- •13 Пара. Ad. Управление пользователями и группами
- •Локальные учетные записи
- •Управление доменными учетными записями пользователей
- •Управление группами
- •Область действия групп
- •Изменение области действия группы
- •Встроенные и динамически формируемые группы.
- •Групповые политики
- •Создание групповых политик
- •Применение групповых политик
- •Порядок применения объектов групповой политики
- •Приоритетность, наследование и разрешение конфликтов
- •Сценарии подключения и отключения
- •Делегирование прав на администрирование групповых политик
- •Управление пользовательскими документами и кэшированием на стороне клиента
- •Управление приложениями
- •Планирование пространства имен ad
- •Один домен, одна зона dns
- •"Расщепление" пространства имен dns
- •Поддомен в пространстве имен dns для поддержки Active Directory (рис. 6.6).
- •Два различных домена dns для внешних ресурсов и для Active Directory (рис. 6.7.).
- •Причины создания Kerberos
Управление группами
Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.
Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.
Рассмотрим подробнее, какие группы могут создаваться в Active Directory.
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).
Типы групп:
Группы безопасности - каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
Группы распространения - группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение - организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Область действия групп
Локальные в домене могут содержать - глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются - при назначении прав доступа только к ресурсам "своего" домена;
Глобальные могут содержать - только глобальные учетные записи пользователей "своего" домена, используются - при назначении прав доступа к ресурсам любого домена в лесу;
Универсальные могут содержать - другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются - при назначении прав доступа к ресурсам любого домена в лесу.
(слайд №3)
Область действия группы |
Группа может включать в качестве членов… |
Группе могут быть назначены разрешения в… |
Область действия группы можно преобразовать в… |
Универсальная |
|
Любой домен или лес |
|
Глобальная |
|
Разрешения члена могут быть назначены в любом домене |
Универсальная (так как она не является членом никакой другой глобальной группы) |
Локальная доменная |
|
Разрешения члена могут быть назначены только в домене, которому принадлежит родительская локальная группа домена |
Универсальная (так как нет других локальных групп домена в качестве членов) |
Пример настройки объекта в группе: (слайд №4)