AGUDLP
AGUDLP (kurz für Account, Global, Universal, Domain Local, Permission) bezeichnet eine Domänengesamtstruktur-Organisationsstruktur für Active Directory, in welcher «Benutzer» in eine oder mehrere «Globale Sicherheitsgruppen» eingeteilt werden, welche dann in jeweils eine «Universale Sicherheitsgruppe» eingeteilt werden, welche anschliessend in beliebig viele «Lokale Sicherheitsgruppen» eingeteilt werden, über welche danach die «Berechtigungen» geregelt werden.
In unserem Fall sind die «Universalen Sicherheitsgruppen» auf der Top-Domäne «rafisa.org» und die «Benutzer», «Globalen Sicherheitsgruppen» und «Lokalen Sicherheitsgruppen» auf den jeweiligen Sub-Domänen «zh.rafisa.org», «be.rafisa.org», «fr.rafisa.org», «zg.rafisa.org». Diese Verschachtelung ermöglicht es Administratoren einer Sub-Domäne, welcher nicht Administrator der Top-Domäne ist, Benutzer zu erstellen. Da diese danach in «Globale Sicherheitsgruppen» der Sub-Domäne eingeteilt werden, welche wiederum in «Universale Sicherheitsgruppen» der Top-Domäne eingeteilt sind, stehen die Benutzer danach auch den anderen Sub-Domänen, auf welcher sie nicht erstellt wurden, durch die Einbindung ihrer «Universalen Sicherheitsgruppe» in eine «Lokale Sicherheitsgruppe» auf der Sub-Domäne, zur Verfügung.
Beispiel
Sozialpädagogin A soll in der Domäne „zh.rafisa.org“, von einem lokalen Administrator, als Benutzer „sozpäd.a“ erstellt werden und soll Zugriff auf Daten in „zh.rafisa.org“ als auch, im Falle von Bedarf, in „fr.rafisa.org“ haben, jedoch in „fr.rafisa.org“ nicht neu erstellt werden müssen und diese Befugnisse von einem lokalen Administrator erteilt bekommen.
Der Benutzer „sozpäd.a“ wird vom Administrator von „zh.rafisa.org“ erstellt und in die bereits von ihm erstellte Globale Sicherheitsgruppe „IFA-Sozialpaedagogik-ZH-GS“ in „zh.rafisa.org“ eingeteilt. Diese ist bereits in die vom Administrator von „rafisa.org“ erstellte Universale Sicherheitsgruppe „IFA-Sozialpaedagogik-ZH-US“ in „rafisa.org“ eingeteilt. Diese US wird nun vom Administrator von „zh.rafisa.org“ in die Lokale Sicherheitsgruppe „IFA-Sozialpaedagogik-ZH-LS“ in „zh.rafisa.org“ eingeteilt um dem Benutzer „sozpäd.a“ Zugriff auf die benötigten Daten zu geben. Für den Zugriff auf Daten in „fr.rafisa.org“ teilt der Administrator von „fr.rafisa.org“ die US „Sozialpaedagogik-ZH-US“ in die LS „IFA-Sozialpaedagogik-FR-LS“ in „fr.rafisa.org“ ein.