什么是AGUDLP?要详细哦

AGDLP 域本地组：
成员范围：所有的域
使用范围：自己所在的域
全局组：
成员范围：自己所在的域
使用范围：所有的域
A表示用户账号，G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中，将全局组添加到域本地组中，然后为域本地组分配资源权限。
假设，你有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹，这时，你可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL。这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改，B域的管理员太累了。
这时候，我们改变一下，在A和B域中都各建立一个全局组（G），然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL。哈哈，这下两个G组都有权访问FINA文件夹了，是吗？组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦，只要把那5个人和3个人加入G中，就可以了！以后有任何修改，都可以自己做了，不用麻烦B域的管理员啦！
这就是AGDLP。
对于多个相同权限的用户，只需将其添加到组中并给组授权就行了。或许每个网管都有自己独特的方法达到该目的，但微软推荐的AGDLP方案已经被无数 成功的实践证明了是一种最有效率的途径。不论单域还是多域，如能充分的运用G组和DL组进行合理的用户添加、嵌套与权限的分配，应付日常管理工作已绰绰有 余。
具体方法是：先将用户（Acounts-A）加入全局组G；再将G加入域本地组DL；最后给DL授权（Permissions-P）。

以下以多域环境的实例予以说明：

假定公司建立了两个域：工程部（A）与财务部（B），A中的5个技术人员和B中的3个财务人员都需要访问B中的“Project Budget”文件夹，你可以在B中建一个DL，由于DL的成员可以来自全部域，于是把这8个人都加入