Windows 网络服务架构系列课程详解（七） －－windows域环境多区域间访问

核心提示： 2.2、 使用ADGLP规则实现林中跨域访问林中的所有域之间的信任关系时自动创建的，而且时双向的和棵传递的信任关系，Windows 网络服务架构系列课程详解（七） －－windows域环境多区域间访问(8)，这会不会造成林中的任何账户都能轻易访问其他域的资源呢？答案是否定的，信任关系的建立仅仅只

2.2、 使用ADGLP规则实现林中跨域访问

林中的所有域之间的信任关系时自动创建的，而且时双向的和棵传递的信任关系，这会不会造成林中的任何账户都能轻易访问其他域的资源呢？答案是否定的。信任关系的建立仅仅只为跨域访问资源提供了前提条件，但是要成功访问资源还必须设置要访问文件夹的共享和安全权限。

AGDLP规则：首先将具有相同访问权限的用户加入的全局组，然后，将所有具有相同性质的全局组加入到一个本地域组，然后给本地域组赋予权限即可。

现在存在这样一个环境，域beijing.com全局组quanjuzu里的一个用户ceshi想访问域xiaonuo.beijing.com中的共享资源。

首先，在域bingjing.com上创建一个用户ceshi，然后创建一个全局组quanjuzu，将ceshi加入到quanjuzu中，而实际应用中，quanjuzu中应该有多个具有同样性质的用户，然后，在子域xiaonuo.beijing.com上创建一个本地域组bendiyuzu，并将域beijing.com中全局组quanjuzu加入到子域xiaonuo.beijing.com中的本地域组bendiyuzu中。

注意：加入的时候，需要修改查找位置，将当前位置改为beijing.com

然后在子域xiaonuo.beijing.com上新建一个文件夹，命名为ceshi，并设置其共享权限为bendiyuzu读取，NSFS权限为bendiyuzu读取和运行，最终的权限为两者的叠加，即为读取权限。