如何把另一个信任域里面的用户添加到当前域里面的组

创建一个Domain local security group。可以把另外一个信任域里面的用户添加进来。

按照微软的AGDLP建议, 先将用户(Acounts-A)加入全局组G;再将G加入域本地组DL;最后给DL授权(Permissions-P)。

在多个域环境下建议AGUDLP ,先将用户(Acounts-A)加入全局组G; 再将G加入通用组U ;再将U加入域本地组DL;最后给DL授权(Permissions-P)。

各个组的区别如下:

Global security groups 全局组 成员范围:所有的域
Domain local security groups  域本地组 使用范围:自己所在的域
Universal group 通用组 使用范围:所有的域


A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。

注意通用组的成员不是保存在各个域控制器里面,而是保存在全局目录里面,所以任何成员变动都会会增加网络复制流量。一般不会直接加帐号进通用组,而是加成员到全局组再加全局组到通用组。

打赏

共有 0 条评论

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注