22.3 AD域2019： 在目录林中使用组的策略A-G-U-DL-P策略（全局组、通用组、域本地组、安全组、AGUDLP、AGDLP）

22.3 AD域2019： 在目录林中使用组的策略A-G-U-DL-P策略（全局组、通用组、域本地组、安全组、AGUDLP、AGDLP）

全局组 来自本域用于全林

通用组 来自全林用于全林

域本地组 来自全林用于本域

 组的类型

 活动目录中组两种类型： 安全组和通讯组

1、安全组：有安全标识（ SID），能够给其授权用户访问本地资源或网络资源。既能授权访问资源，也可以利用其群发电子邮件。

2、通讯组：没有安全标识，不能授权其访问资源，只能用来群发电子邮件。

（访问资源与群发电邮来确定）

组的作用域

 活动目录中组按照能够授权的范围，分为本地域组、全局组和通用组，下面将分别介绍这几类组的目的。

1、本地域组

 本地域组代表的是对某种资源访问权限

 创建目的是针对某种资源的访问情况而创建的。例如，在处有一个激光打印机，针对该打印机的使用情况，可以创建一个“激光使用者”本地域组，然后使用该打印机。以后哪个用户或全局组需要使用打印机，可直接将用户或组添加到“激光打印机使用者”，就等于授权使用打印机了。可以针对服务器上“公共空间”文件夹创建一个“公共空间访问者”本地域组，然后授予该“公共空间访问者”对“公共空间”的读、写权限。

2、全局组

全局组代表的是同类用户身份的用户帐户。目的是为了合并工作职责相似的用户帐户。只能将本域的用户和组添加到全局组。

在多域不能合并其他域中的用户。

3、通用组Universal Group

和全局组的作用一样，目的是根据用户的职责合并用户。与全局组不同的是，在多域环境中它能够合并其他域中的域用户帐户。比如可以把两个域中的经理帐户添加到一个通用组。在多域环境中，可以在任何域中为其授权。

在域环境中使用组的策略

将用户帐户（ User Acounts）添加到全局组(Global Group),将用户帐户合并。

将为本地域组（ Domain local group）授权（Permission）对某资源的访问。

授权的过程就变为将全局组（ Global Group）添加到本地域组（Domain Local Group）的过程。

本地域组的权限

• Administrators（管理员组）

• Remote Desktop Users(远程登录组)

• Print Operators（打印机操作员组）

• Account Operators（帐号操作员组）

• Server Operaters（服务器操作员组）

• Backup Operators（备份操作员组）

全局组、通用组的权限

• Domain Admins（域管理员组）

• Enterprise Admins（企业系统管理员组）

• Schema Admins（架构管理员组）

• Domain Users（域用户组）

在AD域环境中，我们常常会用AGDLP/AGUDLP原则对组进行管理，每个字母表示的意思如下：

A(Account):用户账户

G (Global group):全局组

U (Universal group):通用组

DL (Domain Local group):本地域组

P (Permission):权限

AGDLP原则

该策略是将用户账户添加到全局组中，再把全局组添加到本地域组中，最后再为本地域组分配权限

AGUDLP原则

该策略是将用户账户添加到全局组中，再把全局组添加到通用组中，再把通用组添加到本地域组中，最后再为本地域组分配权限

AGDLP

用户帐户→全局组→域本地组→许可

按照AGDLP的原则对用户进行组织和管理起来更容易

在AGDLP形成以后当给一个用户某一个权限的时候,只要把这个用户加入到某一个本地域组就可以了.

在单域中使用组的策略是 A-G-DL-P策略，如果域中的用户帐户不多，则可以直接授权用户或全局组访问某资源。

如果用户帐户较多，最好使用推荐A-G-DL-P策略，调理清晰。

AGUDLP

用户帐户→全局组→通用组→域本地组→许可

在多域环境中使用组的策略是 A-G-U-DL-P策略，U代表（Universal Group），即将用户帐户添加到本域的全局组，然后将各个域的全局组添加到通用组，将通用组添加到本地域组。为本地组授权。

以下两张图来源于网络：

https://blog.csdn.net/hjx020/article/details/106682115/

AD域活动目录服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2468.html
WindowsServer2019 AD域服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2085.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html