活动目录-权限管理-AGDLP示例

AGDLP策略范文AGDLP是一种安全授权策略，用于在Active Directory环境中管理和配置用户权限。

AGDLP代表了账户(Accout)、全局(Global)、本地(Local)以及权限(Permission)，是一种将权限规划和分配给用户和组的方法。

这种策略能够帮助管理员更好地管理用户权限，确保用户只能访问他们需要的资源。

在AGDLP策略中，首先需要了解每个术语的含义和作用：- Account：代表用户或组的账户，是被授权使用资源的主体。

- Global：代表全局组，可以跨域使用，并且可以应用在被授权的资源上。

- Domain Local：代表本地域组，用于授权特定资源的访问权限。

- Permission：代表资源的权限，可以是读取、写入、执行等。

在实际应用AGDLP策略时，一般遵循以下步骤：1.创建全局组：首先创建全局组，用于统一管理一组具有相同权限需求的用户。

2.配置权限：为资源（如文件夹、共享文件等）设置权限，确保通过访问控制列表（ACL）限制对资源的访问。

3.创建本地组：根据资源的权限需求，创建本地组并授权给资源。

4.将全局组添加到本地组：将全局组添加到相应的本地组中，以便控制谁能够访问资源。

5.将用户添加到全局组：最后，将用户添加到相应的全局组中，以获得相应的权限。

通过以上步骤，管理员可以有效地配置和管理用户权限，确保用户只能访问他们需要的资源，提高了系统的安全性和可维护性。

1.集中管理：通过将全局组添加到本地组中，可以实现权限的集中管理，简化了权限配置和维护的过程。

2.最小权限原则：AGDLP策略遵循最小权限原则，即将最少权限授予用户，减少了意外授权的风险。

3.继承性：通过将全局组添加到本地组中，可以实现权限的继承，简化了权限配置的过程，并提高了权限的效率。

4.安全性：由于AGDLP策略能够帮助管理员更好地管理用户权限，确保用户只能访问他们需要的资源，因此提高了系统的安全性。

实训2 企业级用户管理图11Active Directory 安装向导”对话框中，单击[下一步]按钮。

图127、如图13所示的对话，为该域设置一个符合NetBIOS格式的域名，这可以让windows 98或windows NT等时期的操作系统利用该域名访问域中的资源。

例如：如果DNS格式的域名为,则默认的NetBIOS域名在网络中已经存在，则安装程序会自动指定一个新的名称。

此外，安装者也可以自行设定这个名称，但是不能超过15个字符。

图138、在所示的画面中，单击[下一步]按钮使用默认值即可。

其中：“数据库文件夹”用来存储活动目录数据库；“日志文件夹”用来存储活动目录的日志，该日志可用来修复活动目录。

9、接下来的画面中指定一个用来存储SYSVOL文件夹的路径，然后单击[下一步]按钮。

该文件夹中存储了管理域的安全策略，必须位于NTFS格式的磁盘分区中。

10、在接下来的对话框中，选择[在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设为这台计算机的首选DNS服务器]。

在创建Windows Server 2003 域时，而要指定一台DNS区域来存储Windows Server 2003域中的名称解析信息，在这里，可以让安装程序在本台计算机上建立DNS服务器并且存储所建域的名称解析信息。

11、接下来的对话框中，直接单击[下一步]，按钮即可。

12、接下来如图14所示的对话框中，设置目录服务不愿模式的系统管理员密码，然后单击[下一步]按钮。

在日后需要修复活动目录时，可以使用这个密码执行修复工作。

图1413、在图15所示对话框中的内容如果没有错误，则单击[下一步]按钮。

从该对话框中可以看到第一个域的域名就是这个新目录林的名称。

图1514、完成后重新启动计算机即可。

将客户机加入到域中的步骤如下：1、首先需要在希望加入域的计算机上，指定维护该域的DNS服务器。

设置步骤为：右击【网上邻居】，选择【属性】—【Internet协议（TCP/IP）】—【属性】—首选DNS服务器，然后输入维护该域的DNS服务器的IP地址。

Windowsserver域下全局组,本地域组,通⽤组之间的关系详解Windows server 2003域下全局组，本地域组，通⽤组之间的关系详解WINDOWS SERVER 2003组的简介：定义：组（Group）是⽤户帐号的集合。

作⽤：通过向⼀组⽤户分配权限从⽽不必向每个⽤户分配权限，简化管理。

就是为⽤户和嵌套在⾥⾯的组等单元提供对⽹络资源访问的权限。

资料个⼈收集整理，勿做商业⽤途类型：1）安全组，管理员在⽇常⼯作中不必要去为单个⽤户帐号设置⾃⼰独特的访问权限，⽽是将⽤户帐号加⼊到相对应的安全组中。

管理员通过给相对的安全组访问权限就可以了，这样所有加⼊到安全组的⽤户帐号都将有同样的权限。

使⽤安全组⽽不是单个的⽤户帐号可以⽅便，简化⽹络的维护和管理⼯作。

资料个⼈收集整理，勿做商业⽤途2）通讯组，只能⽤在电⼦邮件通讯。

提⽰：在windows server 2000的域中，通讯组的名称是：“分布组”和通讯组功能想似。

注意：⼀般情况下，管理Active Directory使⽤的都是安全组。

安全组和通讯组在有些时候是可以互转的，这要取决于Active Directory中域的模式。

资料个⼈收集整理，勿做商业⽤途组的作⽤域：安全组下可创建3种作通知域组：如下图所⽰。

注意：2K/2003安装之后，域的默认模式为：混合模式。

（安装了windows server 2003域控后，域的模式为“windows 2000混合模式“）则本地域组只能在本域的控制器DC 上使⽤。

若域功能级别转成本机模式（或称为2K纯模式），或是03模式，本地域组才可在全域范围内使⽤。

资料个⼈收集整理，勿做商业⽤途1．本地域组。

（local domain group）Windows 2000 混合模式⽤户范围：任何域中的⽤户帐户和全局组。

森林中任何域中的⽤户帐户，全局组和通⽤组以及本地域中的本地域组。

资料个⼈收集整理，勿做商业⽤途可加⼊的组：不能是任何组成员，只能是本域中的本地域组。

利用A 、G 、DL 、P 策略来管理网络资源访问权限一．案例需求现在某个企业是通过域来管理的。

在域中，有三台打印机，其中，销售部门只能够访问打印机A;管理部门只能够使用打印机B;财务部门可以访问打印机C ，当打印机C 不能够使用时，则可以使用打印机B 。

在域中，还有三个共享文件夹，其中文件夹甲是销售部门专用文件夹，只有销售员工以及销售总监与财务总监可以访问;文件夹乙是财务专用文件夹，只有财务部门以及财务总监帐户可以访问;文件夹丙是一个公共文件夹，任何部门员工都可以访问。

针对这种应用的话，该如何来管理帐户的访问权限呢?销售部打印机A 管理部门打印机B 财务部打印机C 甲：销售部专用普工员工和销售总监财务总监乙：财务专用普工员工和财丙：公共文件夹网路管理专家在实际工作中，总结了很多组设计的规则，如A-G-DL-P 策略，A 、G 、G 、DL 、P 策略等等。

不过在一般企业应用中，一般使用A 、G 、DL 、P 策略既可。

二、基本概念A ：用户账号至少属于一个用户组，可同时属于多个用户组。

DL ：域本地组域本地组主要用来指派在其所属域内帐户的访问权限，以便访问该域的资源。

域本地组织只能够访问同一个域内的资源，无法访问其它不同域内的资源。

当在某台计算机上设置权限时，可以设置同一个域内的域本地组的访问权限，而无法设置其它域内的域本地组的权限。

但是，其用户的来源则可以是所有域内的用户与全局组。

如企业现在有两个公司，总公司与分公司，分属于不同的域。

其中员工李某与周某，分别属于总公司与分公司。

现在就拿分公司这个域来说，我们可以在这个域中建立一个本地组。

总公司的员工李某来分公司视察的时候，需要访问分公司的网络资源。

可以把李某加入到分公司这个域的本地组，因为域本地组可以把其它域的用户加入到本地组中。

但是，分公司这个域本地组是没有权限把自己域内的用户，如周某加入到总公司的域本机组中去。

G：全局组全局组主要是用来组织用户。

表名描述AGR_1016活动组参数文件名称AGR_1016B活动组参数文件名称AGR_1250活动组的权限数据AGR_1251活动组的权限数据AGR_1252权限的组织元素AGR_1253作业组的权限数据 - 静态对象AGR_AGRS组合角色中的角AGR_AGRS2作用定义AGR_ATTS角色属性AGR_BUFFI角色的 InterneAGR_BUFFI2Internet 链接AGR_BUFFI3Internet 链接AGR_CUSTOM角色的定制对象AGR_DATEU角色的个人设置AGR_DEFINE角色定义AGR_FAVOS PFCG 的个人设AGR_FLAGS角色属性AGR_FLAGSB角色属性AGR_HIER菜单结构信息表AGR_HIER_BO Table for ObjeAGR_HIER2菜单结构信息 -AGR_HIER3菜单结构信息 -AGR_HIERT角色菜单文本AGR_HIERT2角色菜单文本 -AGR_HIERT3角色菜单文本 - 原始 SAPAGR_HPAGE Role Home PageAGR_HPAGET Description of the Home Page for AGR_INFO Filter Values from Generation Run AGR_LOGSYS逻辑系统AGR_LSD角色属性AGR_MAP_KNUMA换算表 AG_GUID CRM <> KNUMAAGR_MAPP角色中的 MiniAppsAGR_MARK报表 SAPPROFC_NEW 的表格AGR_MEM_INITIAL协议: 初始上载的缓冲AGR_MINI角色中的 MiniAppsAGR_MINI2角色中的 MiniAppsAGR_MINIT角色最小应用文本AGR_MINIT2角色最小应用文本AGR_NUM_2分配参数文件名的内部计数器AGR_NUMBER分配参数文件名的内部计数器AGR_OBJ Assignment of Menu Nodes to Role AGR_PROF角色的参数文件名AGR_REL_KNUMA_CM分配: 协议 > 活动AGR_SELECT将角色分配到事务代码AGR_TCDTXT将角色分配到事务代码AGR_TCODE3将角色分配到事务代码AGR_TCODES将角色分配到事务代码AGR_TEXTS用于层次菜单的文件结AGR_TIME角色的日期标记AGR_TIMEB角色的日期标记AGR_TIMEC角色的日期标记AGR_TIMED角色的日期标记AGR_USERS分配角色到用户AGR_USERT分配角色到用户功能角色与profile对应角色与profile对应角色中需要检查的权限对象有哪些都列在此表中权限对象的具体赋值，通过组织结构维护的不在此表，相应的值如公司代码显示为$BUKRS 通过组织结构维护的可以继承的组织数据组合角色下有哪些single role组合角色下有哪些single role用户 日期角色 报表类型 事务代码不活动角色 事务代码文本角色 参数 文本角色 创建日期用户与角色。

实验五OU的管理实验环境沈阳某公司有5个部门：行政部，人事部，工程部，销售部，财务部，其中销售部有正式员工和临时员工，网络管理员需要按部门来管理用户帐号、组和计算机账户。

总部的员工在总部的组织单位中管理，将来需要在分公司进行登录时，希望登录域和访问域中资源时的速度够快。

由于销售部最近业务比较多，需要招聘临时人员5名来提供电话支持服务，同时要分别做信息反馈记录并存储在服务器上某文件夹，但禁止临时人员访问公司的文件服务器，而且只允许周一到周五每天8：00—17：00可以登录计算机工作。

临时人员的工作期限为15天，之后临时人员账户自动到期失效。

销售部的某员工可以有权限重置本部门临时员工的密码。

实验目标1．掌握创建OU的方式2．熟练运用AGDLP规则3．理解“登录时间”、“过期”、“登录到”等概念4．能够建立通用组5．能够委派用户修改临时员工更改密码的权限，并能撤销委派实验准备1．一人一组2．准备2台Windows Server 2003 vm（需要唯一SID）（一个作为客户机，一个作为文件服务器）3．VM网卡一块，类型为“网桥模式”4．学员虚拟机IP设置为192.168.2.X/24和192.168.2.Y/24，X为100＋学员的学号（比如王放在考勤表上学号是10号，那么他的虚拟机的IP是192.168.2.110），Y为200＋学员的学号。

5．完成本章的任务一和任务二。

完成标准1．按地理位置创建2个OU，按部门创建5个OU，按身份创建2个OU。

2．创建用户帐号-加入全局组-加入域本地组-授权3．设置临时员工帐户过期时间、登录时间段和允许登录的计算机4．委派用户对销售部OU有重设用户密码的权限。

实验步骤1．在DC上创建OU，创建临时员工帐户、全局组、本地域组，运用AGDLP1.1 在域控制器创建沈阳分公司和北京总部两个OU。

重复以上步骤，再建立“北京总部”的OU，以及在“沈阳分公司”下分别建立：行政部，人事部，工程部，销售部，财务部的OU，并在“销售部”下建立正式员工和临时员工的OU。

----网络管理与维护综合实训课程实训报告学生学号：学生XX：2021年10月实训1网络用户与资源管理实训目的实现网络用户与资源管理某企业有两个业务部门：市场部和技术部。

要求：1．两部门需要实现部门文件资源的相互访问，但本部门不得修改其实训内容他部门的文件，两部门文件资源不对其他部门开放。

员工调换部门时其资源访问权限相应调整；2．两部门共享一台打印机，打印机可使用时间段为Am9:00-Pm5:00。

1．掌握网络用户XX的创立实训要求2．掌握设置用户权限设置3．掌握管理共享资源技术4．完成工程设计报告实训过程记录步骤简述：实训环境1.两台PC裸机，确保硬件满足安装Windows Server 2003的最小需求；2. Windows Server 2003标准版安装光盘；3.同时确保网络连接正常。

一、分别给两部门安装Windows Server 2003操作系统。

二、安装好操作系统后，分别在两台机器上添加网络用户XX。

三、设置网络用户XX对共享资源访问的权限。

四、简单验证网络用户登录文件效劳器权限是否符合要求。

五、员工调换部门时能及时变换网络用户组别实现权限变更。

六、设置打印效劳的有效时间区段。

七、完成工程设计，并撰写成报告。

〔方案可附于该实训报告后〕实训成绩〔总分值5 分〕：指导教师签名：实训日期实训2企业级用户管理实训目的实现企业级用户对资源的访问控制管理实训内容创立Windows Server 2003活动目录域，并把客户端计算机参加域。

在域中实现AGDLP法那么。

实训要求1．掌握通过Windows活动目录实现用户XX及权限的管理；2．完成工程设计报告。

实训过程记录步骤简述：实训环境两台效劳器级裸机，确保硬件满足安装Windows Server 2003的最小需求。

Windows Server 2003标准版安装光盘。

同时确保网络连接正常。

一、创立域的条件〔1〕域控制器计算机所安装的操作系统必须是Windows Server 2003的标准版、企业版或数据中心版〔2〕至少有一个NTFS分区，用于存储活动目录的SYSVOL文件夹〔3〕要有合法的DNS域名和DNS效劳器〔4〕必须有管理员权限二、创立域〔1〕翻开Windows Server 2003 Enterprise Edition.vmx文件，新建克隆，选择快照1〔安装后的初次快照，工作组模式〕〔2〕设置静态IP和DNSIP：192.168.13.本机机器号＋100掩码：255.255.255.0DNS：使用虚拟机的IP，即192.168.13.本机机器号＋100〔3〕安装域控制器方法一：开场—程序—管理工具—管理您的效劳器方法二：开场—运行，输入命令“DCPROM〞O然后根据向导安装，输入适当的域名-指定SYSVOL文件夹的位置〔必须位于NTFS分区〕-选择〞在这台计算机上安装并配置DNS效劳器，并将这台DNS效劳器设为这台计算机的的首选DNS效劳器〞-设置目录效劳复原模式的管理员密码，那么开场安装活动目录-重启计算机，那么该计算机已成为域控制器。

活动目录命令整理一、活动目录修改及查询命令dsadd命令（创建活动目录对象）使用dsadd命令可以在活动目录中创建OU、用户、组、联系人等对象，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"dsadd 成功:ou=finance,dc=yjx,dc=com2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”dsadd 成功:cn=mike,ou=sales,dc=yjx,dc=com3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=comdsadd 成功:cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站dsadd 成功:cn=client-3,ou=sales,dc=yjx,dc=com4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display<DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsadd 成功:cn=杨建新,ou=sales,dc=yjx,dc=com以上创建操作完成后，sales OU的基本情况如下图所示：dsmod命令（修改活动目录对象）dsmod命令用来修改活动目录对象的属性，可以对OU、用户、组、联系人等对象进行修改。

AGDLP与AGUDLP对于多个相同权限的用户，只需将其添加到组中并给组授权就行了。

或许每个网管都有自己独特的方法达到该目的，但微软推荐的AGDLP方案已经被无数成功的实践证明了是一种最有效率的途径。

不论单域还是多域，如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配，应付日常管理工作已绰绰有余。

具体方法是：先将用户（Acounts-A）加入全局组G；再将G加入域本地组DL；最后给DL授权（Permissions-P）。

以下以多域环境的实例予以说明：假定公司建立了两个域：工程部（A）与财务部（B），A中的5个技术人员和B中的3个财务人员都需要访问B中的“Project Budget”文件夹，你可以在B中建一个DL，由于DL的成员可以来自全部域，于是把这8个人都加入其中，并把“Project Budget”的访问权授予DL。

但DL是在B域，所以管理权也在B域，如果A中的5个人变成7个人，那只能由A域的admin通知B域的Admin，由B-Admi执行修改，如果有更多频繁的和未知的变动呢？这是没有采用策略的情况。

我们启用该策略。

在A和B中分别建立全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把“Project Budget”的访问权授予DL。

这时候A和B 的Admin自如的管理自己的G组，只要把那5个人和3个人加入各自的G中，以后的任何修改由自己完成就行了。

大功告成。

这就是AGDLP……且慢！刚才介绍的U组到哪里去了？DC安装时默认U组不可用，其选项为灰色，这时该DC的域处于混合模式（MIX），表示当前域内可能还有基于WIN-NT操作系统的域控制器在使用，如果域内已没有基于WIN-NT操作系统的域，并且森林内有多域共存时就可将DC转换到本机模式(Native)，U 组才能使用。

这样做是为了保持操作系统版本的兼容性，须知，即使是在有了WINDOWS 2003的今天，全世界还有很多大中型企业的网络平稳地运行在WIN-NT的平台上。

实验名称：运用AGDLP规则以及设置NTFS权限
实验背景：HFNET公司的行政部和人事部的员工需要对某文件夹有读取和写入权限；
其他部门的员工有读取权限；
实验目标：
1、AGDLP规则；
2、设置NTFS权限；
实验分析：AGDLP规则：A:本地用户、账户；
G：全局组；
DL：本地域组；
P：权限；
实验步骤：一、创建行政部、人事部、工程部、销售部和财务部等部门用户；
A、右击域——新建——组织单位；
B、名称：行政部；
C、重复以上步骤建立人事部、工程部、销售部和财务部等4个组
织单位；
二、对行政部、人事部两个部门用户的文件夹设置读取和写入权限；
A、添加用户：新建一个名为“行政、人事”的文件夹——右击——共享和安全——安全选项卡——添加——高级——立即查找——将
“行政”与“人事”等用户添加至访问控制列表中；
B、设置NTFS权限：对行政部、人事部用户设置读取和写入权限：
对其他部门用户设置读取权限：
实验总结：学会运用AGDLP规则以及设置NTFS权限。

【1：实验名称】
AGDLP策略
【3：实验环境】
假设域中或两个不同的域中有许多资源，这些资源允许域中某些（aaa用户）用户可以访问，不允许某些（bbb用户）用户访问或允许两个域中某些用户访问，不允许某些用户访问。

A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。

A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。

【4：实验目标】
使用AGDLP策略管理域中的资源权限
【5：实验步骤】
一在主域控上建全局组和本地组
二将域中共享资源的访问权限赋予“a本地组中”
三将可允许访问此资源的aaa用户加如到“wang全局组”中
四将“wang全局组”加如到“a本地组”中
【6：实验结果】aaa帐户登陆测试
bbb帐户登陆测试。

述agdlp规则
agdlp规则是一种管理和决策模型，用于指导团队或组织的决策过程。

AGDLP是一个缩写，代表这个模型的四个关键元素：账户（Account）、全局（Global）、组（Domain）、局部（Local）和权限（Permission）。

首先，账户是指个人或用户在系统中的身份，它与用户的角色和权限相关联。

每个账户都有一个唯一的标识符，并且可以分配特定的权限来控制其对系统资源的访问。

其次，全局是指整个系统或网络中的顶级组织或域。

它是整个层次结构的顶级，拥有最高级别的权限和控制权。

全局通常由高级管理员或决策者管理，他们具有对整个系统进行全面管理和控制的权限。

组是指在系统中创建的一个逻辑容器，用于组织和管理账户。

组可以根据需求创建，根据其功能和权限分配，将账户分配给特定的组。

这样可以更好地管理和控制账户的访问权限。

局部是指在组中创建的子组或子账户，用于进一步细分和管理组内的权限。

局部可以根据特定的需求和层次结构进行创建，以确保每个账户只能访问其所需的资源。

最后，权限是指被授予给账户或组的访问和控制权限。

权限可以分为多个级别，例如读取、写入、修改和删除等。

通过分配适当的权限，可以确保用户只能访问其需要的资源，并限制对敏感数据和系统功能的访问。

通过使用agdlp规则，可以有效地管理和控制团队或组织中的决策和访问权限。

这种模型可以帮助提高安全性、提高生产力，并确保每个用户或账户只能访问其所需的资源。