ADGLP原则

AGDLP原则。我想看看关于AGDLP的文档，可惜一时找不到，可否提供，谢谢！　

回答：根据您的描述，我对这个问题的理解是：您希望获得AGDLP的相关说明文档。

什么是AGDLP?

==============

AGDLP是微软所推荐的、在多域森林中使用的、高效的安全组管理方法。其中，

 

A：User Account (用户账号)

G：Global Group (全局安全组)

DL：Domain Local Group (域本地组)

P: Permission (赋权限)

从操作上解释为：赋权限时，将用户加入到全局组，然后将全局组加入到域本地组，最后对域本地组赋权限。

 

含义为：

1. 当我们需要对用户赋权的时候，尽量将用户加入到相应的安全组，然后对这些安全组赋权，而避免对用户直接赋权。

 

2. 在账号域（有访问需求的用户账号所在的域）中，将本域里有相同访问需求的用户（如：读取财务信息）加入到同一个全局组。也就是说，每一个全局组代表了具有相同访问需求的人。

 

3. 在资源域（需要被访问的文件夹等资源所在的域）中，为不同的访问需求类型创建相应的域本地组（如：财务信息读取组、财务信息修改组）；然后将之前的全局组加入到相应的域本地组，如：需要读取的全局组加入到财务信息读取组。

 

4. 在资源上对域本地组赋相应的权限。如：在财务信息文件夹上对“财务读取”组赋读取权限，对“财务修改”组赋修改权限。

 

这样，用户最终会得到相应的权限。采用此种方法，如果以后要进行更改，比如用户张三从普通财务人员升级到高级财务人员，他需要修改财务数据而不是读取，那么我们只用将张三加入到高级财务人员的全局组中即可。

 

以上是AGDLP在NTFS权限方面的应用，对于AD对象的权限有可以使用AGDPL。

 

参考信息：

=========

更多关于何时应该使用安全组/通信组、全局组/域本地组/通用组以及AGDPL的相关信息，请参考：

Understanding User and Group Accounts

http://technet.microsoft.com/en-us/library/bb726978.aspx

 

Active Directory Design

http://technet.microsoft.com/en-us/library/bb742592(TechNet.10).aspx 

 

http://technet2.microsoft.com/windowsserver/en/library/79d93e46-ecab-4165-8001-7adc3c9f804e1033.mspx?mfr=true

 

Active Directory Users, Computers, and Groups

http://technet.microsoft.com/en-us/library/bb727067.aspx

 

穆骥 微软全球技术支持中心

 

文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/