Группы пользователей
Группа пользователей (группа безопасности, Security Group) – это объединение учетных записей пользователей, которому можно назначать права1. С использованием групп распределение прав осуществляется следующим образом. Сначала выбираются такие пользователи, список прав которых должен быть одинаковым. Затем создается группа, членами которой являются выбранные пользователи. Требуемые права назначаются уже не отдельным пользователям, а группе, и эти права автоматически распространяются на всех пользователей группы.
Следует отметить, что группы пользователей и организационные подразделения представляют собой разные механизмы, предназначенные для разных целей. Создание групп безопасности преследует цель распределения прав доступа к ресурсам пользователям сети, в то время как основное назначение организационных подразделений – управление пользователями (а также компьютерами) (см. рис. 8.3).
Рис. 8.3. Использование ОП и групп безопасности
Группы пользователей различаются по области действия. Выделяют три области действия:
доменную локальную (domain local scope);
глобальную (global scope);
универсальную (universal scope).
Доменные локальные группы действуют в рамках только своего домена. За его пределами указывать локальную доменную группу нельзя. Такие группы обычно применяются для управления доступом к файлам, общим папкам и принтерам.
Глобальные группы могут использоваться в рамках всего леса доменов. Однако глобальная группа принадлежит определенному домену, и в её состав могут входить только объекты этого домена. Применяются глобальные группы в том случае, если пользователям одного домена нужно получить доступ к ресурсам другого домена.
Универсальные группы привязаны к корневому домену леса, но в их состав могут входить пользователи любого домена. Чаще всего универсальные группы используются для объединения глобальных групп.
Групповые политики
В заключение лекции рассмотрим один из наиболее эффективных и удобных инструментов администрирования – групповые политики.
Групповые политики1 (group policy) – это способ автоматизации работы по настройке рабочих столов пользователей и параметров компьютеров. Групповые политики представляют собой наборы правил конфигурирования, применяемых к компьютеру или пользователю. Каждый такой набор правил называется объектом групповой политики (Group Policy Object, GPO).
Один или несколько объектов групповой политики могут применяться к трем видам объединений:
сайтам;
доменам;
организационным подразделениям.
Кроме того, для каждого компьютера может быть определен объект локальной групповой политики (Local Group Policy Object, LGPO).
Объекты групповых политик являются наследуемыми. Это означает, например, что GPO, применяемый к домену, наследуется всеми его организационными подразделениями. В том случае, если правила одного объекта групповой политики конфликтуют с правилами другого, наибольший приоритет имеет GPO организационного подразделения, ниже по уровню GPO домена, затем следует GPO сайта, наименьший приоритет у LGPO.
Приведем краткий обзор возможностей, предоставляемых групповыми политиками (рис. 8.4).
Рис. 8.4. Пример объекта групповой политики
Объект групповой политики содержит две основные части:
Конфигурация компьютера (Computer Configuration);
Конфигурация пользователя (User Configuration).
Каждая из частей включает три раздела:
Настройки приложений (Software Settings);
Настройки Windows (Windows Settings);
Административные шаблоны (Administrative Templates).
В разделе Настройки приложений находится подраздел Установка приложений (Software Installation), позволяющий автоматически устанавливать выбранные программы на компьютеры пользователей.
Правила, создаваемые в разделе Настройки Windows, позволяют:
выполнять задаваемые сценарии (Scripts) при включении-выключении компьютера, при входе пользователя в систему и выходе из неё;
настраивать параметры безопасности (Security Settings) компьютера и пользователя (требования к паролям, доступ к реестру, политику аудита событий);
конфигурировать Internet Explorer (Internet Explorer Maintenance);
изменять места расположения папок пользователей (Folder Redirection).
Раздел Административные шаблоны предназначен для настройки рабочего стола пользователя, ограничения доступа к системным компонентам и компонентам приложений.
Таким образом, Windows Server 2003 предоставляет мощный набор инструментов администрирования, способствующий эффективному управлению сети любой организации.