在域中，還有三個共享文件夾，其中文件夾甲是銷售部門專用文件夾，只有銷售員工以及銷售總監與財務總監可以訪問;文件夾乙是財務專用文件夾，只有財務部門以及財務總監帳戶可以訪問;文件夾丙是一個公共文件夾，任何部門員工都可以訪問。針對這種應用的話，該如何來管理帳戶的訪問權限呢?

最簡單也就是最原始的方法，就是沒每個帳戶設置訪問權限。但是，為每一個帳戶配置訪問權限，很明顯工作量會很大。若果企業有一百個用戶，就需要配置一百次。而且，后續若權限需要進行變更的話，仍然需要變更一百次。顯然，我們網絡管理員不原意接受工作量這么大的處理方式。若真的這么麻煩的話，我們也不會花這么多時間去辛辛苦苦搭建域環境了。

其實，在域中，采用了一個很好的權限管理平臺，利用這個平臺，我們可以輕松方便的管理域內帳戶的訪問權限。具體的來說，就是通過組來設置用戶的權限。先設置一個組，分配具體的權限;然后把用戶加入到這個組中，加入到這個組中的用戶就同時具有這個組的權限。這么做的好處，就是不用為每個用戶設置權限，我們可以把相同權限的用戶歸類為一個組，在組中設置訪問權限，然后把用戶加入到這個組中即可。如按照上面打印機的訪問規則，我們可以設置為三個組，分別為銷售部門組、管理部門組、與財務部門組。然后讓銷售部門組具有訪問打印機A的權限;管理部門組具有訪問打印機B的權限;財務部門組具有訪問打印機C與 B的權限。然后建立各個部門的用戶，加入到對應的組中即可。如此的話，就可以大大減輕我們網絡管理員的工作量。

網路管理專家在實際工作中，總結了很多組設計的規則，如A、G、DL、P策略，A、G、G、DL、P策略等等。不過在一般企業應用中，一般使用A、G、DL、P策略既可，筆者企業就是采用這種策略來設計組、管理用戶權限的。下面筆者就結合這種策略，來談談自己的心得。

一、 全局組與本地組

在談這個策略之前，我們必須要先明白兩個概念全局組與本地組。

域本地組主要用來指派在其所屬域內帳戶的訪問權限，以便訪問該域的資源。域本地組織只能夠訪問同一個域內的資源，無法訪問其它不同域內的資源。也就是說，當在某臺計算機上設置權限時，可以設置同一個域內的域本地組的訪問權限，而無法設置其它域內的域本地組的權限。但是，其用戶的來源則可以是所有域內的用戶與全劇組。如企業現在有兩個公司，總公司與分公司，分屬于不同的域。其中員工李某與周某，分別屬于總公司與分公司。

現在就拿分公司這個域來說，我們可以在這個域中建立一個本地組。有時會，總公司的員工李某來分公司視察的時候，需要訪問分公司的網絡資源。如此的話，我們就可以把李某加入到分公司這個域的本地組，這是可以的，因為域本地組可以把其它域的用戶加入到本地組中。但是，分公司這個域本地組是沒有權限，把自己域內的用戶，如周某加入到總公司的域本機組中去。

全局組主要是用來組織用戶。也就是說，我們在權限管理中，可以把根據權限的不同對用戶進行分組，讓權限相同的用戶帳戶歸屬于同一個全局組。全局組可以訪問任何一個域內的資源，即可以在任何一個域內設置全局組的訪問權限。也就是說，可以把全局組認為沒有域的限制，你在A域中設立全局組，然后可以在 B域中對其訪問權限進行修改。

此時，就有人會問，那不是會很亂?總公司建立的全局組，分公司的域管理員也可以管理總公司全局組的訪問權限，那就要天下大亂了。確實如此。所以說，光用全局組來管理域帳戶的訪問權限的話，是不怎么可行的。一般情況下，需要把全局組跟域本地組結合起來使用，這就是我們所說的A、G、DL、P策略

二、 A、G、DL、P策略

A、G、DL、P策略中，A表示域帳戶，G表示全局組，DL表示域本地組，P表示訪問權限。這個策略的意思就是先建立用戶帳戶，然后把根據帳戶的訪問權限不同把它加入到不同的全局組中，然后再把全局組加入到域本地組中，最后設置域本地組的權限。如此的話，域中的任何一個用戶只要針對域本地組來設置訪問權限，則出于該域本地組中的全局組中的所有用戶，都自動繼承該權限。

第一步：設置用戶，不用分配權限

首先，我們需要給企業內的所有用戶在域中設置帳號。我們可以在域控制器中，利用用戶帳號建立向導一個個建立用戶帳號;也可以利用域控制器提供的導入工具，先在EXCLE等軟件中建立好用戶信息，然后再成批導入。不過這里要注意，利用成批導入功能的話，不能夠導入用戶帳號的密碼，所以為了安全性起見，在導入的時候，往往需要先把用戶帳號設置為鎖定狀態。等到密碼更改后，再進行解鎖。

用戶帳號信息建立完成之后，不需要為其設置具體的權限。

第二步：對用戶進行分組

用戶帳戶建立好之后，就需要對用戶進行分組，看看各個用戶具有哪些不同的權限。我公司對于用戶分組比較簡單，各個部門各分為一組，六個部門分為六組;企業管理層即各個部門經理以上人員一個小組;全體公司員工一個小組，總共分為八組。當然，企業對于網絡資源訪問權限不同，可以設置不同的組，如可以把銷售部門再細分成銷售一組、銷售二組等等。

總之，在給用戶劃分組的時候，需要根據權限來進行劃分。另外，同一個用戶可以分屬于不同的組。如銷售部門經理可以在銷售部門組，可以在管理層租，也可以在全體員工組等等。

第三步：根據分組的結果建立全局組，并把用戶加入到全局組中

然后，我們可以根據上面的分組結果，在域控制器中建立相關的組。在建立全局組的時候，要注意，全劇組最好能夠進行合理的命名，這對于我們后續的維護，具有非常大的幫助。

全局組建立之后，就需要把用戶帳戶根據權限的不同一一加入到對應的組中。在此時，要注意一個問題，就是一個用戶可能同時分屬于不同的組。這主要是根據訪問權限不同而考慮的。不過有時會在權限設計的時候，也可以在域本地組上實現權限的累加，具體可以根據企業的需要進行靈活的設置。

第四步：建立域本地組，并為其分配權限

然后，我們根據企業網絡訪問權限的不同，建立本地組。本地組一般有多種方式可以建立，如我們可以根據網絡資源的不同進行建組。如根據網絡打印機的不同，我們可以建立打印機A組、打印機B組，然后把具有相關打印機訪問權限的全局組加入到這個組中。因為同一個全局組可以對不同的域本地組的權限進行累積。不過，這種處理方式的話，在網絡資源比較多的時候，管理起來工作量仍然會很大。

所以，一般情況下，基本上都是按具體的權限來建立域本地組。如銷售部門域本地組具有訪問打印機A與共享文件夾“銷售部門專用文件夾”，就可以為這個組分配這兩個權限，然后把“銷售部門全局組”加入到這個域本地組中，如此的話，銷售部門全局組中的所有用戶帳號都有訪問打印機A與“銷售部門專用文件夾”的權利。

這里要注意，同一個全局組可以加入到不同的域本地組中，從而對域管理組的權限進行累加。如銷售總監屬于高層管理全局組，這個組屬于“高層管理域本地組”，這個組可以訪問“銷售部門員工專用文件夾權利”，沒有訪問公共文件夾的權利;同時，這個用戶又是企業用戶全局組，這個全局組屬于企業用戶本地組，而這個本地組具有公共文件夾的訪問權利，沒有銷售部門專用文件夾的訪問權利。最后，銷售總監這個賬戶，會對兩個域本地組的權限進行累加，不僅具有銷售部門員工專用文件夾的訪問權利，也具有企業公共文件夾的訪問權利。

所以，在組的設計中，要特別注意這個權限的累加問題。

【編輯推薦】

1. 網絡層訪問權限控制技術
2. 多層次訪問控制技術與策略深入研究