هنگامی که کاربری را در اکتیودایرکتوری ایجاد می کنیم به صورت پیش فرض عضو گروه Global هست ، ما می توانیم گروه ها را به security - distribution و برعکس تبدیل کنیم اما با شرایط زیر :
- Universal to domain local : قادر به گرفتن اعضا از یونیورسال گروه های دیگر نیست
- Universal to global : قادر به گرفتن اعضا از یونیورسال گروه های دیگر نیست
- Global to universal : قادر به گرفتن اعضا از گلوبال گروه ها نیست
- Domain local to universal : قادر به گرفتن دامین محلی از دامین های محلی دیگر نیست
در این پست مطالب بیشتری را ملاحظه خواهید کرد
Domain Local => قابلیت پذیرش عضو از هر دامنه ای را دارد ، قابلیت کسب مجوز از فقط دامنه خودش می باشد
Global => قابلیت پذیرش عضو از فقط دامنه خودش را دارد و قابلیت کسب مجوز از هر دامنه ای را دارد
Universal => قابلیت پذیرش عضو از هر دامنه ای که داخل فارست خودش باشد دارد و قابلیت کسب مجوز را از هر دامنه ای می پذیرد
توجه : دسترسی در محیط های لوکال به منابع شبکه توسط کاربری که در مقصد هست انجام می شد که در یک یا چند گروه می توانستیم آن ها را قرار داد که به آن ALP می گویند ( Account = Local = Permission ) - در محیط دامین اعضا در اکتیودایرکتوری هستند همچنین می توانسیم این اعضا را عضو گروه های لوکال کنیم و اجازه دسترسی مربوطه هم داد اما برای تخصیص بهتر اجازه دسترسی می توان از روش AGLP استفاده کرد ( Account = Global = Local = Permission ) حالا اکانت های مختلف را عضو گروه گلوبال کرده کاربران را عوض کنید و بعد آنها را عضو گروه های لوکال کنیم
روش بالا فقط برای منابع کم در شبکه کاربرد دارد اما اگر منابع شبکه بیشتر باشد مجبوریم این عملیات را در تک تک سرورها انجام دهیم برای راحتی اعطا دسترسی به اعضا روشی دیگر به نام AGDLP وجود دارد ( Account = Global = Domain Local = Permission ) که قادریم در گروه گلوبال اعضا را دسته بندی کنیم ولی گروه های گلوبال را عضو دامین لوکالی کنیم که در اکتیودایرکتوری ساختیم و مجوزهای دسترسی را به آن اختصاص دهیم تا مجبور نشویم یکی یکی در SAM این کامپیوترهای لوکال اجازه دسترسی بدهیم این روش AGDLP در محیط های گسترده با چندین دامین مدیریت دسترسی ها را برای ما آسان می کند
توجه : شما می توانید دسترسی را به گلوبال ها هم اعطا کنید
توجه : نام گروه های گلوبال می تواند با توجه به وظایف و ویژگی آن نام گزاری شود مانند گروه Sales اما نام گزاری برای گروه های دامین لوکال بر اساس اجازه دسترسی می تواند باشد تا بتوانیم هنگام عضویت اعضا متوجه شویم چه مجوزهایی به آنها داده می شود مانند Group Sales Floor 1 - و بعد با عضویت در گروه های گلوبال شروع به اعطای مجوز می کنیم
فرض کنید فارستی به نام a.com داریم که دارای سروری هستند که هر سرور هم کاربران مختص به خود را دارند یک دامنه به نام Tree.com و یک چایلد دامین به نام ca1.a.com هم داریم حالا روش ADLP می خواهیم برای اعطا مجوز استفاده کنیم این قانون می گوید شما گروه های دامین لوکال را بسازید دسترسی های لازم را به آن دامین لوکال ها بدهید ( با توجه به قانون عضوگیری و اجازه مجوز دستری درباره دامین لوکال ها که در بالا گفته شد ) و کاربران را عضو آنها کنید از روش AGDLP هم کاربرد خواهد داشت به طوری که گلوبال گروپ را ایجاد کنید اعضا را عضو آنها کنید و بعد این گروه رو عضوی از دامین لوکال کنید مزیت این روش این است هنگامی که عضوی به Tree.com اضافه می شود این عضو را می توانید در گلوبال گروپ وارد کنید خود به خود همه مجوزهای دسترسی را خواهد داشت
روش AGUP که ( Account = Global = Universal = Permission ) در این روش گلوبال ها بعد از عضو گیری وارد یونیورسال گروه ها می شوند حالا وقت کمتری برای عضوگیری در DL ها صرف خواهد شد با یک عضویت مسئله حل خواهد شد از آنجایی که گروه های یونیورسال خارج از فارست نمی توانند کار کنند و عضویت کاربران در گروه های یونیورسال بر عهده کاتالوگ گلوبال است و این می تواند بار دامین کنترولر را بالا ببرد
- ۹۰/۰۷/۱۴