AGDLP是微软所推荐的、在多域森林中使用的、高效的安全组管理方法。其中,
A:User Account (用户账号)
G:Global Group (全局安全组)
DL:Domain Local Group (域本地组)
P: Permission (赋权限)
从操作上解释为:赋权限时,将用户加入到全局组,然后将全局组加入到域本地组,最后对域本地组赋权限。
含义为:
1. 当我们需要对用户赋权的时候,尽量将用户加入到相应的安全组,然后对这些安全组赋权,而避免对用户直接赋权。
2. 在账号域(有访问需求的用户账号所在的域)中,将本域里有相同访问需求的用户(如:读取财务信息)加入到同一个全局组。也就是说,每一个全局组代表了具有相同访问需求的人。
3. 在资源域(需要被访问的文件夹等资源所在的域)中,为不同的访问需求类型创建相应的域本地组(如:财务信息读取组、财务信息修改组);然后将之前的全局组加入到相应的域本地组,如:需要读取的全局组加入到财务信息读取组。
4. 在资源上对域本地组赋相应的权限。如:在财务信息文件夹上对“财务读取”组赋读取权限,对“财务修改”组赋修改权限。
这样,用户最终会得到相应的权限。采用此种方法,如果以后要进行更改,比如用户张三从普通财务人员升级到高级财务人员,他需要修改财务数据而不是读取,那么我们只用将张三加入到高级财务人员的全局组中即可。
以上是AGDLP在NTFS权限方面的应用,对于AD对象的权限也可以使用AGDPL。
参考信息:
=========
更多关于何时应该使用安全组/通信组、全局组/域本地组/通用组以及AGDPL的相关信息,请参考:
Understanding User and Group Accounts
http://technet.microsoft.com/en-us/library/bb726978.aspx
Active Directory Design
http://technet.microsoft.com/en-us/library/bb742592(TechNet.10).aspx
Group Scope
http://technet2.microsoft.com/windowsserver/en/library/79d93e46-ecab-4165-8001-7adc3c9f804e1033.mspx?mfr=true
Active Directory Users, Computers, and Groups
http://technet.microsoft.com/en-us/library/bb727067.aspx
什么是Windows 2003活动目录安全组(Security Groups)分布组(Distribution Groups)通用组(universal groups)全局组(global groups)域本地组(domain local groups)。它们的含义及区别是什么?
通用组的成员可以是any domain的成员 in forest,可以访问在森林任何域里的资源
全局组的成员只能是在本地的域里面,可以访问在森林任何域里的资源
域本地组的成员是any domain的成员 in forest,但只能访问本地的资源
通用 “通用”组可用于同一个 Windows 2000 林中的任何地方。 它们仅在“本机模式”企业中可用。 通用组对某些系统管理员来说可能是一种方便,因为对它们的使用没有固有的限制。 可以为通用组直接分配用户,通用组还可以嵌套,而且可以直接与访问控制列表一起使用,从而在企业的任何域中指定访问权限。
通用组存储在全局编录 (GC) 中;也就是说,对这些组的所有更改,都将复制到整个企业中的所有全局编录。 因此,只有在仔细对比了通用组的好处与全局编录复制工作量增加而带来的开销之后,才能对通用组做更改。 如果单位有且仅有一个连接状况良好的 LAN,则不会出现性能下降的情况,而大范围分散的站点可能会受到严重影响。 通常,使用 WAN 的单位应当仅在成员身份极少变动的相对静态组中使用通用组。
全局 “全局”组是用户处于“混合模式”域时,组的主要作用域。 全局组只能放置在同一个域中的资源对象安全描述符中。 也就是说,您不能只是基于另一个域的全局组用户成员身份,而限制对对象的访问。
在用户登录到一个域时,用户的全局组成员身份将被评估。 因为全局组成员身份是以域为中心的,所以全局组成员身份的更改不会强行复制到整个企业范围的全局编录。
在“本机模式”域中,全局组可相互嵌套。 这在系统管理员已嵌套了各个部门,而又想在 OU 树中以一种有条不紊的递减方式,逐级向下委派部门 (OU) 管理职能的情况下,可能有用。 在这种情况下,全局组树可用作一种平行构造,从而方便这种递减特权的分配。
本地域 “本地域”组可用来为没有直接存储在 Active Directory 中的特定资源(如文件服务器共享、打印机队列,等等),直接分配访问策略。
不应该用本地域组来为 Active Directory 对象分配权限,因为其它域不能评估本地域组,而且多数 Active Directory 对象都以 GC 的形式复制到其它域中。 基于本地域组成员身份而置于 Active Directory 对象的访问限制,对本地域组所在的域之外的组发生的 GC 查询毫无影响。
windows2000 所支持的组分为以下两大类:
安全组和分布式组。
安全组主要是用来设置权限使用的。
分布式组是用在与安全(权限的设置等)无关的任务上。
(你的应用程序必须支持Active Directory,才可以使用分布式组)
以组的使用领域(范围)来分,windows2000域内的组分为以下三个组:
全局组、本地域组和通用组。
全局组主要是用来组织用户,也就是可以将多个权限相似的用户加入到同一个全局组内。
本地组主要是被用来指派其在所属域内的访问权限,以便可以访问该域内的资源。
通用组是被用来指派其所属域内的访问权限,以便访问每一个域内的资源。
(只有在本机模式下才有通用组的存在。全局组内的成员才可以包含另一个全局组。)
当对安全组做权限嵌套的时候,要注意两个原则:
A->G->G->DL->P
A->G->U->DL->P
左边A是Account(账户),右边P是Permission(权限),群组嵌套(Nesting)就应该按照从左到有的原则来,如果您在一个群组中添加另外一个群组,却发现搜索不到那个群组,这很可能是你违反了这个嵌套原则。
