国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

打開APP
userphoto
未登錄

開通VIP,暢享免費(fèi)電子書等14項(xiàng)超值服

開通VIP
全局組、域本地組、通用組之間的區(qū)別與聯(lián)系
首先我們需要明確一點(diǎn):為什么我們需要建立組?
答案很簡(jiǎn)單:為了管理方便!
其實(shí)計(jì)算機(jī)文件或者文件夾的控制權(quán)限是在屬性的安全的選項(xiàng)卡中設(shè)定的,如下圖所示:
 
在“組或用戶名稱”中可以添加對(duì)此文件夾行使權(quán)限的用戶或者組。
現(xiàn)在來(lái)看這樣一種情況:
你是一個(gè)域的管理員,在文件服務(wù)器上建立了一個(gè)共享文件夾,用來(lái)放置一些財(cái)務(wù)部專用文檔,假如你有兩個(gè)選擇:
1.在安全屬性頁(yè)中一個(gè)一個(gè)添加財(cái)務(wù)部的人員并配置相應(yīng)的權(quán)限。
2.在域控制器中創(chuàng)建財(cái)務(wù)部的組(包含所有財(cái)務(wù)部人員),在安全屬性頁(yè)中添加財(cái)務(wù)部組
假設(shè)財(cái)務(wù)部又新來(lái)了N位員工,如果你選擇第一種方案,你就需要在安全屬性中添加并配置N位員工,而選擇第二種方案,你只需要在域控制器上創(chuàng)建用戶帳戶的時(shí)候指定他們的組為財(cái)務(wù)部就可以了,而無(wú)需修改安全屬性中的角色列表。所以,很顯然你應(yīng)該選擇第二種方式。尤其是你有很多共享文件夾進(jìn)行管理的時(shí)候,使用組來(lái)管理的好處就更能夠體現(xiàn)出來(lái)了。
通過(guò)這個(gè)例子你也能夠體會(huì)到:使用組其實(shí)是為了管理方便,用最少的工作獲得最好的效果!

明確了組的作用后就來(lái)看看本地組、全局組、域本地組和通用組的概念和區(qū)別。
什么是本地組呢?
很多時(shí)候本地組被人認(rèn)為是域本地組的簡(jiǎn)稱。其實(shí)嚴(yán)格來(lái)說(shuō),本地計(jì)算機(jī)上也可以創(chuàng)建屬于本機(jī)的組,這些組才應(yīng)該稱為“本地組”。它的成員可以來(lái)自本地計(jì)算機(jī)或者所有的可信任域。本地組存儲(chǔ)在本地計(jì)算機(jī)中,而域本地組存儲(chǔ)在域控制器上。你如果使用過(guò)域,應(yīng)該有這種體驗(yàn):使用域帳戶登錄域中任意一臺(tái)計(jì)算機(jī)后,默認(rèn)情況下是普通的Users組權(quán)限,如果要提升成管理員權(quán)限,需要把這個(gè)域帳戶添加到本地計(jì)算機(jī)的Administrators組中。

全局組的特點(diǎn)是什么呢?
全局組成員來(lái)自于同一域的用戶賬戶和全局組,在林范圍內(nèi)可用。
也就是說(shuō)能夠添加到全局組的成員是本域的成員或者全局組(這樣就構(gòu)成了組的嵌套)。如果在上海的域中創(chuàng)建了全局組A,那么能添加到A中的人只能是上海域中的對(duì)象或者是其他可信任域,如北京或大連的全局組。

域本地組的特點(diǎn)是什么呢?
域本地組成員來(lái)自林中任何域中的用戶賬戶、全局組和通用組以及本域中的域本地組,在本域范圍內(nèi)可用。

通用組的特點(diǎn)是什么呢?
通用組成員來(lái)自林中任何域中的用戶賬戶、全局組和其他的通用組,在全林范圍內(nèi)可用。但是注意通用組的成員不是保存在各自的域控制器上,而是保存在全局編錄中,當(dāng)發(fā)生變化時(shí)能夠全林復(fù)制。
規(guī)則就這些,請(qǐng)不要記混。可以簡(jiǎn)單這樣記憶:
全局組   來(lái)自本域用于全林
通用組   來(lái)自全林用于全林
域本地組 來(lái)自全林用于本域
因?yàn)橹挥杏虮镜亟M專用于在本地賦予權(quán)限,所以,通常情況下,域本地組總是最后被應(yīng)用。下面我們通過(guò)幾個(gè)例子來(lái)講述他們的應(yīng)用:

康博公司是一個(gè)大型的軟件公司。公司的業(yè)務(wù)發(fā)展很快,目前在北京擁有自己的辦公大樓,總部也因此設(shè)在那里,另外在上海也有分公司。公司在企業(yè)內(nèi)部建立了域名為comboo.com的域,由于上海的分公司主營(yíng)外包業(yè)務(wù),相對(duì)比較獨(dú)立,于是為其創(chuàng)建了子域os.comboo.com,從而形成了域樹。
后來(lái)公司管理層經(jīng)過(guò)商議與另外一個(gè)物流公司A合作創(chuàng)辦了一個(gè)電子物流公司,名為博通,總部設(shè)在大連。博通在總公司的林中創(chuàng)建了自己的域環(huán)境botong.com。為了充分利用所有的資源,在子公司和總公司之間建立了信任關(guān)系,以便能夠相互訪問(wèn)資源。
整個(gè)的邏輯結(jié)構(gòu)圖如下所示:

在上面的例子中,大連的公司財(cái)務(wù)部門出了一點(diǎn)問(wèn)題,需要從北京、上海都找10個(gè)人支援一下,大連公司的賬目資料都保存在一臺(tái)財(cái)務(wù)部專用服務(wù)器上。因?yàn)槭枪緳C(jī)密信息,安全性比較高,所有資料僅僅允許財(cái)務(wù)部門的人訪問(wèn)。管理員為了方便管理,就為財(cái)務(wù)部門創(chuàng)建了一個(gè)域本地組dlf,在服務(wù)器上賦予dlf組權(quán)限(這種策略的簡(jiǎn)寫就是A-DL-P,Account -域本地組- permission)。然后上海和北京的管理員分別為各自要幫助大連的10個(gè)人創(chuàng)建了一個(gè)全局組bjf和shf(這就是A-G,Account -全局組),這樣然后大連的管理員僅僅添加bjf和shf到dlf即可完成權(quán)限的添加,而不需要關(guān)心到底是哪些人來(lái)支持財(cái)務(wù)部工作,然后一個(gè)一個(gè)添加了。而對(duì)于最終資源來(lái)說(shuō),它感覺(jué)自己沒(méi)有變化,因?yàn)樽约菏冀K都是允許被blf訪問(wèn),并沒(méi)有發(fā)生變化。這就是著名的A-G-DL-P的使用。下面是示意圖:

不使用AGDLP策略的時(shí)候,我們也可以實(shí)現(xiàn)這個(gè)功能,就是直接把用戶帳戶添加到財(cái)務(wù)部資源的訪問(wèn)控制列表中,示意圖如下:

每條線代表一次操作,很顯然,當(dāng)出現(xiàn)變更的時(shí)候,不使用AGDLP的情況會(huì)很糟糕,因?yàn)槊看胃膭?dòng)都會(huì)帶來(lái)目標(biāo)權(quán)限的重新設(shè)置。
在上面的例子中,假設(shè)有很多域,有很多全局組,就推薦使用AGUDLP,在每個(gè)域中分別創(chuàng)建了全局組后,應(yīng)用通用組來(lái)管理全局組,最后把通用組加入到域本地組,進(jìn)行權(quán)限的設(shè)置。示意圖如下:

上面我們看到了全局組和域本地組帶來(lái)的管理上的方便性。你也許會(huì)問(wèn),通用組來(lái)自全林用于全林,看起來(lái)似乎比全局組更方便,可以完全取代全局組的,為什么不這么做?
因?yàn)檎怯捎谕ㄓ媒M內(nèi)部成員來(lái)自于全林,而且它信息是存儲(chǔ)在全局編錄中的,任何的變化都會(huì)導(dǎo)致全林復(fù)制,這個(gè)復(fù)制流量不可忽視。前面我們學(xué)過(guò),在全局編錄中一般存儲(chǔ)一些不太經(jīng)常發(fā)生變化的信息。由于用戶帳戶是會(huì)經(jīng)常發(fā)生變化的,所以,強(qiáng)烈建議不要直接添加用戶帳戶到通用組,而是先添加帳戶到全局組,然后再把這些相對(duì)穩(wěn)定的全局組添加到通用組.
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)點(diǎn)擊舉報(bào)。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
第13章 用戶帳戶與組帳戶管理
AD域控如何對(duì)接組織架構(gòu) ad域控管理
Windows管理組說(shuō)明
在 Active Directory 中還原已刪除的用戶帳戶及其組成員身份
如何自動(dòng)把域帳戶加到本地管理員組|ad活動(dòng)目錄域組策略登錄腳本 - Active Dire...
組策略設(shè)置系列篇之“用戶權(quán)限”[一]
更多類似文章 >>
生活服務(wù)
分享 收藏 導(dǎo)長(zhǎng)圖 關(guān)注 下載文章
綁定賬號(hào)成功
后續(xù)可登錄賬號(hào)暢享VIP特權(quán)!
如果VIP功能使用有故障,
可點(diǎn)擊這里聯(lián)系客服!

聯(lián)系客服