英文缩写 AGDLP
Account, Global Group, Domain Local Group, Permissions
A表示用户账号,G表示全局组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,你可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员啦!
这就是AGDLP。
例:
黑框字母从上到下正是“AGDLP”这个管理原则的缩写。该管理原则是微软网络系统工程师一定要掌握的基本原则。
从上到下的箭头方向,便是个人户头经由全局组,再到局域组的身份赋予过程。这个图上只用了一个单独的域,可看成你说的“A”域“B”域。在大公司或跨地域公司的实际管理中,对三个以上的域进行“AGDLP”式操作是很常见的。
从右到左的箭头,是网络资源的使用权赋予过程。黑框字母“P”是很关键的一步,是控制被授权的局域组组员的网络资源使用权之具体细节的“闸门”(“读”,“x写”,…… 等等)。