1、组的使用原则
为了让网络管理更为容易,同时为了减轻以后维护的负担,在利用组来管理网络资源时,建议尽量采用下面的原则,尤其是大型网络。
- A、G、DL、P原则。
- A、G、G、DL、P原则。
- A、G、U、DL、P原则。
- A、G、G、U、DL、P原则。
其中,A代表用户账户(User Account),G代表全局组(Global Group),DL代表本地域组(Domain Local Group),U代表通用组(Universal Group),P代表权限(Permission)。
1. A、G、DL、P原则
A、G、DL、P原则就是先将用户账户(A)加入全局组(G)内,再将全局组加入本地域组(DL)内,然后设置本地域组的权限(P),如下图所示。
A、G、DL、P原则:
例如,只要针对图中的本地域组设置权限,则隶属于该域本地组的全局组内的所有用户都自动具备该权限。
例如,若甲域内的用户需要访问乙域内的资源,则由甲域的系统管理员负责在甲域建立全局组,将甲域用户账户加入此组内;而乙域的系统管理员则负责在乙域建立本地域组,设置此组的权限,然后将甲域的全局组加入此组内;之后由甲域的系统管理员负责维护全局组内的成员,而乙域的系统管理员则负责维护权限的设置,从而将管理的负担分散。
2. A、G、G、DL、P原则
A、G、G、DL、P原则就是先将用户账户(A)加入全局组(G)内,再将此全局组加入另一个全局组(G)内,再将此全局组加入本地域组(DL)内,然后设置本地域组的权限(P),如图所示。
A、G、G、DL、P原则:
图中的全局组(G3)内包含两个全局组(G1与G2),它们必须是同一个域内的全局组,因为全局组内只能够包含位于同一个域内的用户账户与全局组。
3. A、G、U、DL、P原则
下图所示的全局组G1与G2若不是与G3在同一个域内的,则无法采用A、G、G、DL、P原则,因为全局组(G3)内无法包含位于另外一个域内的全局组,此时需将全局组G3改为通用组,也就是需要改用A、G、U、DL、P原则)。
A、G、U、DL、P原则:
此原则是先将用户账户(A)加入全局组(G)内,再将此全局组加入通用组(U)内,再将此通用组加入本地域组(DL)内,然后设置本地域组的权限(P)。
4. A、G、G、U、DL、P原则
A、G、G、U、DL、P原则与前面两种类似,在此不再重复说明。
也可以不遵循以上的原则来使用组,不过会有一些缺点。例如,可以执行以下操作:
- 直接将用户账户加入本地域组内,然后设置此组的权限。它的缺点是无法在其他域内设置此本地域组的权限,因为本地域组只能够访问所属域内的资源。
- 直接将用户账户加入全局组内,然后设置此组的权限。它的缺点是,如果网络内包含多个域,而每个域内都有一些全局组需要对此资源具备相同的权限,则需要分别为每一个全局组设置权限,这种方法比较浪费时间,会增加网络管理的负担。
2、实验背景
未名公司目前正在实施某工程,该工程需要总公司工程部和分公司工程部协同,需要创建一个共享目录,供总公司工程部和分公司工程部共享数据,公司决定在子域控制器 china.long.com 上临时创建共享目录 projects_share。
请通过权限分配使总公司工程部和分公司工程部用户对共享目录有写入和删除权限。
实验拓扑如下:
为本项目创建的共享目录需要对总公司工程部和分公司工程部用户配置写入和删除权限。
解决方案如下:
- 在总公司DC1和分公司DC2上创建相应工程部员工用户。
- 在总公司DC1上创建全局组project_long_Gs,并将总公司工程部用户加入该全局组;在分公司上创建全局组project_china_Gs,并将分公司工程部用户加入该全局组。
- 在总公司DC1(林根)上创建通用组project_long_Us,并将总公司和分公司的工程部全局组配置为成员。
- 在子公司DC2上创建本地域组project_china_DLs,并将通用组project_long_Us加入本地域组。
- 创建共享目录projects_share,配置本地域组权限为读写权限。
实施后面临的问题如下:
- 总公司工程部员工新增或减少:总公司管理员直接对工程部用户进行project_long_Gs全局组的加入与退出。
- 分公司工程部员工新增或减少:分公司管理员直接对工程部用户进行project_china_Gs全局组的加入与退出。
3、任务实施
STEP 1 在总公司DC1上创建Project OU,在总公司的Project OU中创建Project_userA和Project_userB工程部员工用户(用鼠标右键单击“Project”选项,在弹出的快捷菜单中选择“新建”→“用户”命令,直接在“姓名”和“用户登录名”选项下输入字段即可,用户密码必须符合复杂度要求),如下图所示。
在父域上创建工程部员工:
STEP 2 在分公司DC2上创建Project OU,在分公司的 Project OU 中创建 Project_user1和Project_user2工程部员工用户,如下图所示。
在子域上创建工程部员工:
STEP 3 在总公司 DC1创建全局组 Project_long_Gs,并双击该全局组,单击“成员”→“添加”→“高级”→“立即查找”按钮,将总公司工程部用户Project_userA 和 Project_userB 加入该全局组,如下图所示。
将父域工程部用户添加到组:
STEP 4 在分公司DC2上创建全局组Project_china_Gs,并将分公司工程部用户加入该全局组,如下图所示。
将子域工程部用户添加到组:
STEP 5 在总公司DC1(林根)上创建通用组Project_long_Us,并双击该全局组,单击“成员”→“添加”→“高级”按钮,位置处选择“整个目录”,单击“立即查找”按钮,将总公司和分公司的工程部全局组配置为成员(由于在不同域中,加入时要注意“位置”信息,该例中设为“整个目录”),如下图所示。
将全局组添加到通用组:
STEP 6 在子公司 china 的 DC2上创建本地域组 Project_china_DLs,并将通用组Project_long_Us加入本地域组(加入时,重找范围是“整个目录”),如下图所示。
将通用组添加到本地域组:
STEP 7 在 DC2上创建共享目录 Projects_share,用鼠标右键单击该目录,在弹出的快捷菜单中选择“共享”→“特定用户”命令。在下拉列表中选择查找个人,找到本地域组Project_china_DLs并添加,将读写的权限赋予该本地域组,如图所示。
设置共享文件夹的共享权限:
然后单击“共享”按钮,最后单击“完成”按钮完成共享目录的设置。
注意:权限设置还需结合NTFS权限。
STEP 8 总公司工程部员工新增或减少:总公司管理员直接对工程部用户进行 Project_long_Gs全局组的加入与退出。
STEP 9 分公司工程部员工新增或减少:分公司管理员直接对工程部用户进行 Project_china_Gs全局组的加入与退出。
4、测试验证
STEP 1 在客户机 MS1上(DNS 服务器的 IP 地址一定要设为192.168.10.1和192.168.10.2),用鼠标右键单击“开始”菜单,在弹出的快捷菜单中选择“运行”命令,输入UNC路径\\DC2.china.long.com\ Projects_share,在弹出的凭据对话框中输入总公司域用户名[email protected]及密码,能够成功读取和写入文件,如下图所示。
STEP 2 注销MS1客户机,重新登录后,使用分公司域用户名[email protected]访问\\DC2.china.long.com\projects_share共享目录,能够成功读取和写入文件,如下图所示。
访问共享目录:
STEP 3 再次注销MS1客户机,重新登录后,使用总公司域用户名 [email protected] 访问\\DC2.china.long.com\Projects_share 共享目录,提示没有访问权限,因为 Alice 用户不是工程部用户,如下图所示。
提示没有访问权限:
