Active Directory中的AGDLP规则

域本地组：
　　成员范围：所有的域
　　使用范围：自己所在的域
　　全局组：
　　成员范围：自己所在的域
　　使用范围：所有的域
　　A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。
　　假设，你有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹，这时，你可以在B中建一个DL，因为DL的 成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域， 如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。
　　这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权 赋给DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自 己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员啦！
　　这就是AGDLP。

问：全局组、域本地组、通用组到底有什么区别？它们之间的关系如何？

答：很多初级网管员对 全局组、 域本地组、 通用组之间区别、关系比较模糊。对于这个问题我们首先要明确全局组、域本地组、通用组的的作用范围。

全局组：可以全局使用。即：可在本域和有信任关系的其它域中使用，体现的是全局性。MS建议的规则：基于组织结构、行政结构规划。

域本地组：只能在本域的域控制器DC上使用。MS建议的规则：基于资源（夹、打印机……）规划。

在域的混合模式下，只能把全局组加入到域本地组，即 AGDLP原则。

说明：全局组和域本地组的关系，非常类似于域用户帐号和本地帐号的关系。域用户帐号，可以全局使用，即在本域和其它关系的其它域中都可以使用，而本地帐号只能在本地机上使用。下面我来举两个例子来进一步说明：
　　例1：将用户张三（域帐号Z3）加入到域本地组administrators中，并不能使Z3对非DC的域成员计算机有任何特权，但若加入到全局组Domain Admins中，张三就是域管理员了，可以在全局使用，对域成员计算机是有特权的。
　　例2：只有在域的DC上，对资源（如：文件/夹）设置权限，你可以指派域本地组administrators；但在非DC的域成员计算机上，你是无法设置域本地组administrators的权限的。因为它是域本地组，只能在DC上使用。

通用组：组的成员情况，记录在全局目录GC中，非常适于林中跨域访问使用。集成了全局组和域本地组的长处。