Опубликован: 19.02.2008 | Доступ: свободный | Студентов: 15497 / 3195 | Оценка: 4.24 / 3.93 | Длительность: 22:12:00
ISBN: 978-5-94774-858-1
Лекция 4:

Служба каталогов Active Directory

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

  • Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
  • Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп

  • Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
  • Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
  • Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

  1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
  2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.
  3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

Встроенные и динамически формируемые группы.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Перечислим наиболее часто используемые на практике встроенные и динамические группы.

Встроенные локальные группы (на рабочей станции или простом сервере).
Название группы Описание
Администраторы Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена.
Операторы резервного копирования Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
Администраторы DHCP (создается при установке службы DHCP Server) Члены этой группы могут администрировать службу DHCP Server.
Операторы сетевой конфигурации Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
Пользователи монитора производительности Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
Пользователи журнала производительности Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
Опытные пользователи Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группах Опытные пользователи, Пользователи и Гости.
Операторы печати Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
Пользователи удаленного рабочего стола Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
Пользователи Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группы Интерактивные и Прошедшие проверку.
Встроенные доменные локальные группы.
Название группы Описание
Администраторы Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
Операторы учетных записей Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группу Администраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
Операторы резервного копирования Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
Администраторы DNS (создается при установке службы DNS) Члены группы имеют административный доступ к серверам DNS.
Операторы сетевой конфигурации Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
Пользователи монитора производительности Члены группы могут следить за счетчиками производительности на контроллерах домена.
Пользователи журнала производительности Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
Операторы печати Члены группы могут управлять работой принтеров домена
Операторы сервера Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
Пользователи Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи домена является по умолчанию членом данной группы.
Встроенные глобальные группы.
Название группы Описание
Администраторы домена Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
Компьютеры домена Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
Контроллеры домена Все контроллеры домена являются членами этой группы.
Пользователи домена Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группу Пользователи.
Администраторы предприятия (создается только в корневом домене леса) Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
Администраторы схемы (создается только в корневом домене леса) Члены этой группы могут изменять схему Active Directory.
Динамические группы.
Название группы Описание
Интерактивные В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
Прошедшие проверку Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
Все Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.

Управление Организационными подразделениями, делегирование полномочий

Назначение Организационных подразделений ( ОП, Organizational Units, OU ) — организация иерархической структуры объектов AD внутри домена. Как правило, иерархия ОП в домене отражает организационную структуру компании.

На практике использование ОП (кроме иерархической организации объектов) сводится к двум задачам:

  • делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе пользователей;
  • применение групповых политик к объектам, входящим в ОП.

Делегирование административных полномочий на управление объектами ОП какому-либо пользователю или группе позволяет в больших организациях распределить нагрузку по администрированию учетными записями между различными сотрудниками, не увеличивая при этом количество пользователей, имеющих административные права на уровне всего домена.

Рассмотрим на примере процедуру предоставления какому-либо пользователю административных прав на управление ОП.

  1. Откроем консоль " Active Directory – пользователи и компьютеры ".
  2. Создадим в домене подразделение, скажем, с именем OU-1, переместим в это ОП несколько имеющихся в домене учетных записей (или создадим новые).
  3. Щелкнем правой кнопкой мыши на подразделении OU-1 и выберем пункт меню " Делегирование управления… ". Запустится " Мастер делегирования управления "
  4. Выберем пользователя (или группу), которому будем делегировать управление данным ОП. Пусть это будет пользователь User1 (рис. 6.45). Нажмем " Далее ".

    Рис. 6.45.
  5. Выберем набор административных задач, которые делегируются данному пользователю (рис. 6.46):

    Рис. 6.46.
  6. По завершении мастера — нажмем кнопку " Готово ".

Если теперь войти в систему на контроллере домена с учетной записью User1 (при условии, что у пользователя User1 есть права локального входа в систему на контроллере домена), запустить консоль " Active Directory – пользователи и компьютеры ", то пользователь User1 сможет выполнять любые операции с объектами организационного подразделения OU-1.

Кроме удобных консолей с графическим интерфейсом система Windows 2003 оснащена мощным набором утилит командной строки для управления объектами Active Directory:

  • dsadd — добавляет объекты в каталог;
  • dsget — отображает свойства объектов в каталоге;
  • dsmod — изменяет указанные атрибуты существующего объекта в каталоге;
  • dsquery — находит объекты в каталоге, удовлетворяющие указанным критериям поиска;
  • dsmove — перемещает объект из текущего местоположения в новое родительское место;
  • dsrm — удаляет объект или все поддерево ниже объекта в каталоге.

Примеры.

  1. Создание подразделения OU-New в домене world.ru:

    dsadd ou "ou=OU-New,dc=world,dc=ru"

  2. Создание пользователя User-New в подразделении OU-New в домене world.ru:

    dsadd user "cn=User-New,ou=OU-New,dc=world,dc=ru"

  3. Модификация параметра " Номер телефона " у пользователя User-New:

    dsmod user "cn=User-New,ou=OU-New,dc=world,dc=ru" –tel 123-45-67

  4. Получение списка пользователей домена, у которых имя начинается с символа "u":

    dsquery user -name u*

Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?