英文縮寫 AGDLP
Account, Global Group, Domain Local Group, Permissions A表示用戶賬號,G表示全局組,DL表示域本地組,P表示資源權限。A-G-DL-P策略是將用戶賬號添加到全局組中,將全局組添加到域本地組中,然後爲域本地組分配資源權限。
假設,你有兩個域,A和B,A中的5個財務人員和B中的3個財務人員都需要訪問B中的“FINA”文件夾,這時,你可以在B中建一個DL,因爲DL的成員可以來自所有的域,然後把這8個人都加入這個DL,並把FINA的訪問權賦給DL。這樣做的壞處是什麼呢?因爲DL是在B域中,所以管理權也在B域,如果A域中的5個人變成6個人,那隻能A域管理員通知B域管理員,將DL的成員做一下修改,B域的管理員太累了。
這時候,我們改變一下,在A和B域中都各建立一個全局組(G),然後在B域中建立一個DL,把這兩個G都加入B域中的DL中,然後把FINA的訪問權賦給DL。哈哈,這下兩個G組都有權訪問FINA文件夾了,是嗎?組嵌套造成權限繼承嘛!這時候,兩個G分佈在A和B域中,也就是A和B的管理員都可以自己管理自己的G啦,只要把那5個人和3個人加入G中,就可以了!以後有任何修改,都可以自己做了,不用麻煩B域的管理員啦!
這就是AGDLP。
黑框字母從上到下正是“AGDLP”這個管理原則的縮寫。該管理原則是微軟網絡系統工程師一定要掌握的基本原則。
從上到下的箭頭方向,便是個人戶頭經由全局組,再到局域組的身份賦予過程。這個圖上只用了一個單獨的域,可看成你說的“A”域“B”域。在大公司或跨地域公司的實際管理中,對三個以上的域進行“AGDLP”式操作是很常見的。
從右到左的箭頭,是網絡資源的使用權賦予過程。黑框字母“P”是很關鍵的一步,是控制被授權的局域組組員的網絡資源使用權之具體細節的“閘門”(“讀”,“x寫”,…… 等等)。