最常见的方法是根据组成员身份隔离访问。在 ACS 中有/应该有一个“访问策略”菜单 - 我不会在这里详细介绍配置 ACS 的每个细节，因为这就是为什么有手册，但您基本上可以定义哪些组成员可以登录的策略（以及哪些组成员有权运行哪些命令）那里。此外，还有一种方法可以在您的实际网络设备本身中定义层次结构（通过主机名、“位置”等），这可以为网络设备访问提供进一步的标准。如果您需要点击式 AAA，则 ACS 是一款不错的产品，但如果您的员工知道他们在做什么（请参阅tac_plus或FreeRADIUS），则可以使用更便宜的方法来做同样的事情。

在 ACS 中定义和布置网络资源/网络设备组中的元素时要小心，在定义新的访问策略和允许的命令集时，您的工作会更轻松。