda eğer birden çok domain var ise ve bu domainler aynı forest içerisinde ise bu durumda yine domain local gruplar karşılıklı olarak birbirlerine üye olabilirler.

Yukarıdaki grafikte görebileceğiniz gibi etki alanı (domain) A’daki kullanıcılar (veya bilgisayarlar) etkin alanı B’deki bir veya daha fazla etki alanı yerel grubuna üye olabilir.

Nesting of Global Groups

Bir etki alanı içinde kullanıcılar global bir grubun üyesi olabilir. Global gruplar, aynı etki alanındaki diğer global grupların üyesi olabilir. Ek olarak, bir etki alanındaki global bir grup, aynı etki alanındaki bir veya daha fazla etki alanı yerel grubuna üye olabilir.

Eğer ortamda birden çok domain var ise;

Yukarıdaki grafikte gösterildiği gibi, etki alanı A’nın kullanıcıları (ve bilgisayarları) etki alanı B’deki global grubun üyesi olabilir. Ek olarak, etki alanı A’nın global bir grubu etki alanı B’nin bir veya daha fazla etki alanı yerel grubunun üyesi olabilir. Bu kurallar başka bir forest içerisindeki “Trusted Domain” ler içinde geçerlidir.

Nesting of Universal Groups

Evrensel gruplar, hemen hemen her kullanıcının bu gruba üye olabilmesi avantajını sunar. Aynı etki alanındaki kullanıcılar, bir veya daha fazla evrensel grubun yanı sıra bir veya daha fazla küresel grubun üyesi olabilir. Evrensel Gruplar, aynı etki alanındaki bir veya daha fazla evrensel grubun da üyesi olabilir.

Ortamda birden çok domain olması halinde;

Yukarıdaki çizim etki alanı A’nın kullanıcılarının (ayrıca bilgisayarların) etki alanı B’nin bir veya daha fazla evrensel grubuna üye olabileceğini göstermektedir. Aynı durum, etki alanı B kullanıcılarının etki alanı A’nın evrensel gruplarına üye olması için de geçerlidir. Ek olarak etki alanı’nın global grupları A, etki alanı B’nin bir veya daha fazla evrensel grubunun grup üyesi olabilir. Elbette bu kurallar Etki Alanı B ve etki alanı A için de geçerlidir. Ancak farklı bir forest için trust olsa dahi bu kurallar geçerli değildir.

Özetlemek için aşağıdaki grafiği kullanabiliriz;

Birden çok forest olması durumunda ise özet aşağıdaki gibidir;

Kaynak: https://activedirectoryfaq.com/2017/10/nesting-groups-in-active-directory/

Resim Kaynağı: https://www.firstattribute.com/en/