Использование групп в Active Directory

Группы значительно упрощают администрирование. Active Directory поддерживает разные типы групп и позволяет определить область действия группы, т. е. задать ее использование в нескольких доменах.

Для эффективного использования групп необходимо выработать стратегию применения групп с разными областями действия. Область группы опреде­ляет границы применения группы в дереве или лесе. В Active Directory су­ществуют три типа областей групп: универсальная, глобальная и локальная доменная.

Применяя группы в Active Directory, вы сможете управлять доступом пользо­вателей к ресурсам домена, назначая разрешения группе, а не отдельным пользователям. В Active Directory имеются группы двух типов: безопасности и распространения. Они бывают локальными, глобальными или универсаль­ными и поддерживают три области действия. Доступный тип и область дей­ствия группы зависят от режима домена.

Пользователи могут быть членами нескольких групп. Группы безопасности применяются для назначения разрешений группам пользователей или ком­пьютеров. Группы распространения нельзя использованы в целях безопас­ности. У групп безопасности и групп распространения есть атрибут области действия. Область определяет, кто может быть членом группы и где в сети можно использовать эту группу.

Один из способов эффективного использования групп — вложение (nesting), т. е. добавление одной группы в другую. Вложенная группа наследует разре­шения родительской группы, что упрощает назначение разрешений для не­скольких групп одновременно и уменьшает трафик, возникающий при реп­ликации изменений членства в группах. Если домен работает в смешанном режиме, вложение одних групп в другие запрещено.

Глобальная группа.

Группа с глобальной областью действия глобальна в том смысле, что она позволяет предоставлять полномочия доступа к ресурсам, находящимся в любом домене. Но члены группы могут принадлежать только тому домену, в котором создана данная группа, и в этом смысле она не глобальна. Глобальные группы лучше всего исполь­зовать для требующих частого обслуживания объектов каталога, таких как учетные записи пользователей и компьютеров. Глобальные группы могут быть членами уни­версальных и локальных групп в любом домене, и их членами могут быть:

• другие глобальные группы в том же домене;

• отдельные учетные записи из того же домена.

• Область действия. Глобальная группа видима в пределах своего домена и всех доверенных доменов, т. е. во всех доменах леса.

• Разрешения. Глобальной группе можно назначать разрешения во всех до­менах в лесе.

Поскольку глобальные группы видны во всем лесе, их не следует специаль­но создавать для доступа к определенным ресурсам домена. Глобальные группы удобны для организации пользователей или групп пользователей. Для контроля доступа к ресурсам в домене лучше применять другие типы групп.

Локальная группа

Локальная в домене группа противоположна глобальной группе в том смысле, что ее члены могут принадлежать любому домену, но они могут иметь полномочия дос­тупа к ресурсам только того домена, в котором создана данная группа. Члены ло­кальной в домене группы имеют одинаковые требования доступа к определенным ресурсам в отдельном домене. Локальные в домене группы могут содержать одного или нескольких членов следующих типов:

• другие локальные в домене группы того же домена;

• глобальные группы из любого домена;

• универсальные группы из любого домена;

• отдельные учетные записи из любого домена.

Рекомендация: Используйте локальную группу домена для задания разрешений доступа к ресурсам в том же домене, где создана группа.

Далее перечислены правила членства в локальной группе домена.

• Область действия. Локальная группа домена видна только в своем домене.

• Разрешения. Локальной группе можно назначать разрешения только в том домене, где она существует.

Вы можете добавить все глобальные группы, которым необходим доступ к одним и тем же ресурсам, в соответствующую локальную группу домена.