- •Учетные записи пользователей и группы
- •Типы уз.
- •Локальные уз
- •Уз пользователя домена.
- •Права пользователя
- •Общие права пользователей:
- •Имена пользователей
- •Использование групп в Active Directory
- •Глобальная группа.
- •Локальная группа
- •Универсальная группа
- •Организационные единицы(оу)
- •Создание новых учетных записей. (для самостоятельного изучения)
- •Перемещаемые (блуждающие) профили
- •Создание перемещаемых профилей
- •Создание настроенных перемещаемых профилей
- •Использование обязательных профилей
- •Конфигурирование разделяемых ресурсов и полномочий
- •Отличия между полномочиями разделяемого доступа и полномочиями ntfs
- •Использование специальных разделяемых ресурсов
Использование групп в Active Directory
Группы значительно упрощают администрирование. Active Directory поддерживает разные типы групп и позволяет определить область действия группы, т. е. задать ее использование в нескольких доменах.
Для эффективного использования групп необходимо выработать стратегию применения групп с разными областями действия. Область группы определяет границы применения группы в дереве или лесе. В Active Directory существуют три типа областей групп: универсальная, глобальная и локальная доменная.
Применяя группы в Active Directory, вы сможете управлять доступом пользователей к ресурсам домена, назначая разрешения группе, а не отдельным пользователям. В Active Directory имеются группы двух типов: безопасности и распространения. Они бывают локальными, глобальными или универсальными и поддерживают три области действия. Доступный тип и область действия группы зависят от режима домена.
Пользователи могут быть членами нескольких групп. Группы безопасности применяются для назначения разрешений группам пользователей или компьютеров. Группы распространения нельзя использованы в целях безопасности. У групп безопасности и групп распространения есть атрибут области действия. Область определяет, кто может быть членом группы и где в сети можно использовать эту группу.
Один из способов эффективного использования групп — вложение (nesting), т. е. добавление одной группы в другую. Вложенная группа наследует разрешения родительской группы, что упрощает назначение разрешений для нескольких групп одновременно и уменьшает трафик, возникающий при репликации изменений членства в группах. Если домен работает в смешанном режиме, вложение одних групп в другие запрещено.
Глобальная группа.
Группа с глобальной областью действия глобальна в том смысле, что она позволяет предоставлять полномочия доступа к ресурсам, находящимся в любом домене. Но члены группы могут принадлежать только тому домену, в котором создана данная группа, и в этом смысле она не глобальна. Глобальные группы лучше всего использовать для требующих частого обслуживания объектов каталога, таких как учетные записи пользователей и компьютеров. Глобальные группы могут быть членами универсальных и локальных групп в любом домене, и их членами могут быть:
другие глобальные группы в том же домене;
отдельные учетные записи из того же домена.
Область действия. Глобальная группа видима в пределах своего домена и всех доверенных доменов, т. е. во всех доменах леса.
Разрешения. Глобальной группе можно назначать разрешения во всех доменах в лесе.
Поскольку глобальные группы видны во всем лесе, их не следует специально создавать для доступа к определенным ресурсам домена. Глобальные группы удобны для организации пользователей или групп пользователей. Для контроля доступа к ресурсам в домене лучше применять другие типы групп.
Локальная группа
Локальная в домене группа противоположна глобальной группе в том смысле, что ее члены могут принадлежать любому домену, но они могут иметь полномочия доступа к ресурсам только того домена, в котором создана данная группа. Члены локальной в домене группы имеют одинаковые требования доступа к определенным ресурсам в отдельном домене. Локальные в домене группы могут содержать одного или нескольких членов следующих типов:
другие локальные в домене группы того же домена;
глобальные группы из любого домена;
универсальные группы из любого домена;
отдельные учетные записи из любого домена.
Рекомендация: Используйте локальную группу домена для задания разрешений доступа к ресурсам в том же домене, где создана группа.
Далее перечислены правила членства в локальной группе домена.
Область действия. Локальная группа домена видна только в своем домене.
Разрешения. Локальной группе можно назначать разрешения только в том домене, где она существует.
Вы можете добавить все глобальные группы, которым необходим доступ к одним и тем же ресурсам, в соответствующую локальную группу домена.