Как и в случае проектирования организационных единиц, лучше упростить структуру групп, чтобы избежать излишних административных затрат. Установление набора правил — как работать с группами и какие группы могут быть созданы — поможет в более эффективном управлении большими группами пользователей и в более эффективном устранении неполадок с безопасностью.
Полезные советы по применению групп
Использование групп можно упростить, применяя простую формулу: использовать локальные группы домена для управления доступом к ресурсам и использовать глобальные группы для организации похожих групп пользователей. После этого созданные глобальные группы применяются к локальным группам домена в качестве членов, разрешая права доступа этих пользователей к этим ресурсам и ограничивая влияние репликации на среду. Для подобного использования рассмотрим пример. Пользователям в отделе маркетинга и финансовом отделе нужен доступ к общему сетевому принтеру. Соответственно были созданы две глобальные группы (Marketing Global и Finance Global), в которые были добавлены все пользовательские учетные записи из каждой группы. Была создана одна локальная группа домена под названием Printerl, которой разрешен исключительный доступ к общему принтеру. Затем группы Marketing и Finance были добавлены в качестве членов в группу Printerl. Эта простая формула работает и в гораздо большем масштабе и считается наилучшей практической рекомендацией для эффективного использования групп, не вызывая серьезных проблем с репликацией. Концепция универсальной группы также нашла свое развитие в Windows Server 2003. Теперь, когда проблема с репликацией решена с помощью инкрементной репликации членства, вероятность, что это форма группы будет возможна в среде, повышается. При необходимости универсальная группа может заменять глобальные группы или, возможно, включать глобальные группы в качестве членов. Универсальные группы наиболее удобны при объединении членства в группах за пределами границ доменов, и это должно быть их основным назначением при применении в Windows Server 2003.
На заметку
Хотя универсальные группы могут существовать только в доменах, функционирующих в режиме Native, теоретически они могут содержать членов из других доменов леса в режиме Mixed. Но это не рекомендуется, поскольку существенно затрудняет устранение проблем с доступом. Поскольку члены других доменов не могут иметь SID универсальной группы, добавленной к их элементу доступа, то объект домена в режиме Mixed добавляется в универсальную группу в виде ссылки, а не непосредственно объекта.
Установление стандартов именования групп
Как и в случае всех объектов Active Directory, группы должны быть легко идентифицируемы, чтобы уменьшить неопределенность и для конечных пользователей, и для администраторов. Следовательно, для всех групп важно установить некую форму соглашения по именованию и довести эти соглашения до сведения всех администраторов, создающих группы. Использование таких соглашений поможет избежать головной боли при определении, для чего используется какая-либо группа, кто ее владелец и тому подобного.
Вложенность групп Группы могут быть вложенными, то есть содержаться в качестве членов в других группах, чтобы легко добавлять одновременно нескольких членов известных групп в члены других групп. Эта дополнительная гибкость уменьшает общее количество необходимых групп и помогает минимизировать усилия по администрированию.
На заметку
В режимах Windows 2000 Mixed и Windows Server 2003 Interim подобные группы не могут быть вложенными. Например, не в режиме Native локальная группа домена не может быть вложенной в другую локальную группу домена, а глобальная группа не может быть вложенной в отдельную глобальную группу.
Создание групп рассылки
Если потребуется, в организации можно создать группы рассылки, позволяющие посылать SMTP-сообщения нескольким получателям. Помните, что с этими группами не связаны SID, и, следовательно, их невозможно использовать для назначения полномочий доступа. На самом деле группы рассылки редко создаются в организациях, не применяющих Exchange 2000/2003. Однако понимание их роли и возможностей важно для определения правильной структуры групп.
На заметку
При работе с NT BDC в режиме Mixed или Interim универсальные группы доступа недоступны. Однако в этих режимах доступны универсальные группы рассылки, которые можно ис-
пользовать для включения членов из любого домена леса.