Где могут создаваться группы Где могут создаваться группы

В Active Directory группы создаются в доменах. Для создания групп используется оснастка «Active Directory — пользователи и компьютеры». При наличии необходимых разрешений группы могут создаваться в корневом домене леса, в любом другом домене леса или в подразделении.

Помимо домена, в котором создана группа, она также характеризуется областью действия этого домена. Область действия группы определяет:

• домен, из которого могут добавляться члены;

• домен, в котором действительны права и разрешения, назначенные группе.

Дополнительные сведения об областях действия группы см. в разделе Область действия группы.

Выберите конкретный домен или подразделение, где создается группа, в зависимости от администрирования, необходимого для группы. Например, если каталог имеет несколько подразделений, каждое из которых имеет различных администраторов, то может понадобиться создать группы с глобальной областью действия внутри данных подразделений, чтобы администраторы могли управлять членством в группах для пользователей в соответствующих подразделениях. Если требуется управление доступом к группам за пределами подразделения, данные группы внутри подразделения могут быть вложены в группы с универсальной областью действия (или в другие группы с глобальной областью действия), которые могут использоваться в другом месте леса.

Если уровень функциональности домена установлен в основном режиме Windows 2000 или в более высоком, домен содержит иерархию подразделений и администрирование делегируется администраторам в каждом подразделении, то это может быть более эффективно для вложенных групп с глобальной областью действия. Например, если подразделение OU1 содержит подразделения OU2 и OU3, то группа с глобальной областью действия в OU1 может иметь в качестве своих членов группы с глобальной областью действия в OU2 и OU3. В OU1 администратор может добавлять или удалять членов группы из OU1, а администраторам из OU2 и OU3, чтобы добавлять или удалять членов группы для учетных записей из своих собственных подразделений, не нужны административные права для группы с глобальной областью действия в OU1.

Примечание

• Группы можно перемещать в пределах домена. Однако из одного домена в другой могут быть перемещены только группы с универсальной областью действия. Права и разрешения, назначенные группе с универсальной областью действия, теряются при перемещении группы в другой домен и новые права и разрешения должны быть назначены заново.

Сведения о средствах, используемых для перемещения групп между доменами, см. в пакете Использование пакетов Windows Deployment Kit и Windows Resource Kit.

Общее представление об отношениях доверия

Назначение: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Общее представление об отношениях доверия

В этом разделе

• Доверия

• Типы доверия

• Направление отношения доверия

• Транзитивность доверия

• Когда следует создавать внешнее доверие

• Когда необходимо создавать сокращенное доверие

• Когда необходимо создавать отношение доверия со сферой

• Когда необходимо создавать доверие лесов

• Доверия лесов

• Доступ к ресурсам через домены

• Доступ к ресурсам через леса

• Маршрутизация суффиксов имен между лесами

Доверия

Доверия

Отношением доверия называется отношение, установленное между доменами, позволяющее пользователям одного домена проходить проверку подлинности с помощью контроллера домена, принадлежащего другому домену. Отношения доверия в системе Windows NT отличаются от отношений в операционных системах Windows 2000 и Windows Server 2003.

Отношения доверия в системе Windows NT

В системах Windows NT 4.0 и более ранних версий доверие устанавливается только между двумя доменами и отношения доверия являются односторонними и нетранзитивными. На следующем рисунке прямой стрелкой, ведущей к доверенному домену, изображено нетранзитивное одностороннее отношение доверия.

Отношения доверия в операционных системах Windows Server 2003 и Windows 2000 Server

Все отношения доверия в составе леса Windows 2000 и Windows Server 2003 являются двусторонними и транзитивными. Поэтому доверенными являются оба домена, связанные отношением доверия. Как показано на следующем рисунке, это означает, что если домен A доверяет домену B и домен B доверяет домену C, то пользователи из домена C (при наличии соответствующих разрешений) имеют доступ к ресурсам в домене A. Управлять доверительными отношениями могут только члены группы «Администраторы домена».