如果在排除權限問題導致的故障時，發現嵌套的全局安全組是罪魁禍首。嵌套的全局安全組會導致很多問題，特別是在拒絕權限開始生效的時間上。考慮到大量基于組策略拒絕權限的存在，整個追查過程可能會相當繁瑣。

對于活動目錄域來說，你是否應該容許嵌套全局安全組的操作？乍看起來，對于大多數工具來說，對組成員進行故障排除相當復雜。很多工具都有報告的權力，但如果這里存在一個嵌套組的話，就不是必須的了，比組成員的情況更簡單。

我很想說禁止對組成員進行嵌套處理，但只有在偶然的情況下，這種做法才有意義。根據個人對專業管理的認識，在限制嵌套組成員方面，我建議使用下面的指導規則：

1、禁止組成員進行超過兩級的嵌套。

2、一個安全組內的“成員”不能有超過兩種設置屬性。

3、嵌套的安全組將不能包含擁有拒絕權限的指定群體。

4、嵌套的全局安全組不能是一個擁有高級權限的組。

這是基本原則，但并不意味著對嵌套全局安全組的所有有效使用進行全面限制。這些指導的關鍵是權限***原則，不增加故障排除過程的負擔，并且減少由于權限以外過度分配帶來的風險。限制嵌套組的使用也將有助于防止與令牌大小有關的問題出現。

關于偶然情況下出現的問題，***的例子就是，當你需要向全局安全組中添加一個計算機賬戶時，如果用戶帳戶和計算機帳戶在同一個安全組混合，情況就會變得比較難辦。另一種情況會在內置組（來自本地計算機系統）在和域用戶帳戶相結合以便進行單獨處理的時間發生。在這些情況中，嵌套操作可以象其它工具一樣對特定配置進行有效的處理。

【編輯推薦】

1. 系統安全之windows xp net命令祥解
2. 15款***的Windows安全檢測工具