本文共 755 字，大约阅读时间需要 2 分钟。

A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

假设，公司有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中文件共享服务器的“FINA”文件夹，这时，你可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能通知B域管理员，将DL的成员做一下修改。事实上事情远没有这么简单，这需要两个公司的相互协调，落实到具体操作还需要有一个具体的申请和审批流程，完成这件事情往往不可能是高效的。 这时候，我们改变一下，在A和B域中都各建立一个全局组（Ga和Gb），然后在B域中建立一个DL，把Ga和Gb都加入B域中的DL中，然后把FINA的访问权赋给DL，这样，这两个G组就都有权访问FINA文件夹了（组嵌套与权限继承）。这时候，Ga由域A的管理员管理，Gb由域B的管理员管理，A域管理员只需将A的5个财务人员加入到Ga组中，同理B域管理员将B的3个财务人员加入到Gb组中，就完成了。后续如果再有人员权限调整也只需A、B域管理员对自己的组成员用户进行管理就可以了。这就是AGDLP。 对于多个相同权限的用户，只需将其添加到组中并给组授权就行了。或许每个网管都有自己独特的方法达到该目的，但微软推荐的AGDLP方案已经被无数 成功的实践证明了是一种最有效率的途径。不论单域还是多域，如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配，应付日常管理工作十分高效。

图1 AGUDL结构

图2  AGUDLP

转载地址：https://jan16.blog.csdn.net/article/details/106682115 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！