Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3511 / 739 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 11:

Управление группами и организационными единицами

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >

Доменные группы

Доменные группы являются частью Active Directory и могут находиться в корневом домене леса, в любом домене леса или в организационной единице (OU). Компьютер Windows Server 2003, который является контроллером домена (DC), автоматически создает группы по умолчанию для домена. Вы администрируете доменные группы в оснастке Active Directory Users and Computers, которая вызывается из меню Administrative Tools данного DC.


Вы можете управлять доменными группами, добавляя членов в существующие группы или создавая новые группы с использованием тех же процедур, что и для локальных групп.

Важно помнить, что вы можете использовать доменные группы только для задания полномочий доступа к системным ресурсам. Вы не можете применять к группам групповые политики - они применяются к доменам, сайтам и к организационным единицам. Это одна из наиболее досадных вещей, касающихся групповых политик, поскольку этот подход лишен логики.

Описание областей действия групп

В Windows Server 2003 группы характеризуются областью действия (scope), которая описывает пределы применения группы в дереве доменов или в лесу. Существуют три области действия групп: глобальная (global), локальная в домене (domain local) и universal (универсальная).

Глобальные группы

Если вы переходите к Windows Server 2003 из Windows N T, то понятие глобальной группы не является для вас чем-то новым. Глобальные группы могут содержать пользовательские учетные записи из домена, а также другие глобальные группы из этого домена. Кроме того, вы можете поместить глобальную группу в локальную группу для рядового сервера того же домена или любого доверяемого домена.

Это означает, что вы можете использовать глобальную группу как средство для "перемещающейся армии администраторов". Включите в глобальную группу нужных членов и затем поместите эту группу в локальную группу на компьютере данного домена или доверяемого домена, чтобы члены этой группы могли администрировать рядовые серверы (или, аналогичным образом, рабочие станции).

Локальные в домене группы

Локальные в домене группы были введены в Windows 2000. В них можно включать пользовательские учетные записи, а также другие локальные в домене группы из того же домена. Вы можете использовать эти группы для назначения полномочий внутри домена.

Поскольку эта область действия основывается полностью на одном домене, она является менее гибкой, чем у глобальных групп. На самом деле, я не уверен, что их вообще стоит использовать.

Универсальные группы

С помощью универсальной группы вы можете делать почти все, что хотите.

  • Включать в нее глобальные группы из любого домена леса.
  • Включать ее в любую локальную (компьютерную) группу.
  • Включать в нее другие универсальные группы.

Это означает, что после включения нужных членов в ваши универсальные группы вы можете управлять всеми частями своего предприятия, давая универсальным группам права на выполнение задач и представляя членам этих групп соответствующие полномочия доступа к ресурсам.

Осознав настоящие возможности универсальных групп, вы можете решить, что использование универсальных групп - это наиболее эффективный способ управления вашим предприятием и что нет смысла использовать другие типы групп. Но будьте осторожны, поскольку здесь имеются два важных фактора.

Во-первых, у вас не может быть универсальных групп, пока ваше предприятие работает в смешанном режиме. Смешанный режим означает, что на вашем предприятии еще остались контроллеры домена Windows NT, а в Windows NT нет средств для работы с этой областью действия. Я считаю, что наиболее веским доводом в пользу модернизации ваших DC Windows NT является необходимость использования универсальных групп. Имеется два режима, уровень которых выше смешанного режима.

  • Собственный режим (Native mode).DC вашего предприятия работают под управлением Windows 2000 и/или Windows Server 2003.
  • Windows Server 2003.DC вашего предприятия работают под управлением только Windows Server 2003.

Во-вторых, способ, посредством которого универсальные группы реплицируются на контроллеры домена вашего предприятия, может создавать определенные проблемы. Если вы реплицируете универсальную группу на контроллеры домена, которые содержат глобальный каталог (обычно один в каждом сайте), то реплицируются как имена групп, так и имена всех членов каждой группы. Если у вас имеются вложенные универсальные группы, то репликация может занимать очень много времени (если репликация происходит через медленные соединения). Поэтому используйте универсальные группы разумным образом, чтобы получать наилучшие результаты.

В отличие от универсальных групп репликация глобальных групп включает в себя только имя группы, и она ограничена только собственным доменом этой группы. Локальные в домене группы не реплицируются вообще (по моему мнению, это еще одна причина, по которой стоит воздерживаться от их использования).

Изменение областей действия

Если вы создаете группу, то это по умолчанию глобальная группа. Если ваше предприятие работает не в смешанном режиме, то вы можете изменить область действия создаваемой группы следующим образом.

  • Глобальная в универсальную.Глобальную группу нельзя вложить в другую глобальную группу; она должна существовать как группа верхнего уровня.
  • Локальная в домене в универсальную.Локальная в домене группа может иметь в качестве своих членов только пользователей, но не другие локальные в домене группы.
  • Универсальные в глобальные.Универсальная группа не может иметь в качестве своего члена другую универсальную группу.
  • Универсальные в локальные в домене.Для этого изменения нет никаких ограничений.

Доменные группы по умолчанию

Если вы устанавливаете Active Directory на компьютере Windows Server 2003 (создаете DC), то система автоматически устанавливает ряд групп. Используйте оснастку Active Directory Users and Computers для просмотра и управления доменными группами.

Некоторые группы находятся в контейнере Builtin (он содержит только группы) и некоторые группы - в контейнере Users (он содержит как пользовательские, так и групповые учетные записи).

Группы, находящиеся в контейнере Builtin

В этом разделе дается краткий обзор групп, находящихся в контейнере Builtin. Ваш собственный домен может содержать и другие группы в зависимости от конфигурации домена или контроллера домена.

Account Operators (Операторы учетных записей).Члены этой группы могут создавать, удалять и управлять учетными записями для пользователей, групп и компьютеров, находящихся в контейнере Users, в контейнере Computers и в организационных единицах (OU), но не во встроенной OU Domain Controllers. Однако члены этой группы не могут вносить изменения в группы Administrators и Domain Admins, а также не могут изменять учетные записи любых членов этих групп. Члены этой группы могут выполнять локальный вход на все DC данного домена, а также могут завершать работу этих DC.

Administrators (Администраторы).Члены этой группы имеют полный доступ (full control) ко всем DC в домене. По умолчанию учетная запись Administrator, группа Enterprise Admins (Администраторы предприятия) и группа Domain Admins являются членами этой группы.

Backup Operators (Операторы резервного копирования).Члены этой группы могут выполнять резервное копирование и восстановление файлов на всех DC домена - независимо от их полномочий доступа к этим файлам. Члены этой группы могут выполнять вход на все DC и завершать их работу.

Guests (Гости).Члены этой группы не имеют никаких прав по умолчанию. Учетная запись Guest (она отключена по умолчанию) и группа Domain Guests (в контейнере Users) являются членами этой группы.

Incoming Forest Trust Builders (Создатели входящих доверительных отношений леса).

Эта группа появляется только в корневом домене леса. Члены этой группы могут создавать односторонние входящие доверительные отношения леса с корневым доменом леса.

Network Configuration Operators (Операторы сетевой конфигурации).Члены этой группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать IP-адреса на контроллерах домена.

Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на контроллерах домена интерактивно или удаленным образом.

Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на контроллерах домена интерактивно или удаленным образом.

Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами до Windows 2000).Члены этой группы могут выполнять доступ ко всем пользователям и группам данного домена. Она используется, чтобы обеспечивать обратную совместимость для компьютеров, работающих под управлением Windows NT версии 4 и более ранних версий. По умолчанию членом этой группы является специальная группа (special identity) Everyone. (Более подробную информацию по специальным группам см. ниже в разделе "Специальные группы".) Добавляйте в эту группу пользователей, только если они работают с Windows NT версии 4 или более ранних версий.

Print Operators (Операторы печати).Члены этой группы могут управлять доменными принтерами.

Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается удаленный вход на контроллеры данного домена с помощью клиентского ПО Remote Desktop. О возможностях Remote Desktop см. в лекции 3 курса "Администрирование Microsoft Windows Server 2003"

Replicator (Репликатор).Эта группа используется службой репликации File Replication на контроллерах домена. Не включайте пользователей в эту группу.

Server Operators (Операторы сервера).Члены этой группы имеют следующие возможности на контроллерах домена:

  • создание и удаление разделяемых ресурсов;
  • запуск и прекращение работы некоторых служб;
  • резервное копирование и восстановление файлов;
  • форматирование дисков;
  • завершение работы компьютера.

Добавляйте в нее только тех пользователей, которые понимают, что они делают.

Users (Пользователи).Члены этой группы могут выполнять большинство типичных задач (запускать приложения, использовать локальные и сетевые принтеры). По умолчанию группы Domain Users и Authenticated Users являются членами этой группы (а это означает, что любая пользовательская учетная запись, которую вы создаете в домене, автоматически становится членом группы Users).

Группы в контейнере Users

Группы, которые описываются в этом разделе, находятся в контейнере Users оснастки Active Directory Users and Computers. В дополнение к этим группам у вас могут быть и другие группы в вашем контейнере Users. Например, если ваш DC является сервером DNS, то у вас будет несколько групп, сконфигурированных для управления DNS.

Cert Publishers (Издатели сертификатов).Члены этой группы могут публиковать сертификаты для пользователей и компьютеров.

Domain Admins (Администраторы доменов).Члены этой группы имеют полный доступ (full control) к домену. По умолчанию эта группа является членом группы Administrators на всех контроллерах домена, на всех рабочих станциях и на всех рядовых серверах в этом домене. Учетная запись Administrator автоматически является членом этой группы, и вам не следует добавлять неопытных и некомпетентных пользователей.

Domain Computers (Компьютеры домена).Эта группа содержит все рабочие станции и рядовые серверы домена.

Domain Controllers (Контроллеры домена).Эта группа содержит все контроллеры данного домена.

Domain Guests (Гости домена).Эта группа содержит всех гостей домена.

Domain Users (Пользователи домена).Эта группа содержит всех пользователей домена, а это означает, что любая пользовательская учетная запись, созданная в домене, являются членом этой группы.

Enterprise Admins (Администраторы предприятия).Эта группа представлена только в корневом домене леса. Члены группы имеют полный доступ ко всем доменам леса, и эта группа является членом группы Administrators на всех контроллерах домена в данном лесу. По умолчанию учетная запись Administrator является членом этой группы, и вам не следует добавлять пользователей, не имеющих опыта и компетенции в вопросах управления сетью предприятия.

Group Policy Creator Owners (Владельцы-создатели групповых политик).Члены этой группы могут изменять групповые политики в домене. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые понимают возможности и последствия применения групповых политик.

Schema Admins (Администраторы схемы).Эта группа представлена только в корневом домене леса. Члены группы могут вносить изменения в схему Active Directory в пределах леса. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые знают структуру Active Directory. Описание схемы см. в "Описание Active Directory" .

Специальные группы

В вашем домене имеются также группы, с которыми вы не можете работать. Вы не можете видеть или изменять членство в этих группах и не можете видеть такую группу в оснастке Active Directory Users and Computers; эти группы не имеют области действия. Вы можете видеть эти группы, только когда задаете полномочия по сетевым ресурсам.

Эти группы называются специальными группами (special identities),и Windows использует их для представления различных пользователей в различных случаях в зависимости от обстоятельств. Членство в этих группах является временным и недолгим. Например, группа Everyone представляет всех текущих пользователей, выполнивших вход в сеть, включая гостей и пользователей из других доменов.

Имеются следующие специальные группы.

  • Anonymous Logon (Анонимный вход).Пользователи и службы, которые выполняют доступ к какому-либо компьютеру и его ресурсам через сеть, не используя имени учетной записи, пароля или доменного имени. На компьютерах, работающих под управлением Windows NT или более ранних версий, группа Anonymous Logon является по умолчанию членом группы Everyone. Но в Windows Server 2003 (и Windows 2000) группа Anonymous Logon не является членом группы Everyone.
  • Everyone (Все).Все текущие сетевые пользователи, включая гостей и пользователей из других доменов. Любой пользователь, выполняющий вход в сеть, автоматически является членом группы Everyone.
  • Network (Сеть).Текущие пользователи, выполняющие доступ к заданному ресурсу через сеть (а не локально на компьютере, содержащем этот ресурс). Любой пользователь, выполняющий доступ к какому-либо ресурсу через сеть, автоматически является членом группы Network.
  • Interactive (Интерактивный).Любой пользователь, выполнивший вход на определенном компьютере и выполняющий доступ к заданному ресурсу на этом компьютере (в отличие от группы Network). Любой локально работающий пользователь, который выполняет доступ к какому-либо ресурсу на этом компьютере, автоматически является членом группы Interactive.
< Лекция 10 || Лекция 11: 1234 || Лекция 12 >