Существует четыре области действия группы, и при создании группы в Active Directo следует выбрать соответствующую область действия. Каждая область действия имеет свое предназначение, поэтому важно разобраться в существующих между ними различиях
По области действия группы делятся на следующие категории.
● Локальные группы компьютера.
● Локальные группы домена.
● Глобальные группы.
● Универсальные группы.
Локальные группы компьютера
Эти группы могут быть использованы для назначения разрешений доступа к ресурсам, но только для локального компьютера Локальные группы компьютера, в общем, представляют собой используемые по умолчанию группы, встроенные в операционную систему. По мимо встроенных локальных групп компьютера, администратор рабочей станции или сервера может создавать свои локальные группы, но в сетевых средах в большинстве случаев используются только те локальные группы, которые были созданы и установлены с операционной системой. Наиболее часто используемыми локальными группами в операционных системах Windows являются группы Administrators (Администраторы), Users (Пользователи) и Power Users (Опытные пользователи). Группа Backup Operators (Операторы архива) также является часто используемой группой, применяемой для назначения разрешений на архивацию локальных ресурсов компьютера.
Не рекомендуется использовать локальные группы компьютера для назначения разрешений на доступ к ресурсам в доменной среде, хотя они могут быть полезны для назначения прав на отдельных рабочих станциях.
На контроллерах домена локальные группы компьютера отсутствуют
При обновлении рядового сервера до контроллера домена происходит удаление локальных групп и пользователей и их замена группами и пользователями домена. Все разрешения, которые были установлены с использованием локальных групп, для групп домена придется создавать заново.
Локальные группы домена
Локальные группы домена представляют собой следующую ступень после локальных групп компьютера. Подобно локальным группам в Windows NT, локальные группы домена являются локальными в том смысле, что их можно использовать для назначения разрешений на доступ к ресурсам, которые являются локальными с точки зрения домена.
Хотя локальная группа домена может назначать разрешения на доступ к ресурсам только в пределах определенного домена, она может содержать членов из любого участка леса Active Directory, и даже членов, находящихся за пределами леса, если с их внешними доменами установлены доверительные отношения. В зависимости от функционального уровня домена, локальные группы домена могут содержать следующие элементы:
● Учетные записи пользователей.
● Глобальные группы.
● Универсальные группы (в основном режиме Active Directory).
● Локальные группы других доменов (в основном режиме Active Directory).
Глобальные группы
Подобно глобальным группам в Windows NT, глобальные группы Active Directory могут содержать объекты следующих типов:
● Учетные записи пользователей.
● Другие глобальные группы из того же домена (в основном режиме Active Directory).
При создании групп в Active Directory по умолчанию предлагается задать глобальную область действия. Глобальная область действия удобна при сортировке пользователей в легко опознаваемые группирования, и ее можно использовать для назначения разрешений на доступ к ресурсам, находящимся в любом домене леса.
Рекомендации по использование локальных групп домена и глобальных групп
Рекомендуется использовать локальные группы домена для управления доступом к ресурсам, а глобальные группы - для группировки пользователей по типам. При такой схеме можно осуществлять добавление глобальных групп в качестве членов в локальные группы домена. Члены этих глобальных групп получат доступ к требуемым локальным ресурсам конкретного сервера, но эти разрешения не будут реплицированы на другие сервера, с аналогичными ресурсами, доступ к которым (для этих пользователей) не открыт.
Универсальные группы
Универсальные группы впервые появились с выходом Active Directory и были усовершенствованы в Windows Server 2003. Из всех групп универсальные группы имеют самую широкую область действия. Универсальные группы могут содержать объекты из любого доверенного домена и могут использоваться для назначения разрешений доступа к любому ресурсу в лесу Active Directory.
Системным администраторам необходимо проявлять максимальную осторожность при создании и редактировании универсальных групп, чтобы не оказывать негативного влияния на трафик репликации.
В Windows Server 2003 функциональность универсальных групп была улучшена. Теперь репликация членства в группе производится не для всей группы в целом, а для каждого члена отдельно (инкрементная репликация).
Хотя универсальные группы являются реальной альтернативой глобальным группам в среде Windows Server 2003, в ситуациях, когда нужно группировать объекты из разных доменов, все же рекомендуется использовать глобальную область действия группы.
Универсальные группы безопасности можно создавать только в основном режиме Windows 2003/2000.
В данной лабораторной работе и в последующих, рассмотрим задачи и некоторые вопросы администрирования Windows Server 2003 по обеспечению прав и разрешений пользователей сети:
1. Использование локальных групп домена, глобальных групп и универсальных групп;
2. Использование NTFS и общих папок, интегрированных в Active Directory;
3. Применение групповых политик для администрирования прав и разрешений;
4. Управление правами и разрешениями определенных типов пользователей с помощью применения различных профилей пользователей.