IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 利用A、G、DL、P策略來管理網(wǎng)絡(luò)資源訪問權(quán)限

利用A、G、DL、P策略來管理網(wǎng)絡(luò)資源訪問權(quán)限

時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)

  如現(xiàn)在某個企業(yè)是通過域來管理的。在域中,有三臺打印機,其中,銷售部門只能夠訪問打印機A;管理部門只能夠使用打印機B;財務部門可以訪問打印機C,當打印機C不能夠使用時,則可以使用打印機B。在域中,還有三個共享文件夾,其中文件夾甲是銷售部門專用文件夾,只有銷售員工以及銷售總監(jiān)與財務總監(jiān)可以訪問;文件夾乙是財務專用文件夾,只有財務部門以及財務總監(jiān)帳戶可以訪問;文件夾丙是一個公共文件夾,任何部門員工都可以訪問。針對這種應用的話,該如何來管理帳戶的訪問權(quán)限呢?

  最簡單也就是最原始的方法,就是沒每個帳戶設(shè)置訪問權(quán)限。但是,為每一個帳戶配置訪問權(quán)限,很明顯工作量會很大。若果企業(yè)有一百個用戶,就需要配置一百次。而且,后續(xù)若權(quán)限需要進行變更的話,仍然需要變更一百次。顯然,我們網(wǎng)絡(luò)管理員不原意接受工作量這么大的處理方式。若真的這么麻煩的話,我們也不會花這么多時間去辛辛苦苦搭建域環(huán)境了。

  其實,在域中,采用了一個很好的權(quán)限管理平臺,利用這個平臺,我們可以輕松方便的管理域內(nèi)帳戶的訪問權(quán)限。具體的來說,就是通過組來設(shè)置用戶的權(quán)限。先設(shè)置一個組,分配具體的權(quán)限;然后把用戶加入到這個組中,加入到這個組中的用戶就同時具有這個組的權(quán)限。這么做的好處,就是不用為每個用戶設(shè)置權(quán)限,我們可以把相同權(quán)限的用戶歸類為一個組,在組中設(shè)置訪問權(quán)限,然后把用戶加入到這個組中即可。如按照上面打印機的訪問規(guī)則,我們可以設(shè)置為三個組,分別為銷售部門組、管理部門組、與財務部門組。然后讓銷售部門組具有訪問打印機A的權(quán)限;管理部門組具有訪問打印機B的權(quán)限;財務部門組具有訪問打印機C與B的權(quán)限。然后建立各個部門的用戶,加入到對應的組中即可。如此的話,就可以大大減輕我們網(wǎng)絡(luò)管理員的工作量。

  網(wǎng)路管理專家在實際工作中,總結(jié)了很多組設(shè)計的規(guī)則,如A、G、DL、P策略,A、G、G、DL、P策略等等。不過在一般企業(yè)應用中,一般使用A、G、DL、P策略既可,筆者企業(yè)就是采用這種策略來設(shè)計組、管理用戶權(quán)限的。下面筆者就結(jié)合這種策略,來談談自己的心得。

  一、 全局組與本地組

  在談這個策略之前,我們必須要先明白兩個概念全局組與本地組。

  域本地組主要用來指派在其所屬域內(nèi)帳戶的訪問權(quán)限,以便訪問該域的資源。域本地組織只能夠訪問同一個域內(nèi)的資源,無法訪問其它不同域內(nèi)的資源。也就是說,當在某臺計算機上設(shè)置權(quán)限時,可以設(shè)置同一個域內(nèi)的域本地組的訪問權(quán)限,而無法設(shè)置其它域內(nèi)的域本地組的權(quán)限。但是,其用戶的來源則可以是所有域內(nèi)的用戶與全劇組。如企業(yè)現(xiàn)在有兩個公司,總公司與分公司,分屬于不同的域。其中員工李某與周某,分別屬于總公司與分公司。

  現(xiàn)在就拿分公司這個域來說,我們可以在這個域中建立一個本地組。有時會,總公司的員工李某來分公司視察的時候,需要訪問分公司的網(wǎng)絡(luò)資源。如此的話,我們就可以把李某加入到分公司這個域的本地組,這是可以的,因為域本地組可以把其它域的用戶加入到本地組中。但是,分公司這個域本地組是沒有權(quán)限,把自己域內(nèi)的用戶,如周某加入到總公司的域本機組中去。

  全局組主要是用來組織用戶。也就是說,我們在權(quán)限管理中,可以把根據(jù)權(quán)限的不同對用戶進行分組,讓權(quán)限相同的用戶帳戶歸屬于同一個全局組。全局組可以訪問任何一個域內(nèi)的資源,即可以在任何一個域內(nèi)設(shè)置全局組的訪問權(quán)限。也就是說,可以把全局組認為沒有域的限制,你在A域中設(shè)立全局組,然后可以在B域中對其訪問權(quán)限進行修改。

  此時,就有人會問,那不是會很亂?總公司建立的全局組,分公司的域管理員也可以管理總公司全局組的訪問權(quán)限,那就要天下大亂了。確實如此。所以說,光用全局組來管理域帳戶的訪問權(quán)限的話,是不怎么可行的。一般情況下,需要把全局組跟域本地組結(jié)合起來使用,這就是我們所說的A、G、DL、P策略

  二、 A、G、DL、P策略

  A、G、DL、P策略中,A表示域帳戶,G表示全局組,DL表示域本地組,P表示訪問權(quán)限。這個策略的意思就是先建立用戶帳戶,然后把根據(jù)帳戶的訪問權(quán)限不同把它加入到不同的全局組中,然后再把全局組加入到域本地組中,最后設(shè)置域本地組的權(quán)限。如此的話,域中的任何一個用戶只要針對域本地組來設(shè)置訪問權(quán)限,則出于該域本地組中的全局組中的所有用戶,都自動繼承該權(quán)限。

  第一步:設(shè)置用戶,不用分配權(quán)限

  首先,我們需要給企業(yè)內(nèi)的所有用戶在域中設(shè)置帳號。我們可以在域控制器中,利用用戶帳號建立向?qū)б粋€個建立用戶帳號;也可以利用域控制器提供的導入工具,先在EXCLE等軟件中建立好用戶信息,然后再成批導入。不過這里要注意,利用成批導入功能的話,不能夠?qū)胗脩魩ぬ柕拿艽a,所以為了安全性起見,在導入的時候,往往需要先把用戶帳號設(shè)置為鎖定狀態(tài)。等到密碼更改后,再進行解鎖。

  用戶帳號信息建立完成之后,不需要為其設(shè)置具體的權(quán)限。

  第二步:對用戶進行分組

  用戶帳戶建立好之后,就需要對用戶進行分組,看看各個用戶具有哪些不同的權(quán)限。我公司對于用戶分組比較簡單,各個部門各分為一組,六個部門分為六組;企業(yè)管理層即各個部門經(jīng)理以上人員一個小組;全體公司員工一個小組,總共分為八組。當然,企業(yè)對于網(wǎng)絡(luò)資源訪問權(quán)限不同,可以設(shè)置不同的組,如可以把銷售部門再細分成銷售一組、銷售二組等等。

  總之,在給用戶劃分組的時候,需要根據(jù)權(quán)限來進行劃分。另外,同一個用戶可以分屬于不同的組。如銷售部門經(jīng)理可以在銷售部門組,可以在管理層租,也可以在全體員工組等等。

  第三步:根據(jù)分組的結(jié)果建立全局組,并把用戶加入到全局組中

  然后,我們可以根據(jù)上面的分組結(jié)果,在域控制器中建立相關(guān)的組。在建立全局組的時候,要注意,全劇組最好能夠進行合理的命名,這對于我們后續(xù)的維護,具有非常大的幫助。

  全局組建立之后,就需要把用戶帳戶根據(jù)權(quán)限的不同一一加入到對應的組中。在此時,要注意一個問題,就是一個用戶可能同時分屬于不同的組。這主要是根據(jù)訪問權(quán)限不同而考慮的。不過有時會在權(quán)限設(shè)計的時候,也可以在域本地組上實現(xiàn)權(quán)限的累加,具體可以根據(jù)企業(yè)的需要進行靈活的設(shè)置。

  第四步:建立域本地組,并為其分配權(quán)限

  然后,我們根據(jù)企業(yè)網(wǎng)絡(luò)訪問權(quán)限的不同,建立本地組。本地組一般有多種方式可以建立,如我們可以根據(jù)網(wǎng)絡(luò)資源的不同進行建組。如根據(jù)網(wǎng)絡(luò)打印機的不同,我們可以建立打印機A組、打印機B組,然后把具有相關(guān)打印機訪問權(quán)限的全局組加入到這個組中。因為同一個全局組可以對不同的域本地組的權(quán)限進行累積。不過,這種處理方式的話,在網(wǎng)絡(luò)資源比較多的時候,管理起來工作量仍然會很大。

  所以,一般情況下,基本上都是按具體的權(quán)限來建立域本地組。如銷售部門域本地組具有訪問打印機A與共享文件夾"銷售部門專用文件夾",就可以為這個組分配這兩個權(quán)限,然后把"銷售部門全局組"加入到這個域本地組中,如此的話,銷售部門全局組中的所有用戶帳號都有訪問打印機A與"銷售部門專用文件夾"的權(quán)利。

  這里要注意,同一個全局組可以加入到不同的域本地組中,從而對域管理組的權(quán)限進行累加。如銷售總監(jiān)屬于高層管理全局組,這個組屬于"高層管理域本地組",這個組可以訪問"銷售部門員工專用文件夾權(quán)利",沒有訪問公共文件夾的權(quán)利;同時,這個用戶又是企業(yè)用戶全局組,這個全局組屬于企業(yè)用戶本地組,而這個本地組具有公共文件夾的訪問權(quán)利,沒有銷售部門專用文件夾的訪問權(quán)利。最后,銷售總監(jiān)這個賬戶,會對兩個域本地組的權(quán)限進行累加,不僅具有銷售部門員工專用文件夾的訪問權(quán)利,也具有企業(yè)公共文件夾的訪問權(quán)利。

  所以,在組的設(shè)計中,要特別注意這個權(quán)限的累加問題。

關(guān)鍵詞標簽:訪問,權(quán)限,管理,策略,

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務器工具軟件 站長裝備:十大網(wǎng)站管理員服務器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負載均衡設(shè)置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量