活动目录-权限管理-AGDLP示例

AGDLP策略范文AGDLP是一种安全授权策略，用于在Active Directory环境中管理和配置用户权限。

AGDLP代表了账户(Accout)、全局(Global)、本地(Local)以及权限(Permission)，是一种将权限规划和分配给用户和组的方法。

这种策略能够帮助管理员更好地管理用户权限，确保用户只能访问他们需要的资源。

在AGDLP策略中，首先需要了解每个术语的含义和作用：- Account：代表用户或组的账户，是被授权使用资源的主体。

- Global：代表全局组，可以跨域使用，并且可以应用在被授权的资源上。

- Domain Local：代表本地域组，用于授权特定资源的访问权限。

- Permission：代表资源的权限，可以是读取、写入、执行等。

在实际应用AGDLP策略时，一般遵循以下步骤：1.创建全局组：首先创建全局组，用于统一管理一组具有相同权限需求的用户。

2.配置权限：为资源（如文件夹、共享文件等）设置权限，确保通过访问控制列表（ACL）限制对资源的访问。

3.创建本地组：根据资源的权限需求，创建本地组并授权给资源。

4.将全局组添加到本地组：将全局组添加到相应的本地组中，以便控制谁能够访问资源。

5.将用户添加到全局组：最后，将用户添加到相应的全局组中，以获得相应的权限。

通过以上步骤，管理员可以有效地配置和管理用户权限，确保用户只能访问他们需要的资源，提高了系统的安全性和可维护性。

1.集中管理：通过将全局组添加到本地组中，可以实现权限的集中管理，简化了权限配置和维护的过程。

2.最小权限原则：AGDLP策略遵循最小权限原则，即将最少权限授予用户，减少了意外授权的风险。

3.继承性：通过将全局组添加到本地组中，可以实现权限的继承，简化了权限配置的过程，并提高了权限的效率。

4.安全性：由于AGDLP策略能够帮助管理员更好地管理用户权限，确保用户只能访问他们需要的资源，因此提高了系统的安全性。

实训2 企业级用户管理图11Active Directory 安装向导”对话框中，单击[下一步]按钮。

图127、如图13所示的对话，为该域设置一个符合NetBIOS格式的域名，这可以让windows 98或windows NT等时期的操作系统利用该域名访问域中的资源。

例如：如果DNS格式的域名为,则默认的NetBIOS域名在网络中已经存在，则安装程序会自动指定一个新的名称。

此外，安装者也可以自行设定这个名称，但是不能超过15个字符。

图138、在所示的画面中，单击[下一步]按钮使用默认值即可。

其中：“数据库文件夹”用来存储活动目录数据库；“日志文件夹”用来存储活动目录的日志，该日志可用来修复活动目录。

9、接下来的画面中指定一个用来存储SYSVOL文件夹的路径，然后单击[下一步]按钮。

该文件夹中存储了管理域的安全策略，必须位于NTFS格式的磁盘分区中。

10、在接下来的对话框中，选择[在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器]。

在创建Windows Server 2003 域时，而要指定一台DNS区域来存储Windows Server 2003域中的名称解析信息，在这里，可以让安装程序在本台计算机上建立DNS服务器并且存储所建域的名称解析信息。

11、接下来的对话框中，直接单击[下一步]，按钮即可。

12、接下来如图14所示的对话框中，设置目录服务不愿模式的系统管理员密码，然后单击[下一步]按钮。

在日后需要修复活动目录时，可以使用这个密码执行修复工作。

图1413、在图15所示对话框中的内容如果没有错误，则单击[下一步]按钮。

从该对话框中可以看到第一个域的域名就是这个新目录林的名称。

图1514、完成后重新启动计算机即可。

将客户机加入到域中的步骤如下：1、首先需要在希望加入域的计算机上，指定维护该域的DNS服务器。

设置步骤为：右击【网上邻居】，选择【属性】—【Internet协议（TCP/IP）】—【属性】—首选DNS服务器，然后输入维护该域的DNS服务器的IP地址。

Windowsserver域下全局组,本地域组,通⽤组之间的关系详解Windows server 2003域下全局组，本地域组，通⽤组之间的关系详解WINDOWS SERVER 2003组的简介：定义：组（Group）是⽤户帐号的集合。

作⽤：通过向⼀组⽤户分配权限从⽽不必向每个⽤户分配权限，简化管理。

就是为⽤户和嵌套在⾥⾯的组等单元提供对⽹络资源访问的权限。

资料个⼈收集整理，勿做商业⽤途类型：1）安全组，管理员在⽇常⼯作中不必要去为单个⽤户帐号设置⾃⼰独特的访问权限，⽽是将⽤户帐号加⼊到相对应的安全组中。

管理员通过给相对的安全组访问权限就可以了，这样所有加⼊到安全组的⽤户帐号都将有同样的权限。

使⽤安全组⽽不是单个的⽤户帐号可以⽅便，简化⽹络的维护和管理⼯作。

资料个⼈收集整理，勿做商业⽤途2）通讯组，只能⽤在电⼦邮件通讯。

提⽰：在windows server 2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。

注意：⼀般情况下，管理Active Directory使⽤的都是安全组。

安全组和通讯组在有些时候是可以互转的，这要取决于Active Directory中域的模式。

资料个⼈收集整理，勿做商业⽤途组的作⽤域：安全组下可创建3种作通知域组：如下图所⽰。

注意：2K/2003安装之后，域的默认模式为：混合模式。

（安装了windows server 2003域控后，域的模式为“windows 2000混合模式“）则本地域组只能在本域的控制器DC 上使⽤。

若域功能级别转成本机模式（或称为2K纯模式），或是03模式，本地域组才可在全域范围内使⽤。

资料个⼈收集整理，勿做商业⽤途1．本地域组。

（local domain group）Windows 2000 混合模式⽤户范围：任何域中的⽤户帐户和全局组。

森林中任何域中的⽤户帐户，全局组和通⽤组以及本地域中的本地域组。

资料个⼈收集整理，勿做商业⽤途可加⼊的组：不能是任何组成员，只能是本域中的本地域组。

利用A 、G 、DL 、P 策略来管理网络资源访问权限一．案例需求现在某个企业是通过域来管理的。

在域中，有三台打印机，其中，销售部门只能够访问打印机A;管理部门只能够使用打印机B;财务部门可以访问打印机C ，当打印机C 不能够使用时，则可以使用打印机B 。

在域中，还有三个共享文件夹，其中文件夹甲是销售部门专用文件夹，只有销售员工以及销售总监与财务总监可以访问;文件夹乙是财务专用文件夹，只有财务部门以及财务总监帐户可以访问;文件夹丙是一个公共文件夹，任何部门员工都可以访问。

针对这种应用的话，该如何来管理帐户的访问权限呢?销售部打印机A 管理部门打印机B 财务部打印机C 甲：销售部专用普工员工和销售总监财务总监乙：财务专用普工员工和财丙：公共文件夹网路管理专家在实际工作中，总结了很多组设计的规则，如A-G-DL-P 策略，A 、G 、G 、DL 、P 策略等等。

不过在一般企业应用中，一般使用A 、G 、DL 、P 策略既可。

二、基本概念A ：用户账号至少属于一个用户组，可同时属于多个用户组。

DL ：域本地组域本地组主要用来指派在其所属域内帐户的访问权限，以便访问该域的资源。

域本地组织只能够访问同一个域内的资源，无法访问其它不同域内的资源。

当在某台计算机上设置权限时，可以设置同一个域内的域本地组的访问权限，而无法设置其它域内的域本地组的权限。

但是，其用户的来源则可以是所有域内的用户与全局组。

如企业现在有两个公司，总公司与分公司，分属于不同的域。

其中员工李某与周某，分别属于总公司与分公司。

现在就拿分公司这个域来说，我们可以在这个域中建立一个本地组。

总公司的员工李某来分公司视察的时候，需要访问分公司的网络资源。

可以把李某加入到分公司这个域的本地组，因为域本地组可以把其它域的用户加入到本地组中。

但是，分公司这个域本地组是没有权限把自己域内的用户，如周某加入到总公司的域本机组中去。

G：全局组全局组主要是用来组织用户。