域本地组
成员范围:林中所有的用户、全局组、通用组、本域的域本地组。
作用范围:本域。
用途:给域内的资源设置访问权限。
举例:test域有一台打印机P,test域中的用户A和B需要有访问权,新建域本地组DL,给域本地组DL赋予访问打印机P的权限,把用户A和B加到域本地组DL即可。
全局组
成员范围:本域内所有的用户和全局组。
作用范围:全林。
用途:将用户集中到一起,再分配权限(全局组本身是没有权限的,需要把全局组加到域本地组或通用组)。
举例:test域有一台打印机P,hack域中的用户A和B需要有访问权,在test域新建域本地组DL,给域本地组DL赋予访问打印机P的权限,在hack域新建全局组G,把用户A和B加到全局组G,再把全局组G加到test域的域本地组DL即可。
通用组
成员范围:林中所有的用户、全局组、通用组。
作用范围:全林。
用途:跨域分配权限。
举例:test域有一台打印机P,hack域中的用户A和B和dev域中的用户C和D需要有访问权,在test域新建域本地组DL和通用组U,给域本地组DL赋予访问打印机P的权限,在hack域新建全局组G1,再dev域新建全局组G2,把用户A和B加到全局组G1,把用户C和D加到全局组G2,再把全局组G1和G2加到test域通用组U,最后把通用组U加入域本地组DL即可。
通用组更适合比较复杂的跨域权限管理,向上面简单的例子,直接把全局组加到域本地组就可以了。
AGDLP策略
A表示用户账户
G表示全局组
DL表示域本地组
P表示资源访问权限
A-G-DL-P策略就是把用户账户添加到全局组,把全局组添加到域本地组,给域本地组赋予资源访问权限。
原创 AlertSec
