Как и в случае проектирования организационных единиц, лучше упростить струк­туру групп, чтобы избежать излишних административных затрат. Установление набо­ра правил — как работать с группами и какие группы могут быть созданы — поможет в более эффективном управлении большими группами пользователей и в более эффек­тивном устранении неполадок с безопасностью.

Полезные советы по применению групп

Использование групп можно упростить, применяя простую формулу: использовать локальные группы домена для управления доступом к ресурсам и использовать гло­бальные группы для организации похожих групп пользователей. После этого создан­ные глобальные группы применяются к локальным группам домена в качестве членов, разрешая права доступа этих пользователей к этим ресурсам и ограничивая влияние репликации на среду. Для подобного использования рассмотрим пример. Пользователям в отделе маркетинга и финансовом отделе нужен доступ к общему сетевому принтеру. Соответственно были созданы две глобальные группы (Marketing Global и Finance Global), в которые были добавлены все пользовательские учетные записи из каждой группы. Была создана одна локальная группа домена под на­званием Printerl, которой разрешен исключительный доступ к общему принтеру. За­тем группы Marketing и Finance были добавлены в качестве членов в группу Printerl. Эта простая формула работает и в гораздо большем масштабе и считается наилучшей практической рекомендацией для эффективного использования групп, не вызывая серьезных проблем с репликацией. Концепция универсальной группы также нашла свое развитие в Windows Server 2003. Теперь, когда проблема с репликацией решена с помощью инкрементной репликации членства, вероятность, что это форма группы будет возможна в среде, повышается. При необходимости универсальная группа может заменять глобальные группы или, возмож­но, включать глобальные группы в качестве членов. Универсальные группы наиболее удобны при объединении членства в группах за пределами границ доменов, и это долж­но быть их основным назначением при применении в Windows Server 2003.

На заметку

Хотя универсальные группы могут существовать только в доменах, функционирующих в ре­жиме Native, теоретически они могут содержать членов из других доменов леса в режиме Mixed. Но это не рекомендуется, поскольку существенно затрудняет устранение проблем с доступом. Поскольку члены других доменов не могут иметь SID универсальной группы, до­бавленной к их элементу доступа, то объект домена в режиме Mixed добавляется в универ­сальную группу в виде ссылки, а не непосредственно объекта.

Установление стандартов именования групп

Как и в случае всех объектов Active Directory, группы должны быть легко иденти­фицируемы, чтобы уменьшить неопределенность и для конечных пользователей, и для администраторов. Следовательно, для всех групп важно установить некую форму соглашения по именованию и довести эти соглашения до сведения всех администра­торов, создающих группы. Использование таких соглашений поможет избежать го­ловной боли при определении, для чего используется какая-либо группа, кто ее владе­лец и тому подобного.

Вложенность групп Группы могут быть вложенными, то есть содержаться в качестве членов в других группах, чтобы легко добавлять одновременно нескольких членов известных групп в члены других групп. Эта дополнительная гибкость уменьшает общее количество необ­ходимых групп и помогает минимизировать усилия по администрированию.

На заметку

В режимах Windows 2000 Mixed и Windows Server 2003 Interim подобные группы не могут быть вложенными. Например, не в режиме Native локальная группа домена не может быть вложенной в другую локальную группу домена, а глобальная группа не может быть вложен­ной в отдельную глобальную группу.

Создание групп рассылки

Если потребуется, в организации можно создать группы рассылки, позволяющие посылать SMTP-сообщения нескольким получателям. Помните, что с этими группами не связаны SID, и, следовательно, их невозможно использовать для назначения полномочий доступа. На самом деле группы рассылки редко создаются в ор­ганизациях, не применяющих Exchange 2000/2003. Однако понимание их роли и воз­можностей важно для определения правильной структуры групп.

На заметку

При работе с NT BDC в режиме Mixed или Interim универсальные группы доступа недоступ­ны. Однако в этих режимах доступны универсальные группы рассылки, которые можно ис-

пользовать для включения членов из любого домена леса.