Правление группами
Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.
Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.
Рассмотрим подробнее, какие группы могут создаваться в Active Directory.
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).
Типы групп
- Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеетидентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
- Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Область действия групп
- Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
- Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
- Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.
В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.
Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.
Маркер доступа.
При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.
Стратегия создания и использования групп.
При создании и использовании групп следует придерживаться следующих правил:
- Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
- Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируютсяна основе разрешений для доступа к конкретным ресурсам.
- Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.
По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.
Встроенные и динамически формируемые группы.
Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.
Перечислим наиболее часто используемые на практике встроенные и динамические группы.
Встроенные локальные группы (на рабочей станции или простом сервере). | |
Название группы | Описание |
Администраторы | Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группаАдминистраторы домена. |
Операторы резервного копирования | Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера. |
Администраторы DHCP(создается при установке службы DHCP Server) | Члены этой группы могут администрировать службу DHCP Server. |
Операторы сетевой конфигурации | Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически. |
Пользователи монитора производительности | Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом. |
Пользователи журнала производительности | Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом. |
Опытные пользователи | Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группахОпытные пользователи, Пользователи и Гости. |
Операторы печати | Члены группы могут управлять принтерами и очередями печати на конкретном сервере. |
Пользователи удаленного рабочего стола | Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера. |
Пользователи | Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группыИнтерактивные и Прошедшие проверку. |
Встроенные доменные локальные группы. | |
Название группы | Описание |
Администраторы | Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы. |
Операторы учетных записей | Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группуАдминистраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы. |
Операторы резервного копирования | Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу. |
Администраторы DNS(создается при установке службы DNS) | Члены группы имеют административный доступ к серверам DNS. |
Операторы сетевой конфигурации | Члены группы могут изменять настройки TCP/IP на контроллерах доменов. |
Пользователи монитора производительности | Члены группы могут следить за счетчиками производительности на контроллерах домена. |
Пользователи журнала производительности | Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена. |
Операторы печати | Члены группы могут управлять работой принтеров домена |
Операторы сервера | Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности. |
Пользователи | Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи доменаявляется по умолчанию членом данной группы. |
Встроенные глобальные группы. | |
Название группы | Описание |
Администраторы домена | Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию. |
Компьютеры домена | Все контроллеры, серверы и рабочие станции домена являются членами этой группы. |
Контроллеры домена | Все контроллеры домена являются членами этой группы. |
Пользователи домена | Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группуПользователи. |
Администраторы предприятия(создается только в корневом домене леса) | Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу. |
Администраторы схемы (создается только в корневом домене леса) | Члены этой группы могут изменять схему Active Directory. |
Динамические группы. | |
Название группы | Описание |
Интерактивные | В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере. |
Прошедшие проверку | Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения. |
Все | Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов. |
Дата добавления: 2015-10-13; просмотров: 744;