AGDLP: глобальные и локальные группы для групп должностей / ролей
Я считаю, что понимаю то, что прочитал об AGDLP. Однако то, что я прочитал, не объясняет преимущества использования глобальных групп для бизнес-ролей / должностных функций или недостаток использования локальных групп для них.
Итак, допустим, у меня есть один лес / домен, допустим, с функциональным уровнем более 2008 года. Член сервера этого домена имеет локальную группу администраторов. В этой группе локальных администраторов я назначаю 1 локальную группу домена, давая ей имя LocalAdmin_server1 Теперь в эту группу я хочу добавить другие группы, группы, содержащие пользователей с разными ролями / командами, такими как JobRole1, JobRole2, Team3 Зачем иметь JobRole1, JobRole2, Team3 - это глобальные группы, которые приносят пользу, а их локальная группа - проблема?
Короткий ответ:
JobRole1 - это глобальная группа, поэтому администраторы доверенных доменов / лесов могут предоставлять пользователям JobRole1 доступ к ресурсам в своем домене. Это вопрос объема группы. Проверьте Использование стратегии группового вложения - лучшие практики AD для групповой стратегии для списка групп и областей.
Длинный ответ:
Допустим, у меня один лес / домен
Для одного леса и домена технически не имеет значения, используете ли вы локальные, глобальные или универсальные группы домена. (Вы также должны различать локальные группы домена и локальные группы, поскольку последние существуют только на одном компьютере.) Это становится важным при наличии нескольких доменов или доверия лесов. Но если вы внедряете AGDLP (теперь IGLDA), делайте это с самого начала, иначе это ничего не будет стоить, если ваша компания объединится или купит другую компанию.
Допустим, у меня один лес / домен, ...
Позвольте предложить другой пример, нежели ваш. Надеюсь, станет понятнее. Я использую новую терминологию IGDLA, которая является сокращением от «Identities, Global Groups, Domain Local Groups and Access». Эйс Фекай написал отличную статью об IGDLA.
- У вас есть файловый ресурс (или ресурс) "Продажи".
- У вас есть пользователь Джон. Пользователя также называют идентичность ([I] GDLA). Джон работает в отделе продаж.
- Джону нужно доступ (IGDL [A]) в Продажи общая папка. Вы также можете думать о букве "А" как о папке АCL.
Мы могли бы просто добавить пользователя Джон к Продажи ACL папки, но мы этого не делаем. Это плохо, но это не вопрос или ответ.
Лучшее решение - создать группу специально для добавления ее в ACL папки, а затем добавить пользователя в эту группу. IGDLA рекомендует использовать локальную группу домена.
Зачем использовать локальные группы домена? (IG [DL] A)
Поскольку папка или общий файловый ресурс существует только в одном домене, и мы создаем группу специально для этой папки, имеет смысл использовать максимально ограничительную область для группы.
О локальных группах не может быть и речи, потому что если вы переместите папку с файлового сервера1 на файловый сервер2, вам придется заново создавать разрешения с нуля. Самый следующий вариант - использовать локальную группу домена. Вы сохраняете всю гибкость с точки зрения добавления в нее пользователей и объектов, даже из других доменов или даже лесов, но можете быть уверены, что эту группу никто не увидит вне вашего домена или леса. Мы называем эту группу ACL_Sales_RW.
Хорошо, теперь у вас есть файловый ресурс Продажи и предоставил права на изменение локальной группе домена ACL_Sales_RW. Но в вашей команде несколько продавцов, и им нужен доступ не только к папке. Продажи. Значит, вам нужна группа посредников.
Зачем использовать глобальные группы? (I [G] DLA)
посредническая группа содержит всех продавцов-пользователей в вашей компании, назовем это Отдел продаж. Вы ставите пользователя Джон в группу Отдел продаж, а также всех других продавцов в вашей компании. Вы также размещаете Отдел продаж в ACL_Sales_RW дать им читать и писать доступ в этот файловый ресурс.
Вы также используете самую ограниченную область для этой группы. Локальные группы домена Работай. Вы можете разместить в них пользователя из своего домена, леса, а также из других доменов или леса. Но локальные группы домена не видны из доверенных доменов / лесов. Поэтому, если вашим продавцам нужен доступ к ресурсам в доверенном домене, им не повезло. Вот почему вы используете глобальные группы. Их можно увидеть за пределами вашего домена, и если вашим продавцам нужен доступ к ресурсам в доверенном домене / лесу, их системный администратор может просто добавить Отдел продаж группу в их ACL файлового ресурса.
Если это все еще непонятно, вам может помочь это изображение из блога Ace:
Преимущество состоит в том, что это не позволяет кому-либо сделать группу разрешений «LocalAdmin_server1» членом группы ролей «JobRole1» и т.д., следовательно: используйте локальный домен для разрешений, используйте глобальный для ролей. Сфера - ваш друг.