神马文学网AGDLP与AGUDLP
来源:百度文库 编辑:神马文学网 时间:2024/04/29 02:01:39
AGDLP与AGUDLP2007-03-29 22:05:14
标签:AGDLP与AGUDLP [推送到技术圈]
对于多个相同权限的用户,只需将其添加到组中并给组授权就行了。或许每个网管都有自己独特的方法达到该目的,但微软推荐的AGDLP方案已经被无数成功的实践证明了是一种最有效率的途径。不论单域还是多域,如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配,应付日常管理javascript:;" target=_blank>工作已绰绰有余。
具体方法是:先将用户(Acounts-A)加入全局组G;再将G加入域本地组DL;最后给DL授权(Permissions-P)。
以下以多域环境的实例予以说明:
假定公司建立了两个域:工程部(A)与财务部(B),A中的5个技术人员和B中的3个财务人员都需要访问B中的“Project Budget”文件夹,你可以在B中建一个DL,由于DL的成员可以来自全部域,于是把这8个人都加入其中,并把“Project Budget”的访问权授予DL。但DL是在B域,所以管理权也在B域,如果A中的5个人变成7个人,那只能由A域的admin通知B域的Admin,由B-Admi执行修改,如果有更多频繁的和未知的变动呢?这是没有采用策略的情况;
我们启用该策略。在A和B中分别建立全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把“Project Budget”的访问权授予DL。这时候A和B的Admin自如的管理自己的G组,只要把那5个人和3个人加入各自的G中,以后的任何修改由自己完成就行了。
大功告成。这就是AGDLP……
且慢!刚才介绍的U组到哪里去了?
DC安装时默认U组不可用,其选项为灰色,这时该DC的域处于混合模式(MIX),表示当前域内可能还有基于WIN-NT*作系统的域控制器在使用,如果域内已没有基于WIN-NT*作系统的域,并且森林内有多域共存时就可将DC转换到本机模式(Native),U组才能使用。这样做是为了保持*作系统版本的兼容性,须知,即使是在有了WINDOWS 2003的今天,全世界还有很多大中型企业的javascript:;" target=_blank>网络平稳地运行在WIN-NT的平台上。
当U组可用时,已建的G组和DL组可以有条件的转换为U组,根据上述规则,G组转换为U组的前提是该G组不是另一个G组的成员;与此相反,把DL组转换成U组的前提是该DL组内没有另一个DL组作为它的成员。
U组既然通用,为什么必须放置相对稳定和固定的组呢?把用户都加入到U组,不用G和DL组不行吗?
多域环境中(称为森林),为保持各个域之间的用户信息共享,U组和它的全部成员都被写入了一个名为全局目录 (Global Caltalog,GC)的数据库中,保存于森林内第一台DC之中,该GC会在森林内各个域的DC之间进行复制,虽然G组和DL组也被写入了GC,但只有组名,没有成员。由此可见,如果把所有成员都加入U组的话,会使得GC在森林内进行域间复制时的网络流量剧增,造成网速下降;而通过建立适当的G组和DL组,并且在U组内避免直接添加用户,就能够显著减小GC容量的大小,从而降低GC复制时带来的网络流量。
有了U组的策略,称为AGUDLP策略,可不要小看了一个U组,通过它四两拨千斤,就使AGDLP的应用能力升级到可以应付大型跨国公司的域用户权限管理的境界,轻松的解决了任意复杂的多域环境中域内用户和资源的分配、管理问题,限于篇辐,不再举例说明。请网管javascript:;" target=_blank>朋友们自已去体会其中的微妙所在。最后用一句话作一个小结:
虽然可以对每个用户A单独授权,但优秀的系统管理员通常是将用户A添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授权(P)。
这就是AGDLP策略。
表面上,它只是一种技术,在将网络权限分配的机动性、灵活性最大化的同时,使其复杂性最小化,但实质上,它除了是ALP策略的扩展以外,更是微软一脉相承的管理思想的体现: DL本身不能加入到任何组,只能用来分配资源权限,称为资源组;G组和U组用来添加那些有相同资源需求的用户帐户组,称为帐户组。早在NT域模式下要分别建立帐户域和资源域的时候,这种天才的管理思想就已经初见端倪了。
个人认为,这才是AGDLP策略的精髓。敬请广大网管朋友指正。
本文出自 51CTO.COM技术博客
标签:AGDLP与AGUDLP [推送到技术圈]
对于多个相同权限的用户,只需将其添加到组中并给组授权就行了。或许每个网管都有自己独特的方法达到该目的,但微软推荐的AGDLP方案已经被无数成功的实践证明了是一种最有效率的途径。不论单域还是多域,如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配,应付日常管理javascript:;" target=_blank>工作已绰绰有余。
具体方法是:先将用户(Acounts-A)加入全局组G;再将G加入域本地组DL;最后给DL授权(Permissions-P)。
以下以多域环境的实例予以说明:
假定公司建立了两个域:工程部(A)与财务部(B),A中的5个技术人员和B中的3个财务人员都需要访问B中的“Project Budget”文件夹,你可以在B中建一个DL,由于DL的成员可以来自全部域,于是把这8个人都加入其中,并把“Project Budget”的访问权授予DL。但DL是在B域,所以管理权也在B域,如果A中的5个人变成7个人,那只能由A域的admin通知B域的Admin,由B-Admi执行修改,如果有更多频繁的和未知的变动呢?这是没有采用策略的情况;
我们启用该策略。在A和B中分别建立全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把“Project Budget”的访问权授予DL。这时候A和B的Admin自如的管理自己的G组,只要把那5个人和3个人加入各自的G中,以后的任何修改由自己完成就行了。
大功告成。这就是AGDLP……
且慢!刚才介绍的U组到哪里去了?
DC安装时默认U组不可用,其选项为灰色,这时该DC的域处于混合模式(MIX),表示当前域内可能还有基于WIN-NT*作系统的域控制器在使用,如果域内已没有基于WIN-NT*作系统的域,并且森林内有多域共存时就可将DC转换到本机模式(Native),U组才能使用。这样做是为了保持*作系统版本的兼容性,须知,即使是在有了WINDOWS 2003的今天,全世界还有很多大中型企业的javascript:;" target=_blank>网络平稳地运行在WIN-NT的平台上。
当U组可用时,已建的G组和DL组可以有条件的转换为U组,根据上述规则,G组转换为U组的前提是该G组不是另一个G组的成员;与此相反,把DL组转换成U组的前提是该DL组内没有另一个DL组作为它的成员。
U组既然通用,为什么必须放置相对稳定和固定的组呢?把用户都加入到U组,不用G和DL组不行吗?
多域环境中(称为森林),为保持各个域之间的用户信息共享,U组和它的全部成员都被写入了一个名为全局目录 (Global Caltalog,GC)的数据库中,保存于森林内第一台DC之中,该GC会在森林内各个域的DC之间进行复制,虽然G组和DL组也被写入了GC,但只有组名,没有成员。由此可见,如果把所有成员都加入U组的话,会使得GC在森林内进行域间复制时的网络流量剧增,造成网速下降;而通过建立适当的G组和DL组,并且在U组内避免直接添加用户,就能够显著减小GC容量的大小,从而降低GC复制时带来的网络流量。
有了U组的策略,称为AGUDLP策略,可不要小看了一个U组,通过它四两拨千斤,就使AGDLP的应用能力升级到可以应付大型跨国公司的域用户权限管理的境界,轻松的解决了任意复杂的多域环境中域内用户和资源的分配、管理问题,限于篇辐,不再举例说明。请网管javascript:;" target=_blank>朋友们自已去体会其中的微妙所在。最后用一句话作一个小结:
虽然可以对每个用户A单独授权,但优秀的系统管理员通常是将用户A添加到G组,必要时才将G组添加到U组,再将G组或U组添加到DL组,最后对DL组授权(P)。
这就是AGDLP策略。
表面上,它只是一种技术,在将网络权限分配的机动性、灵活性最大化的同时,使其复杂性最小化,但实质上,它除了是ALP策略的扩展以外,更是微软一脉相承的管理思想的体现: DL本身不能加入到任何组,只能用来分配资源权限,称为资源组;G组和U组用来添加那些有相同资源需求的用户帐户组,称为帐户组。早在NT域模式下要分别建立帐户域和资源域的时候,这种天才的管理思想就已经初见端倪了。
个人认为,这才是AGDLP策略的精髓。敬请广大网管朋友指正。
本文出自 51CTO.COM技术博客