这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
|
类型
|
DL域本地组
|
G全局组
|
|
成员范围
|
所有的域
|
自己所在的域
|
|
使用范围
|
自己所在的域
|
所有的域
|
假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,你可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员啦!这就是AGDLP。
A表示用户账号,Account
G表示全局组,Global group 全局组的成员可包括只在其中定义该组的域中的其他组和账户,可在森林中的任何域中指派权限
U表示通用组,Universal Group 通用组的成员可包括域树或森林中任何域中的其他组和账户,可在该域树或森林中的任何域中指派权限
DL表示域本地组,Domain local group 域本地组的成员可包括 Windows Server 2003、Windows 2000 或 Windows NT 域中的其他组和账户,而且只能在域内指派权限
P表示资源权限,Resource Permissions
692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
