知識點-AGDLP原則

英文縮寫 AGDLP  
Account, Global Group, Domain Local Group, Permissions A表示用戶帳號，G表示全局組，DL表示域本地組，P表示資源權限。A-G-DL-P策略是將用戶帳號添加到全局組中，將全局組添加到域本地組中，而後爲域本地組分配資源權限。    
假設，你有兩個域，A和B，A中的5個財務人員和B中的3個財務人員都須要訪問B中的「FINA」文件夾，這時，你能夠在B中建一個DL，由於DL的成員能夠來自全部的域，而後把這8我的都加入這個DL，並把FINA的訪問權賦給DL。這樣作的壞處是什麼呢？由於DL是在B域中，因此管理權也在B域，若是A域中的5我的變成6我的，那隻能A域管理員通知B域管理員，將DL的成員作一下修改，B域的管理員太累了。    
這時候，咱們改變一下，在A和B域中都各創建一個全局組（G），而後在B域中創建一個DL，把這兩個G都加入B域中的DL中，而後把FINA的訪問權賦給DL。哈哈，這下兩個G組都有權訪問FINA文件夾了，是嗎？組嵌套形成權限繼承嘛！這時候，兩個G分佈在A和B域中，也就是A和B的管理員均可以本身管理本身的G啦，只要把那5我的和3我的加入G中，就能夠了！之後有任何修改，均可以本身作了，不用麻煩B域的管理員啦！    
這就是AGDLP。

黑框字母從上到下正是「AGDLP」這個管理原則的縮寫。該管理原則是微軟網絡系統工程師必定要掌握的基本原則。  
從上到下的箭頭方向，即是我的戶頭經由全局組，再到局域組的身份賦予過程。這個圖上只用了一個單獨的域，可當作你說的「A」域「B」域。在大公司或跨地域公司的實際管理中，對三個以上的域進行「AGDLP」式操做是很常見的。    
從右到左的箭頭，是網絡資源的使用權賦予過程。黑框字母「P」是很關鍵的一步，是控制被受權的局域組組員的網絡資源使用權之具體細節的「閘門」（「讀」，「x寫」，…… 等等）。