Правление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

  • Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеетидентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
  • Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп

  • Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
  • Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
  • Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

  1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
  2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируютсяна основе разрешений для доступа к конкретным ресурсам.
  3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

Встроенные и динамически формируемые группы.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Перечислим наиболее часто используемые на практике встроенные и динамические группы.

Встроенные локальные группы (на рабочей станции или простом сервере).
Название группы Описание
Администраторы Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группаАдминистраторы домена.
Операторы резервного копирования Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
Администраторы DHCP(создается при установке службы DHCP Server) Члены этой группы могут администрировать службу DHCP Server.
Операторы сетевой конфигурации Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
Пользователи монитора производительности Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
Пользователи журнала производительности Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
Опытные пользователи Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группахОпытные пользователи, Пользователи и Гости.
Операторы печати Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
Пользователи удаленного рабочего стола Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
Пользователи Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группыИнтерактивные и Прошедшие проверку.
Встроенные доменные локальные группы.
Название группы Описание
Администраторы Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
Операторы учетных записей Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группуАдминистраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
Операторы резервного копирования Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
Администраторы DNS(создается при установке службы DNS) Члены группы имеют административный доступ к серверам DNS.
Операторы сетевой конфигурации Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
Пользователи монитора производительности Члены группы могут следить за счетчиками производительности на контроллерах домена.
Пользователи журнала производительности Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
Операторы печати Члены группы могут управлять работой принтеров домена
Операторы сервера Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
Пользователи Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи доменаявляется по умолчанию членом данной группы.
Встроенные глобальные группы.
Название группы Описание
Администраторы домена Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
Компьютеры домена Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
Контроллеры домена Все контроллеры домена являются членами этой группы.
Пользователи домена Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группуПользователи.
Администраторы предприятия(создается только в корневом домене леса) Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
Администраторы схемы (создается только в корневом домене леса) Члены этой группы могут изменять схему Active Directory.
Динамические группы.
Название группы Описание
Интерактивные В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
Прошедшие проверку Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
Все Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.







Дата добавления: 2015-10-13; просмотров: 744;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.004 сек.