项目14AD环境下的NAS服务器权限部署(AGUDLP
原则)
目录
2
组组的的类类型型 组组的工作范的工作范围围 AGUDLPAGUDLP原原则则
3
组的类型
在活动目录中,有两种不同类型的组:通讯组和安全组。
– 通讯组:其存储了用户的联系方式,用来实现批量用户账号的通信,例如
群发邮件、视频会议等,它没有安全特性,不可用于授权。
– 安全组:具备通讯组的全部功能,并可用于为用户和计算机分配权限,是
windows servre 2012标准的安全主体。
4
组的工作范围
组的工作范围是用来限制组的作用域的。在域中,根据组的工作范围进行分类
有3种类型:本地组(DL)、全局组(G)和通用组(U)。
5
全局组(G)
作用范围:本域及信任域
管理者:域管理员
成员范围:本域中的所有用户/组账号
6
通用组(U)
作用范围:林中的所有域
管理者:林管理员
成员范围:林中的所有用户/组账号
7
本地域组(DL)
作用范围:本域内
管理者:域管理员或域内的服务器管理员负责管理
成员范围:林中的所有用户/组账号
8
AGUDLP原则
A表示用户账号,G表示全局组,U
表示通用组,DL表示域本地组,P表
示资源权限。A-G-DL-P策略是将用
户账号添加到全局组中,将全局组添
加到域本地组中,然后为域本地组分
配资源权限。
9
案例
假设,公司有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要
访问B中文件共享服务器的“FINA”文件夹,这时,你可以在B中建一个DL,因
为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访
问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B
域,如果A域中的5个人变成6个人,那只能通知B域管理员,将DL的成员做一
下修改。事实上事情远没有这么简单,这需要两个公司的相互协调,落实到具
体操作还需要有一个具体的申请和审批流程,完成这件事情往往不可能是高效
的。
10
解决方案
这时候,我们改变一下,在A和B域中都各建立一个全局组(Ga和Gb),然后
在B域中建立一个DL,把Ga和Gb都加入B域中的DL中,然后把FINA的访问权
赋给DL,这样,这两个G组就都有权访问FINA文件夹了(组嵌套与权限继承)。
这时候,Ga由域A的管理员管理,Gb由域B的管理员管理,A域管理员只需将A
的5个财务人员加入到Ga组中,同理B域管理员将B的3个财务人员加入到Gb组
中,就完成了。后续如果再有人员权限调整也只需A、B域管理员对自己的组成
员用户进行管理就可以了。这就是AGDLP。
11
AGUDLP原则
对于多个相同权限的用户,只需将其添加到组中并给组授权就行了。或许每个
网管都有自己独特的方法达到该目的,但微软推荐的AGDLP方案已经被无数
成功的实践证明了是一种最有效率的途径。不论单域还是多域,如能充分的运
用G组和DL组进行合理的用户添加、嵌套与权限的分配,应付日常管理工作十
分高效。
12
操作
13
项目背景
公司管理部为实现全公司用户和计算机的统一管理搭建了域,并将公司所有的计算机以
及文件服务器加入到了域。文件服务器基于ADLP原则为每一个部门部署了公共共享目录。
文件服务器使用了相当长一段时间后,由于文件服务器的访问账户缺少维护,导致很多员工都
知道了其它部门的文件服务器访问账户信息,这为公司各部门文件共享目录带来安全隐患。
公司认为,公司既然已经部署了域,员工也有了域账号,那就不应该再继续使用文件服务器的
本地账户来管理部门共享目录,而应该基于域账号,因此公司希望能重新梳理各部门的共享目
录,并要求员工仅能以域账户登录到这些共享目录,并且只能访问本部门的共享,确保共享文
件不被恶意破坏。
14
网络拓扑
15
项目分析
管理员需要在文件服务器上给每个部门创建对应的共享文件夹,并将文件夹的
访问权限设置为仅允许部门内部员工访问(员工以域账号身份访问),具体涉
及以下工作任务。
– 任务1 在域控制器上遵循AGUDLP原则部署相应的部门组。
– 任务2 基于AGUDLP原则为各部门共享目录部署访问权限。
Thanks
