AD域中本地域组和全局组的区别
  

北京办_技术支持_杨升 3053

{{ttag.title}}
本地域组和全局组的区别:
全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,而且全局组可以嵌套在其他组中。可以将某个全局组添加到同一个域上
的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用
户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。但是只能在域处于本机模式的时候
使用,也就是说所有域控都必须是2000以上系统。
比如:有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹,这时,可以在B中建一个DL,因为DL的
成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理
权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的
访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和
B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管
理员!这就是AGDLP。
注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全
局组添加到域本地组中,然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域   
全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域   
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的
打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问
Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组
GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

随即用户 发表于 2019-4-29 13:56
  
求助大神解答下,啊
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
技术笔记
新版本体验
产品连连看
功能体验
技术咨询
GIF动图学习
2023技术争霸赛专题
每周精选
标准化排查
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
升级&主动服务
高频问题集锦
全能先锋系列
云化安全能力

本版达人

Sangfor...

本周分享达人

本周提问达人