5. Администрирование учетных записей групп
Группа (group) — это набор учетных записей пользователей. Группы упрощают администрирование, позволяя назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи. Пользователи могут быть членами нескольких групп.
Назначая разрешения, пользователям предоставляется доступ к определенным ресурсам и определяются права доступа. Если, например, нескольким пользователям требуется считать один файл, можно добавить их учетные записи в группу. Затем дать группе разрешение на считывание файла. Права дают возможность выполнять системные задачи, например, изменять системное время, архивировать или восстанавливать файлы, а также локально регистрироваться в системе.
Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие группы. Добавляя компьютеры в группу, можно упростить предоставление доступа системной задаче одного компьютера к ресурсам другого.
Локальная группа может включать учетные записи компьютера, на котором она находиться. Ее рекомендуется применять для назначения разрешений доступа к ресурсам, расположенным на том же компьютере, что и группа. Windows XP создает локальные группы в локальной базе данных системы защиты. Локальные группы бывают доменными и изолированными.
Необходимо помнить следующее:
а) локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами данного домена. Локальной группе домена можно предоставить разрешения доступа к любому ресурсу на контроллерах домена; б) изолированные локальные группы создаются на изолированных и рядовых серверах, а также на компьютерах с Windows XP Professional. И все же локальные группы можно использовать лишь на той машине, где были созданы группы. Это значит, что изолированные локальные группы не следует использовать на компьютерах домена. Такие группы не позволяют выполнять централизованное администрирование и не отображаются в хранилище Active Directory. Управление такими группами осуществляется отдельно на каждом компьютере; в) изолированным локальным группам можно присваивать лишь разрешения доступа к ресурсам того компьютера, на котором находится группа. Изолированные локальные группы могут включать локальные учетные записи пользователей компьютера, на котором находится группа. Такие группы не могут состоять в других группах.
5.1 Создание локальных групп
Локальные группы позволяет создать оснастка Computer Management (Управление компьютером). Локальные группы создаются в папке Groups (Группы).
Чтобы создать локальную группу необходимо:
а) раскрыть в дереве консоли папку Local Users And Groups (Локальные пользователи и группы); б) щелкнуть подпапку Groups (Группы); в) в меню Action (Действие) выбрать команду New Group (Новая группа); г) в открывшемся диалоговом окне ввести имя и описание группы (рисунок 5.).
Параметры диалогового окна New Group (Новая группа):
а) Group Name (Имя группы) — уникальное имя локальной группы. Это единственный обязательный параметр. В имени можно использовать любые символы, кроме «\». Длина имени не может превышать 256 символов, однако в некоторых окнах слишком длинные имена отображаться не будут; б) Description (Описание) — описание группы; в) Add (Добавить) — добавить пользователя в список членов группы; г) Delete (Удалить) — удалить пользователя из списка членов группы; д) Create (Создать) — создать группу.
Рисунок
5. — Диалоговое окно Новая
группа