Model AGDLP w Active Directory – teoria

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Co wnosi ta lekcja

Zrozumiesz model AGDLP: po co jest (chaos vs uporządkowane uprawnienia), co oznaczają litery A–G–DL–P, zasada „użytkownik → grupa globalna → grupa lokalna domenowa → uprawnienia”, rola Accounts, Global Groups, Domain Local Groups, Permissions; dlaczego nie nadajemy uprawnień bezpośrednio użytkownikom; różnica OU vs grupy; gdzie stosować AGDLP.

Model AGDLP w Active Directory – teoria

Scenariusz z życia

W małej sieci admin nadaje dostęp do folderów bezpośrednio użytkownikom. Gdy firma rośnie, pojawia się chaos: odejście pracownika = ręczne usuwanie go z dziesiątek folderów; zmiana działu = nie wiadomo, skąd zabrać uprawnienia. Model AGDLP wprowadza warstwę: użytkownicy → grupy globalne → grupy lokalne domenowe → uprawnienia do zasobów. Jedna zmiana w grupie zamiast setek wpisów NTFS.

Co dzieje się w systemie

Uprawnienia nie idą od użytkownika do folderu. Idą: Użytkownik (A) → dodany do Grupy globalnej (G) → grupa globalna dodana do Grupy lokalnej domenowej (DL) → DL dostaje uprawnienia (P) do folderu/drukarki. NTFS i Share: wpisujesz tylko DL. Użytkownik i GG nigdy nie pojawiają się bezpośrednio na zasobie.

Nazwy i definicje

AGDLP: Accounts (konta) → Global Groups (zbierają użytkowników, np. GG_IT, GG_Administracja) → Domain Local (grupy lokalne domenowe, np. DL_Files_IT – one dostają NTFS/Share) → Permissions (Read, Modify, Full Control).

Litera	Znaczenie	Rola
A	Accounts	Konta użytkowników
G	Global Groups	Grupy globalne
DL	Domain Local Groups	Grupy lokalne domenowe
P	Permissions	Uprawnienia do zasobów

OU vs grupa: OU organizuje obiekty i służy do GPO; nie nadaje dostępu do folderów. Grupy (GG, DL) służą do uprawnień; uprawnienia NTFS/Share nadajemy tylko DL.

Konsekwencje administracyjne

Odejście pracownika: usunięcie z GG – koniec. Zmiana działu: przeniesienie z jednej GG do drugiej. Audyt: wiesz, kto jest w której grupie. Least Privilege: jedna DL na jeden zasób. AGDLP stosujemy przy folderach, drukarkach, aplikacjach, ERP.

Myślenie administratora

Nigdy: użytkownik → bezpośrednio do folderu. Zawsze: użytkownik → GG → DL → uprawnienia. OU porządkuje strukturę; grupy nadają dostęp. Na egzaminie: uprawnienia NTFS/Share tylko dla DL.

Zapamiętaj – 4 fakty egzaminowe

AGDLP: Accounts → Global Groups → Domain Local → Permissions. Uprawnienia nadajemy tylko grupom lokalnym domenowym (DL).
GG zbierają użytkowników (dział/funkcja); DL otrzymują uprawnienia do zasobów i zawierają GG.
OU służy do organizacji i GPO; grupy do uprawnień. Nie myl OU z grupami.
Bezpośrednie nadawanie uprawnień użytkownikom przy większej skali prowadzi do chaosu i problemów przy zmianach kadrowych.

Zapamiętaj

AGDLP = Accounts (użytkownicy) → Global Groups (zbierają użytkowników, np. GG_IT) → Domain Local Groups (dostają uprawnienia do zasobów, np. DL_Files_IT) → Permissions. Nigdy użytkownik bezpośrednio do folderu.
Grupy globalne: organizują użytkowników (dział/funkcja). Grupy lokalne domenowe: reprezentują zasób; to im nadajemy NTFS. Do DL dodajemy GG.
Odejście pracownika: w AGDLP wystarczy usunąć z GG. Zmiana działu: przenieść między GG. Bez AGDLP – ręczne zmiany w dziesiątkach folderów.
OU porządkuje strukturę i GPO; grupy nadają uprawnienia. OU nie nadaje dostępu do folderów.

Pytanie testowe ABCD

Pytanie 1

Admin nadaje Janowi Kowalskiemu dostęp do 20 folderów, wpisując go bezpośrednio w uprawnieniach NTFS. Jan odchodzi z firmy. Co musi zrobić admin?

Wybierz.

Pytanie testowe ABCD

Pytanie 2

Do czego służy grupa globalna (GG), a do czego grupa lokalna domenowa (DL) w modelu AGDLP?

Wybierz poprawną parę.

Sprawdź się

Co oznaczają litery A, G, DL, P w modelu AGDLP?Dlaczego nie nadajemy uprawnień bezpośrednio użytkownikom?Jaka jest różnica między grupą globalną a grupą lokalną domenową?Czym różni się OU od grupy w kontekście uprawnień?

Notatki (opcjonalnie)