您现在的位置是:首页 > IT基础架构 > 网络与安全 >
用A、G、DL、P策略管理网络资源访问权限
2008-09-09 17:27:00作者:彭亮来源:
摘要网路管理专家在实际工作中,总结了很多组设计的规则,如A、G、DL、P策略,A、G、G、DL、P策略等等。不过在一般企业应用中,一般使用A、G、DL、P策略既可,笔者企业就是采用这种策略来设计组、管理用户权限的。...
如现在某个企业是通过域来管理的。在域中,有三台打印机,其中,销售部门只能够访问打印机A;管理部门只能够使用打印机B;财务部门可以访问打印机C,当打印机C不能够使用时,则可以使用打印机B。在域中,还有三个共享文件夹,其中文件夹甲是销售部门专用文件夹,只有销售员工以及销售总监与财务总监可以访问;文件夹乙是财务专用文件夹,只有财务部门以及财务总监帐户可以访问;文件夹丙是一个公共文件夹,任何部门员工都可以访问。针对这种应用的话,该如何来管理帐户的访问权限呢?
最简单也就是最原始的方法,就是没每个帐户设置访问权限。但是,为每一个帐户配置访问权限,很明显工作量会很大。若果企业有一百个用户,就需要配置一百次。而且,后续若权限需要进行变更的话,仍然需要变更一百次。显然,我们网络管理员不原意接受工作量这么大的处理方式。若真的这么麻烦的话,我们也不会花这么多时间去辛辛苦苦搭建域环境了。
其实,在域中,采用了一个很好的权限管理平台,利用这个平台,我们可以轻松方便的管理域内帐户的访问权限。具体的来说,就是通过组来设置用户的权限。先设置一个组,分配具体的权限;然后把用户加入到这个组中,加入到这个组中的用户就同时具有这个组的权限。这么做的好处,就是不用为每个用户设置权限,我们可以把相同权限的用户归类为一个组,在组中设置访问权限,然后把用户加入到这个组中即可。如按照上面打印机的访问规则,我们可以设置为三个组,分别为销售部门组、管理部门组、与财务部门组。然后让销售部门组具有访问打印机A的权限;管理部门组具有访问打印机B的权限;财务部门组具有访问打印机C与 B的权限。然后建立各个部门的用户,加入到对应的组中即可。如此的话,就可以大大减轻我们网络管理员的工作量。
网路管理专家在实际工作中,总结了很多组设计的规则,如A、G、DL、P策略,A、G、G、DL、P策略等等。不过在一般企业应用中,一般使用A、G、DL、P策略既可,笔者企业就是采用这种策略来设计组、管理用户权限的。下面笔者就结合这种策略,来谈谈自己的心得。
一、 全局组与本地组
在谈这个策略之前,我们必须要先明白两个概念全局组与本地组。
域本地组主要用来指派在其所属域内帐户的访问权限,以便访问该域的资源。域本地组织只能够访问同一个域内的资源,无法访问其它不同域内的资源。也就是说,当在某台计算机上设置权限时,可以设置同一个域内的域本地组的访问权限,而无法设置其它域内的域本地组的权限。但是,其用户的来源则可以是所有域内的用户与全剧组。如企业现在有两个公司,总公司与分公司,分属于不同的域。其中员工李某与周某,分别属于总公司与分公司。
现在就拿分公司这个域来说,我们可以在这个域中建立一个本地组。有时会,总公司的员工李某来分公司视察的时候,需要访问分公司的网络资源。如此的话,我们就可以把李某加入到分公司这个域的本地组,这是可以的,因为域本地组可以把其它域的用户加入到本地组中。但是,分公司这个域本地组是没有权限,把自己域内的用户,如周某加入到总公司的域本机组中去。
全局组主要是用来组织用户。也就是说,我们在权限管理中,可以把根据权限的不同对用户进行分组,让权限相同的用户帐户归属于同一个全局组。全局组可以访问任何一个域内的资源,即可以在任何一个域内设置全局组的访问权限。也就是说,可以把全局组认为没有域的限制,你在A域中设立全局组,然后可以在 B域中对其访问权限进行修改。
此时,就有人会问,那不是会很乱?总公司建立的全局组,分公司的域管理员也可以管理总公司全局组的访问权限,那就要天下大乱了。确实如此。所以说,光用全局组来管理域帐户的访问权限的话,是不怎么可行的。一般情况下,需要把全局组跟域本地组结合起来使用,这就是我们所说的A、G、DL、P策略
二、 A、G、DL、P策略
A、G、DL、P策略中,A表示域帐户,G表示全局组,DL表示域本地组,P表示访问权限。这个策略的意思就是先建立用户帐户,然后把根据帐户的访问权限不同把它加入到不同的全局组中,然后再把全局组加入到域本地组中,最后设置域本地组的权限。如此的话,域中的任何一个用户只要针对域本地组来设置访问权限,则出于该域本地组中的全局组中的所有用户,都自动继承该权限。
第一步:设置用户,不用分配权限
首先,我们需要给企业内的所有用户在域中设置帐号。我们可以在域控制器中,利用用户帐号建立向导一个个建立用户帐号;也可以利用域控制器提供的导入工具,先在EXCLE等软件中建立好用户信息,然后再成批导入。不过这里要注意,利用成批导入功能的话,不能够导入用户帐号的密码,所以为了安全性起见,在导入的时候,往往需要先把用户帐号设置为锁定状态。等到密码更改后,再进行解锁。
用户帐号信息建立完成之后,不需要为其设置具体的权限。
第二步:对用户进行分组
用户帐户建立好之后,就需要对用户进行分组,看看各个用户具有哪些不同的权限。我公司对于用户分组比较简单,各个部门各分为一组,六个部门分为六组;企业管理层即各个部门经理以上人员一个小组;全体公司员工一个小组,总共分为八组。当然,企业对于网络资源访问权限不同,可以设置不同的组,如可以把销售部门再细分成销售一组、销售二组等等。
总之,在给用户划分组的时候,需要根据权限来进行划分。另外,同一个用户可以分属于不同的组。如销售部门经理可以在销售部门组,可以在管理层租,也可以在全体员工组等等。
第三步:根据分组的结果建立全局组,并把用户加入到全局组中
然后,我们可以根据上面的分组结果,在域控制器中建立相关的组。在建立全局组的时候,要注意,全剧组最好能够进行合理的命名,这对于我们后续的维护,具有非常大的帮助。
全局组建立之后,就需要把用户帐户根据权限的不同一一加入到对应的组中。在此时,要注意一个问题,就是一个用户可能同时分属于不同的组。这主要是根据访问权限不同而考虑的。不过有时会在权限设计的时候,也可以在域本地组上实现权限的累加,具体可以根据企业的需要进行灵活的设置。
第四步:建立域本地组,并为其分配权限
然后,我们根据企业网络访问权限的不同,建立本地组。本地组一般有多种方式可以建立,如我们可以根据网络资源的不同进行建组。如根据网络打印机的不同,我们可以建立打印机A组、打印机B组,然后把具有相关打印机访问权限的全局组加入到这个组中。因为同一个全局组可以对不同的域本地组的权限进行累积。不过,这种处理方式的话,在网络资源比较多的时候,管理起来工作量仍然会很大。
所以,一般情况下,基本上都是按具体的权限来建立域本地组。如销售部门域本地组具有访问打印机A与共享文件夹“销售部门专用文件夹”,就可以为这个组分配这两个权限,然后把“销售部门全局组”加入到这个域本地组中,如此的话,销售部门全局组中的所有用户帐号都有访问打印机A与“销售部门专用文件夹”的权利。
这里要注意,同一个全局组可以加入到不同的域本地组中,从而对域管理组的权限进行累加。如销售总监属于高层管理全局组,这个组属于“高层管理域本地组”,这个组可以访问“销售部门员工专用文件夹权利”,没有访问公共文件夹的权利;同时,这个用户又是企业用户全局组,这个全局组属于企业用户本地组,而这个本地组具有公共文件夹的访问权利,没有销售部门专用文件夹的访问权利。最后,销售总监这个账户,会对两个域本地组的权限进行累加,不仅具有销售部门员工专用文件夹的访问权利,也具有企业公共文件夹的访问权利。
所以,在组的设计中,要特别注意这个权限的累加问题。
(本文不涉密)
责任编辑:
上一篇:局域网改造升级三步曲
下一篇:将IT网络运维管理进行到底