- •Учетные записи пользователей и группы
- •Типы уз.
- •Локальные уз
- •Уз пользователя домена.
- •Права пользователя
- •Общие права пользователей:
- •Имена пользователей
- •Использование групп в Active Directory
- •Глобальная группа.
- •Локальная группа
- •Универсальная группа
- •Организационные единицы(оу)
- •Создание новых учетных записей. (для самостоятельного изучения)
- •Перемещаемые (блуждающие) профили
- •Создание перемещаемых профилей
- •Создание настроенных перемещаемых профилей
- •Использование обязательных профилей
- •Конфигурирование разделяемых ресурсов и полномочий
- •Отличия между полномочиями разделяемого доступа и полномочиями ntfs
- •Использование специальных разделяемых ресурсов
Универсальная группа
Универсальная группа безопасности может содержать членов любого домена, и ей могут быть присвоены полномочия доступа к ресурсам любого домена. Универсальная область действия может показаться идеальным решением для организации с несколькими доменами, но ее применение возможно только для доменов, работающих в собственном режиме. Универсальные группы могут содержать следующих членов:
другие универсальные группы
глобальные группы;
отдельные учетные записи.
Используйте универсальные группы для вложения глобальных групп, тогда вы сможете назначать разрешения на доступ к ресурсам в нескольких доменах. Область действия. Универсальная группа видима во всех доменах леса.
Разрешения. Универсальной группе можно назначить разрешения во всех доменах в лесе.
Рекомендация: универсальные группы следует использовать осторожностью из-за их негативного влияния на производительность сети.
Для эффективного использования групп необходимо выработать стратегию применения групп с разными областями действия. Область группы определяет границы применения группы в дереве или лесе. В Active Directory существуют три типа областей групп: универсальная, глобальная и локальная доменная.
Практические советы. Влияние групп на производительность сети
Важность планирования групп станет еще более очевидной, когда вы оцените нега тивное влияние, которое может оказывать на производительность сети организа ция ваших групп. Когда пользователь входит в сеть, контроллер домена определяет групповую принадлежность данного пользователя и присваивает ему маркер безопасности. Этот маркер содержит, помимо идентификатора учетной записи пользователя, идентификаторы безопасности (SID) всех групп, которым принадлежит дан- ный пользователь. И чем больше групп, которым он принадлежит, тем больше времени потребуется для создания маркера и входа пользователя в сеть.
Кроме того, созданный маркер безопасности передается каждому компьютеру, на который входит данный пользователь. Этот компьютер проверяет все идентификаторы безопасности на полномочия доступа ко всем разделяемым ресурсам данного компьютера. Большое число пользователей при большом количестве разделяемых ресурсов (включая отдельные папки) может потребовать использования значительной доли пропускной способности сети и длительного времени на обработку. Одно из решений этой проблемы — ограничение состава групп безопасности. Для пользователей, которым не требуются специальные полномочия и права, используйте группы распространения.
Группы с универсальной областью действия сами по себе оказывают влияние на производительность сети, поскольку все такие группы вместе со своими членами представлены в глобальном каталоге (Global Catalog). При любом изменении в составе группы с универсальной областью действия этот факт должен быть передан всем серверам глобального каталога в дереве доменов, что увеличивает трафик репликации в сети. Группы с глобальной или локальной в домене областью действия также представлены в глобальном каталоге (но не их отдельные члены), поэтому решение заключается в том, чтобы ограничить состав универсальных групп, сведя его преимущественно к глобальным группам.