Области видимости групп

В Active Directory имеется четыре основных области видимости (scope) групп. Ка­ждая область видимости используется для различных целей, но все они предназначе­ны для облегчения администрирования и предоставления способа просмотра или одновременного выполнения действий с большими группами пользователей. Вот эти об­ласти видимости групп:

  • Локальные группы компьютера.
  • Локальные группы домена.
  • Глобальные группы.
  • Универсальные группы.
  • Область видимости групп может оказаться одним из наиболее запутанных аспектов Active Directory, и чтобы в этом разобраться, зачастую может потребоваться ученая степень доктора по прикладной биогруппологии. Однако если к членству в группах и созданию групп применять определенные критерии построения, то эта концепция станет более понятной.

    Локальные группы компьютера

    Локальные группы компьютера (machine local groups) представляют собой группы, встроенные в операционную систему; они могут применяться только к объектам, ло­кальным для компьютера, на котором они существуют. Другими словами, это стан­дартные локальные группы наподобие Power Users, Administrators и так далее, создан­ные в отдельно взятой системе. До упрощения администрирования по сети для управ­ления доступом к ресурсам сервера использовались локальные группы. Недостаток этого подхода состоял в том, что пользователям нужна была отдельная учетная запись на каждой машине, к которой они хотели иметь доступ. В доменной среде использование этих групп для назначения полномочий не рекомендуется, поскольку затраты на администрирование при этом будут огромны.

    На заметку

    Контроллеры доменов в лесу Active Directory не содержат локальных групп. Когда сервер с помощью команды dcpromo повышается до контроллера домена, все его локальные группы и учетные записи уничтожаются, и остаются только доменные учетные записи. Локальные группы и пользователи просто заменяются копиями доменных групп и пользователей. Все специальные полномочия, которые были у локальных пользователей, необходимо приме­нить заново с помощью доменных учетных записей.

    Локальные группы домена

    Понятие локальных групп домена (domain local groups) может показаться вначале противоречивым; это группы уровня домена, которые могут использоваться для уста­новления прав доступа к ресурсам домена, в котором они находятся. Локальные груп­пы домена представляют собой развитие старых локальных групп Windows NT.

    Локальные группы домена могут содержать членов из любого места леса Active Di­rectory или любого доверяемого домена за пределами леса. Локальная группа домена может содержать членов из:

    • глобальных групп;
    • учетных записей пользователей;
    • универсальных групп (только в AD в режиме Native);
    • других локальных групп домена (вложенных, только в режиме Native).
    • Локальные группы домена в основном используются для доступа к ресурсам, по­скольку для каждого ресурса создаются различные локальные группы домена, а затем к ним добавляются другие учетные записи и/или группы. Это помогает легко опреде­лить, какие пользователи и группы имеют доступ к ресурсу.

      Глобальные группы

      Глобальные группы (global groups) являются своего рода реинкарнацией глобальных групп NT, но с несколько иными характеристиками. Эти группы могут содержать сле­дующие типы объектов:

      • учетные записи пользователей;
      • глобальные группы из своего собственного домена (только в режиме Native).
      • Глобальные группы в основном применяются для разбиения пользователей на лег­ко идентифицируемые категории и использования их для назначения прав доступа к ресурсам. Отличаются глобальные группы от универсальных групп тем, что глобаль­ные группы прекращают репликацию своего членства на границах доменов, ограни­чивая репликацию за пределами домена.

        Универсальные группы

        Концепция универсальных групп (universal groups) впервые появилась в Windows 2000 и стала еще более полезной в Windows Server 2003. Универсальные группы как раз таковыми и являются — универсальными. Они могут содержать объекты из любого доверяемого домена и могут использоваться для применения прав доступа к любому ресурсу домена. Универсальные группы доступны только в функциональных режимах доменов Windows Server 2003 или Windows Native 2000 и не могут применяться в режимах Windows Server 2003 Interim или Windows 2000 Mixed. Это сделано потому, что ре­зервные контроллеры домена Windows NT4 (BDC) не могут реплицировать функцио­нальность, присущую универсальным группам. Хотя простое преобразование всех групп в доменах в универсальные группы мо­жет выглядеть весьма практичным, всегда существовало ограничение, что членство в универсальных группах реплицируется по всему лесу. Что еще хуже, объекты уни­версальных групп Windows 2000 Active Directory определяли членство с помощью одного многозначного атрибута. Это означало, что при любом изменении членства в универсальной группе все членство в группе заново реплицировалось по всему лесу. Следовательно, функциональность универсальных групп была ограниченной. В Windows Server 2003 введена концепция инкрементной репликации членства в уни­версальных группах, выполняющая репликацию членства в универсальных группах для отдельных членов. Это существенно уменьшает влияние репликации универсальных групп на среду и делает концепцию универсальных групп более приспособленной для распределенных сред. Однако эта возможность отсутствует, если домен не модерни­зирован до функционального уровня Windows Server 2003.

        Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

        Оставить комментарий

        Вы должны быть авторизованы, чтобы разместить комментарий.