假如在扫除权限问题导致的毛病时，发现嵌套的大局安全组是元凶巨恶。嵌套的大局安全组会导致许多问题，特别是在回绝权限开端收效的时刻上。考虑到许多依据组策略回绝权限的存在，整个清查进程可能会适当繁琐。

关于活动目录域来说，你是否应该容许嵌套大局安全组的操作？乍看起来，关于大多数东西来说，对组成员进行毛病扫除适当杂乱。许多东西都有陈述的权利，但假如这儿存在一个嵌套组的话，就不是有必要的了，比组成员的状况更简略。

我很想说制止对组成员进行嵌套处理，但只要在偶尔的状况下，这种做法才有含义。依据个人对专业办理的知道，在约束嵌套组成员方面，我主张运用下面的辅导规矩：

1、制止组成员进行超越两级的嵌套。

2、一个安全组内的“成员”不能有超越两种设置特点。

3、嵌套的安全组将不能包括具有回绝权限的指定集体。

4、嵌套的大局安全组不能是一个具有高档权限的组。

这是基本准则，但并不意味着对嵌套大局安全组的一切有用运用进行全面约束。这些辅导的关键是权限***准则，不增加毛病扫除进程的担负，而且削减因为权限以外过度分配带来的危险。约束嵌套组的运用也将有助于避免与令牌巨细有关的问题呈现。

关于偶尔状况下呈现的问题，***的比如便是，当你需要向大局安全组中增加一个计算机账户时，假如用户帐户和计算机帐户在同一个安全组混合，状况就会变得比较棘手。另一种状况会在内置组（来自本地计算机体系）在和域用户帐户相结合以便进行独自处理的时刻产生。在这些状况中，嵌套操作能够象其它东西相同对特定装备进行有用的处理。

【修改引荐】

1. 体系安全之windows xp net指令祥解
2. 15款***的Windows安全检测东西