Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Bilety.docx
Скачиваний:
12
Добавлен:
26.06.2024
Размер:
924.05 Кб
Скачать

Использование универсальных групп

Используйте их для предоставления доступа к ресурсам нескольких доменов. В отли­чие от локальных доменных, универсальным группам можно назначать разрешения на доступ к ресурсам любого домена Вашей сети. Например, если ответственным лицам требуется доступ ко всем принтерам сети, можно создать универсальную группу и на­значить ей разрешения на использование принтеров, подключенных к серверам печа­ти всех доменов.

Их рекомендуется использовать, только если их состав постоянен. При изменении со­става универсальной группы в дереве доменов может возникнуть ненужный трафик между контроллерами доменов, поскольку такие изменения реплицируются на многие контроллеры доменов.

Рекомендуется, объединив глобальные группы нескольких доменов в универсальную группу, присвоить ей разрешения на доступ к ресурсу. Таким образом, универсальную группу можно использовать аналогично локальным группам домена для назначения разрешений доступа к ресурсам. И все же, в отличие от локальной доменной, универ­сальной группе можно назначать разрешения доступа к ресурсам других доменов.

Внедрение групп

• Область действия следует определять в соответствии с тем, как будет использоваться группа. Так, глобальные группы рекомендуются для группировки учетных записей пользователей. Локальные доменные и универсальные группы удобны для назначения разрешений доступа к ресурсам. Глобальные группы следует включать в локальные доменные и универсальные группы.

• Добавлять/удалять пользователей из универсальных групп не рекомендуется, посколь­ку это может сильно увеличить трафик репликации.

• Перед созданием группы в домене убедитесь в наличии у Вас соответствующих прав. Администратор может предоставлять пользо­вателям разрешения на создание групп в доменах или в ОП.

• Имя группы должно быть интуитивным

Создание групп

Для создания групп служит оснастка Active Directory – пользователи и компьютеры. Их следует создавать в ОП Users или в ОП, созданных специально для групп.

Чтобы создать группу, запустите оснастку Active Directory – пользователи и компьютеры. В меню Действие (Action) выберите Создать (New), а затем — команду Группа (Group). Откроется Диалоговое окно Новый объект — Группа (New Object — Group) (рисунок 1), параметры которого таковы: Имя группы, область действия (лок., глоб., универс) и тип группы (распростр. или безопасности)

Администрирование групп

Оснастка Active Directory – пользователи и компоненты позволяет добавлять членов в группу, из­менять области действия и удалять группы.

Добавление членов в группу

В созданную группу можно добавлять учетные записи пользователей, контакты, другие группы и компьютеры. Компьютеры добавляются в группу для предоставления им доступа к разделяемым ресурсам других систем, например, для удаленного резервного ко­пирования.

Изменение области действия группы

В процессе развития сети может возникнуть потребность в изменении области действия группы. Например, чтобы предоставить пользователям доступ к ресурсам других доменов, Вам может понадобиться преобразовать имеющуюся локальную доменную группу в гло­бальную.

Изменять область действия группы можно лишь в доменах основного режи­ма.

Область действия группы можно следующим образом:

преобразовать глобальную группу в универсальную — возможно, лишь когда глобальная группа не является членом другой глобальной группы;

преобразовать локальную группу домена в универсальную группу — возможно, только если локальная группа домена не содержит подобных групп.

Удаление групп

Каждая группа обладает уникальным идентификатором безопасности, SID, повторно задействовать который невозможно. Следовательно, восстановить доступ к ресурсам, воссоздав группу, нельзя.

При удалении группы удаляется лишь сама группа и связанные с ней разрешения. Учетные записи пользователей — членов группы не затрагиваются. Удаляемую группу щелкните правой кнопкой и выберите в контекстном меню команду Удалить.

Внедрение локальных групп

Локальная группа может включать учетные записи компьютера, на котором она находится. Ее рекомендуется применять для назначения разрешений доступа к ресурсам, расположенным на том же компьютере, что и группа. Windows 2003 создает локальные группы в локальной БД системы защиты. Локальные группы бывают доменными и изолированными. При внедрение локальных групп необходимо учитывать следующее:

Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами данного домена. Локальной группе домена можно предоставить разрешения доступа к любому ресурсу на контроллерах домена.

Локальные группы можно использовать лишь на той машине, где были созданы. Это значит, что изолированные локальные группы не следует использовать на компьютерах домена. Такие группы не позволяют выполнять централизованное администрирование и не отображаются в хра­нилище Active Directory. Управление такими группами осуществляется отдельно на каж­дом компьютере.

Изолированным локальным группам можно присваивать лишь разрешения доступа к ресурсам того компьютера, на котором находится группа. Изолированные локальные группы могут включать локальные учетные записи пользо­вателей компьютера, на котором находится группа. Такие группы не могут состоять в дру­гих группах.

Соседние файлы в предмете Администрирование сетей ЭВМ