Группы Active Directory

Структура групп доступа, хотя и не новая для Active Directory, предоставляет эф­фективных механизм управления безопасностью для большого количества пользова­телей. Без групп, обеспечивающих логическую организацию пользователей, права доступа к каждому объекту сети пришлось бы устанавливать вручную для каждого пользователя. Это означает, что если вы решили, что всему отделу нужен доступ к принтеру, то нужно будет вручную ввести каждого пользователя этого отдела в список прав доступа к этому принтеру. Это настолько устрашающие задачи, что близлежащие аптеки многократно перевыполнили бы план по продаже успокоительных средств.

Таким образом, для облегчения администрирования была введена концепция группы. Если сотрудникам крупного подразделения нужен доступ к одному и тому же принтеру, то достаточно предоставить необходимые права доступа группе этого под­разделения. Это существенно упрощает администрирование с учетом безопасности и имеет дополнительное преимущество — легкость перемещения пользователей при их уходе из компании или при переводе в другие подразделения. Например, предполо­жим, что некоторый администратор отвечает за печать на принтере, а его учетная запись входит в состав группы Printer Admins, которая имеет полные полномочия администрирования принтеров. Если теперь этот пользователь переведен на другую долж­ность, например, администратора электронной почты, то назначение прав доступа новому администратору печати сводится к включению этого нового пользователя в группу Printer Admins. Эта возможность существенно упрощает управление в подобных ситуациях.

Группы в Active Directory работают так, как работали групповые структуры в пре­дыдущих системах, особенно в Windows NT, но с некоторыми модификациями. Груп­пы делятся на две категории: тип группы и область действия группы. В Active Directory существуют два типа групп: группы доступа и группы рассылки. Группы доступа ис­пользуются для предоставления членам группы прав доступа к объектам. Группы рассылки служат не для предоставления прав доступа, а для отправки почтовых сообще­ний членам группы. Аналогично, область действия группы в Active Directory делится на несколько компонентов, определенных следующим образом:

  • Локальные группы компьютера (Machine Local Groups). Локальные группы компьютера, известные также как просто «локальные группы», появились еще в Windows NT 4.0. Теоретически они могут содержать членов из любого доверяе­мого местоположения. В группы этого типа могут быть включены пользователи и группы из локального домена, а также из других доверяемых доменов и лесов. Однако важно отметить, что локальные группы позволяют доступ к ресурсам только той машины, на которой они находятся, что существенно снижает возможности их использования.
  • Локальные группы домена (Domain Local Groups). Локальные группы домена во многом подобны локальным группам Windows NT и используются для администрирования ресурсов, содержащихся только в их собственном домене. Они могут содержать пользователей и группы из любых других доверяемых доменов, однако доступны только в собственных доменах Windows 2000. Чаще всего эти типы групп используются для предоставления доступа к ресурсам для групп, принадлежащих другим доменам.
  • Глобальные группы (Global Groups). Глобальные группы противоположны локальным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но используются для предоставления доступа к ре­сурсам других доверяемых доменов. Эти типы групп наиболее удобны для на­значения членства учетным записям пользователей, которые совместно выпол­няют сходные функции, например из глобальной группы сбыта.
  • Универсальные группы (Universal Groups). Универсальные группы могут со­держать пользователей и группы из любых доменов леса и могут предоставлять доступ к любому ресурсу леса. Но наряду с дополнительными возможностями существуют и неприятные моменты. Во-первых, универсальные группы доступ­ны только в доменах, функционирующих в собственном (Native) режиме. Во-вторых, все члены каждой универсальной группы хранятся в глобальном ката­логе, что приводит к увеличению объема репликации. Однако следует отметить, что репликация членства в универсальных группах в Windows Server 2003 существенно упрощена и оптимизирована за счет применения инкрементной репликации членства.
  • Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

    Оставить комментарий

    Вы должны быть авторизованы, чтобы разместить комментарий.