如現(xiàn)在某個企業(yè)是通過域來管理的。在域中，有三臺打印機，其中，銷售部門只能夠訪問打印機A;管理部門只能夠使用打印機B;財務(wù)部門可以訪問打印機C，當打印機C不能夠使用時，則可以使用打印機B。在域中，還有三個共享文件夾，其中文件夾甲是銷售部門專用文件夾，只有銷售員工以及銷售總監(jiān)與財務(wù)總監(jiān)可以訪問;文件夾乙是財務(wù)專用文件夾，只有財務(wù)部門以及財務(wù)總監(jiān)帳戶可以訪問;文件夾丙是一個公共文件夾，任何部門員工都可以訪問。針對這種應(yīng)用的話，該如何來管理帳戶的訪問權(quán)限呢?

　　最簡單也就是最原始的方法，就是沒每個帳戶設(shè)置訪問權(quán)限。但是，為每一個帳戶配置訪問權(quán)限，很明顯工作量會很大。若果企業(yè)有一百個用戶，就需要配置一百次。而且，后續(xù)若權(quán)限需要進行變更的話，仍然需要變更一百次。顯然，我們網(wǎng)絡(luò)管理員不原意接受工作量這么大的處理方式。若真的這么麻煩的話，我們也不會花這么多時間去辛辛苦苦搭建域環(huán)境了。

　　其實，在域中，采用了一個很好的權(quán)限管理平臺，利用這個平臺，我們可以輕松方便的管理域內(nèi)帳戶的訪問權(quán)限。具體的來說，就是通過組來設(shè)置用戶的權(quán)限。先設(shè)置一個組，分配具體的權(quán)限;然后把用戶加入到這個組中，加入到這個組中的用戶就同時具有這個組的權(quán)限。這么做的好處，就是不用為每個用戶設(shè)置權(quán)限，我們可以把相同權(quán)限的用戶歸類為一個組，在組中設(shè)置訪問權(quán)限，然后把用戶加入到這個組中即可。如按照上面打印機的訪問規(guī)則，我們可以設(shè)置為三個組，分別為銷售部門組、管理部門組、與財務(wù)部門組。然后讓銷售部門組具有訪問打印機A的權(quán)限;管理部門組具有訪問打印機B的權(quán)限;財務(wù)部門組具有訪問打印機C與B的權(quán)限。然后建立各個部門的用戶，加入到對應(yīng)的組中即可。如此的話，就可以大大減輕我們網(wǎng)絡(luò)管理員的工作量。

　　網(wǎng)路管理專家在實際工作中，總結(jié)了很多組設(shè)計的規(guī)則，如A、G、DL、P策略，A、G、G、DL、P策略等等。不過在一般企業(yè)應(yīng)用中，一般使用A、G、DL、P策略既可，筆者企業(yè)就是采用這種策略來設(shè)計組、管理用戶權(quán)限的。下面筆者就結(jié)合這種策略，來談?wù)勛约旱男牡谩?/p>

　　一、 全局組與本地組

　　在談這個策略之前，我們必須要先明白兩個概念全局組與本地組。

　　域本地組主要用來指派在其所屬域內(nèi)帳戶的訪問權(quán)限，以便訪問該域的資源。域本地組織只能夠訪問同一個域內(nèi)的資源，無法訪問其它不同域內(nèi)的資源。也就是說，當在某臺計算機上設(shè)置權(quán)限時，可以設(shè)置同一個域內(nèi)的域本地組的訪問權(quán)限，而無法設(shè)置其它域內(nèi)的域本地組的權(quán)限。但是，其用戶的來源則可以是所有域內(nèi)的用戶與全劇組。如企業(yè)現(xiàn)在有兩個公司，總公司與分公司，分屬于不同的域。其中員工李某與周某，分別屬于總公司與分公司。

　　現(xiàn)在就拿分公司這個域來說，我們可以在這個域中建立一個本地組。有時會，總公司的員工李某來分公司視察的時候，需要訪問分公司的網(wǎng)絡(luò)資源。如此的話，我們就可以把李某加入到分公司這個域的本地組，這是可以的，因為域本地組可以把其它域的用戶加入到本地組中。但是，分公司這個域本地組是沒有權(quán)限，把自己域內(nèi)的用戶，如周某加入到總公司的域本機組中去。

　　全局組主要是用來組織用戶。也就是說，我們在權(quán)限管理中，可以把根據(jù)權(quán)限的不同對用戶進行分組，讓權(quán)限相同的用戶帳戶歸屬于同一個全局組。全局組可以訪問任何一個域內(nèi)的資源，即可以在任何一個域內(nèi)設(shè)置全局組的訪問權(quán)限。也就是說，可以把全局組認為沒有域的限制，你在A域中設(shè)立全局組，然后可以在B域中對其訪問權(quán)限進行修改。

　　此時，就有人會問，那不是會很亂?總公司建立的全局組，分公司的域管理員也可以管理總公司全局組的訪問權(quán)限，那就要天下大亂了。確實如此。所以說，光用全局組來管理域帳戶的訪問權(quán)限的話，是不怎么可行的。一般情況下，需要把全局組跟域本地組結(jié)合起來使用，這就是我們所說的A、G、DL、P策略

　　二、 A、G、DL、P策略

　　A、G、DL、P策略中，A表示域帳戶，G表示全局組，DL表示域本地組，P表示訪問權(quán)限。這個策略的意思就是先建立用戶帳戶，然后把根據(jù)帳戶的訪問權(quán)限不同把它加入到不同的全局組中，然后再把全局組加入到域本地組中，最后設(shè)置域本地組的權(quán)限。如此的話，域中的任何一個用戶只要針對域本地組來設(shè)置訪問權(quán)限，則出于該域本地組中的全局組中的所有用戶，都自動繼承該權(quán)限。

　　第一步：設(shè)置用戶，不用分配權(quán)限

　　首先，我們需要給企業(yè)內(nèi)的所有用戶在域中設(shè)置帳號。我們可以在域控制器中，利用用戶帳號建立向?qū)б粋€個建立用戶帳號;也可以利用域控制器提供的導(dǎo)入工具，先在EXCLE等軟件中建立好用戶信息，然后再成批導(dǎo)入。不過這里要注意，利用成批導(dǎo)入功能的話，不能夠?qū)胗脩魩ぬ柕拿艽a，所以為了安全性起見，在導(dǎo)入的時候，往往需要先把用戶帳號設(shè)置為鎖定狀態(tài)。等到密碼更改后，再進行解鎖。

　　用戶帳號信息建立完成之后，不需要為其設(shè)置具體的權(quán)限。

　　第二步：對用戶進行分組

　　用戶帳戶建立好之后，就需要對用戶進行分組，看看各個用戶具有哪些不同的權(quán)限。我公司對于用戶分組比較簡單，各個部門各分為一組，六個部門分為六組;企業(yè)管理層即各個部門經(jīng)理以上人員一個小組;全體公司員工一個小組，總共分為八組。當然，企業(yè)對于網(wǎng)絡(luò)資源訪問權(quán)限不同，可以設(shè)置不同的組，如可以把銷售部門再細分成銷售一組、銷售二組等等。

　　總之，在給用戶劃分組的時候，需要根據(jù)權(quán)限來進行劃分。另外，同一個用戶可以分屬于不同的組。如銷售部門經(jīng)理可以在銷售部門組，可以在管理層租，也可以在全體員工組等等。

　　第三步：根據(jù)分組的結(jié)果建立全局組，并把用戶加入到全局組中

　　然后，我們可以根據(jù)上面的分組結(jié)果，在域控制器中建立相關(guān)的組。在建立全局組的時候，要注意，全劇組最好能夠進行合理的命名，這對于我們后續(xù)的維護，具有非常大的幫助。

　　全局組建立之后，就需要把用戶帳戶根據(jù)權(quán)限的不同一一加入到對應(yīng)的組中。在此時，要注意一個問題，就是一個用戶可能同時分屬于不同的組。這主要是根據(jù)訪問權(quán)限不同而考慮的。不過有時會在權(quán)限設(shè)計的時候，也可以在域本地組上實現(xiàn)權(quán)限的累加，具體可以根據(jù)企業(yè)的需要進行靈活的設(shè)置。

　　第四步：建立域本地組，并為其分配權(quán)限

　　然后，我們根據(jù)企業(yè)網(wǎng)絡(luò)訪問權(quán)限的不同，建立本地組。本地組一般有多種方式可以建立，如我們可以根據(jù)網(wǎng)絡(luò)資源的不同進行建組。如根據(jù)網(wǎng)絡(luò)打印機的不同，我們可以建立打印機A組、打印機B組，然后把具有相關(guān)打印機訪問權(quán)限的全局組加入到這個組中。因為同一個全局組可以對不同的域本地組的權(quán)限進行累積。不過，這種處理方式的話，在網(wǎng)絡(luò)資源比較多的時候，管理起來工作量仍然會很大。

　　所以，一般情況下，基本上都是按具體的權(quán)限來建立域本地組。如銷售部門域本地組具有訪問打印機A與共享文件夾“銷售部門專用文件夾”，就可以為這個組分配這兩個權(quán)限，然后把“銷售部門全局組”加入到這個域本地組中，如此的話，銷售部門全局組中的所有用戶帳號都有訪問打印機A與“銷售部門專用文件夾”的權(quán)利。

　　這里要注意，同一個全局組可以加入到不同的域本地組中，從而對域管理組的權(quán)限進行累加。如銷售總監(jiān)屬于高層管理全局組，這個組屬于“高層管理域本地組”，這個組可以訪問“銷售部門員工專用文件夾權(quán)利”，沒有訪問公共文件夾的權(quán)利;同時，這個用戶又是企業(yè)用戶全局組，這個全局組屬于企業(yè)用戶本地組，而這個本地組具有公共文件夾的訪問權(quán)利，沒有銷售部門專用文件夾的訪問權(quán)利。最后，銷售總監(jiān)這個賬戶，會對兩個域本地組的權(quán)限進行累加，不僅具有銷售部門員工專用文件夾的訪問權(quán)利，也具有企業(yè)公共文件夾的訪問權(quán)利。

　　所以，在組的設(shè)計中，要特別注意這個權(quán)限的累加問題。