Skupina je tvořena několika uživatelskými účty a účty počítačů, kontakty a dalšími skupinami, které lze spravovat jako jednu jednotku. Uživatelé a počítače náležející do určité skupiny se nazývají členové skupiny.

Skupiny ve službě AD DS (Active Directory Domain Services) jsou objekty adresáře, které jsou umístěny v doméně a v objektech kontejnerů organizační jednotky. Služba AD DS obsahuje po instalaci sadu výchozích skupin. Skupiny je také možné vytvořit.

Skupiny ve službě AD DS lze použít následujícím způsobem:

  • Zjednodušení správy lze dosáhnout přiřazením oprávnění ke sdílenému prostředku skupině, spíše než jednotlivým uživatelům. Pokud přiřadíte oprávnění skupině, je stejná úroveň přístupu k prostředku přiřazena všem členům v této skupině.

  • Správu je možné delegovat přiřazením uživatelských oprávnění skupině pouze jednou, pomocí zásad skupiny. Do skupiny potom můžete přidat členy, kteří mají mít stejná práva jako skupina.

  • Skupiny umožňují vytvářet e-mailové distribuční seznamy.

Skupiny jsou charakterizovány rozsahem a typem. Rozsah skupiny určuje, do jaké míry je skupina v doméně nebo doménové struktuře použita. Typ skupiny určuje, zda je možné skupinu použít k přiřazení oprávnění ze sdíleného prostředku (pro skupiny zabezpečení) nebo pouze pro e-mailové distribuční seznamy (pro distribuční skupiny).

Existují také skupiny, u kterých nelze upravit nebo zobrazit členství. Tyto skupiny se označují jako zvláštní identity. V závislosti na okolnostech představují v různých okamžicích různé uživatele. Například skupina Everyone je zvláštní identita, která představuje všechny aktuální uživatele sítě, včetně uživatelů Guest a uživatelů z jiných domén.

Následující část obsahuje další informace o skupinových účtech ve službě AD DS.

Výchozí skupiny

Výchozí skupiny, například skupina Domain Admins, jsou skupiny zabezpečení, které jsou vytvořeny automaticky při vytvoření domény služby Active Directory. Tyto předdefinované skupiny usnadňují řízení přístupu ke sdíleným prostředkům a delegování specifických rolí správy v rámci domény.

K většině výchozích skupin je automaticky přiřazena sada uživatelských práv, která opravňují členy skupiny k provádění určitých akcí v doméně, například přihlášení k místnímu systému nebo zálohování souborů a složek. Například člen skupiny Backup Operators má oprávnění provádět operace zálohování pro všechny řadiče domény v doméně.

Pokud přidáte uživatele ke skupině, budou mu udělena následující práva a oprávnění:

  • Všechna uživatelská práva, která jsou přiřazena ke skupině.

  • Všechna oprávnění, která jsou přiřazena ke skupině pro veškeré sdílené prostředky

Výchozí skupiny jsou umístěny v kontejnerech Builtin a Users. Výchozí skupiny v kontejneru Builtin mají rozsah skupiny Builtin Local. Rozsah a typ této skupiny nelze změnit. Kontejner Users obsahuje skupiny, které jsou definovány s globálním rozsahem, a skupiny, které jsou definovány s místním rozsahem v doméně. Skupiny umístěné v těchto kontejnerech je možné přesunout do jiných skupin nebo organizačních jednotek v doméně, ale nelze je přesunout do jiných domén.

Další informace o výchozích skupinách naleznete v článku Výchozí skupiny (https://go.microsoft.com/fwlink/?LinkId=131422 (stránka může být v angličtině)).

Rozsah skupiny

Skupiny jsou charakterizovány rozsahem, který určuje míru, do jaké je skupina použita v doméně nebo v doménové struktuře. Existují tři typy rozsahu skupin: místní doménová, globální a univerzální.

Místní doménové skupiny

Členy místních doménových skupin mohou být jiné skupiny a účty z domén se systémem Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 a Windows Server 2008 R2. Členům těchto skupin je možné přiřadit oprávnění pouze v rámci domény.

Skupiny s místním rozsahem usnadňují definování a správu přístupu k prostředkům v jedné doméně. Tyto skupiny mohou obsahovat následující členy:

  • Účty z libovolné domény

  • Globální skupiny z libovolné domény

  • Univerzální skupiny z libovolné domény

  • Místní doménové skupiny, ale pouze ze stejné domény, jako je nadřízená místní doménová skupina

  • Libovolnou kombinaci výše uvedených možností

Pokud chcete například udělit pěti uživatelům přístup k určité tiskárně, můžete přidat všech pět uživatelských účtů do seznamu oprávnění pro tiskárnu. Jestliže však chcete později udělit stejným pěti uživatelům přístup k nové tiskárně, je nutné všech pět účtů znovu zadat do seznamu oprávnění pro novou tiskárnu.

Tento běžný úkol správy můžete zjednodušit tak, že vytvoříte skupinu s rozsahem místní domény a přiřadíte jí oprávnění k přístupu k tiskárně. Daných pět uživatelských účtů vložíte do skupiny s globálním rozsahem a tuto skupinu přidáte do skupiny s rozsahem místní domény. Pokud budete chtít, aby těchto pět uživatelů mělo přístup k nové tiskárně, přiřadíte skupině s rozsahem místní domény oprávnění k přístupu k nové tiskárně. Všichni členové ve skupině s globálním rozsahem získají automaticky přístup k nové tiskárně.

Globální skupiny

Mezi členy globálních skupin mohou patřit účty ze stejné domény jako je nadřízená globální skupina a globální skupiny ze stejné domény, jako je nadřízená globální skupina. Členům těchto skupin je možné přiřadit oprávnění v libovolné doméně v doménové struktuře.

Skupiny s globálním rozsahem se používají ke správě objektů adresáře, které vyžadují každodenní údržbu, například uživatelské účty a účty počítačů. Vzhledem k tomu, že skupiny s globálním rozsahem nejsou replikovány mimo vlastní doménu, můžete účty ve skupině s globálním rozsahem často měnit, aniž byste zvyšovali replikační komunikaci v globálním katalogu.

Ačkoli práva a oprávnění jsou platná pouze v rámci domény, ke které jsou přiřazena, je při jednotném použití skupin s globálním rozsahem v příslušných doménách možné konsolidovat odkazy na účty s podobným účelem. Tím je zjednodušena a zefektivněna správa skupin v doménách. Pokud je například v síti se dvěma doménami (Evropa a USA) skupina s globálním rozsahem nazvaná ÚčtováníHK v doméně USA, měla by v doméně Evropa být také skupina s názvem ÚčtováníHK (za předpokladu, že funkce účtování v doméně Evropa existuje).

Důležité informace

Důrazně doporučujeme používat globální nebo univerzální skupiny místo místních doménových skupin v případě, že v doméně zadáváte oprávnění k objektům adresáře, které jsou replikovány do globálního katalogu.

Univerzální skupiny

Univerzální skupiny mohou obsahovat následující členy:

  • Účty z libovolné domény v doménové struktuře, ve které je umístěna univerzální skupina

  • Globální skupiny z libovolné domény v doménové struktuře, ve které je umístěna univerzální skupina

  • Univerzální skupiny z libovolné domény v doménové struktuře, ve které je umístěna univerzální skupina

Členům těchto skupin je možné přiřadit oprávnění v libovolné doméně nebo v doménové struktuře. Skupiny s univerzálním rozsahem se používají ke konsolidaci skupin přesahujících domény. Této konsolidace dosáhnete tak, že přidáte účty do skupin s globálním rozsahem a tyto skupiny vložíte do skupin s univerzálním rozsahem. Jestliže použijete tuto strategii, nebudou mít změny členství ve skupinách s globálním rozsahem žádný vliv na skupiny s univerzálním rozsahem.

Například v síti se dvěma doménami Evropa a USA a skupinou s globálním rozsahem nazvanou ÚčtováníHK v obou doménách můžete vytvořit skupinu s univerzálním rozsahem nazvanou UnivÚčtování, která obsahuje jako členy tyto dvě skupiny ÚčtováníHK, tedy USA\ÚčtováníHK a Evropa\ÚčtováníHK. Skupinu UnivÚčtování je potom možné použít kdekoli v podniku. Případné změny členství v jednotlivých skupinách ÚčtováníHK nezpůsobí replikaci skupiny UnivÚčtování.

Neprovádějte časté změny členství skupiny s univerzálním rozsahem. Při změně členství tohoto typu skupiny dojde k replikaci celého členství skupiny do všech globálních katalogů v doménové struktuře.

Typy skupin

Ve službě AD DS existují dva typy skupin: distribuční skupiny a skupiny zabezpečení. Distribuční skupiny lze použít k vytvoření distribučních seznamů pro e-maily. Skupiny zabezpečení slouží k přiřazení oprávnění ke sdíleným prostředkům.

Distribuční skupiny je možné použít pouze s e-mailovými aplikacemi (například Microsoft Exchange Server 2007) k odeslání e-mailu skupině uživatelů. U distribučních skupin není povoleno zabezpečení, což znamená, že je nelze uvést ve volitelných seznamech řízení přístupu (DACL). Pokud potřebujete skupinu pro řízení přístupu ke sdílených prostředkům, vytvořte skupinu zabezpečení.

V případě uvážlivého použití představují skupiny zabezpečení efektivní způsob přiřazení přístupu k prostředkům v síti. Skupiny zabezpečení můžete použít následujícím způsobem:

  • Přiřazení uživatelských práv ke skupině zabezpečení služby Active Directory Domain Services (AD DS).

    Uživatelská práva jsou přiřazena ke skupině zabezpečení za účelem stanovení akcí, které členové této skupiny mohou v rámci rozsahu domény (nebo doménové struktury) provádět. Uživatelská práva jsou automaticky přiřazena k některým skupinám zabezpečení v době instalace služby AD DS, což správcům usnadňuje definovat roli pro správu uživatele v doméně. Například uživatel, který je přidán do skupiny Backup Operators ve službě AD DS může vytvářet zálohy souborů a adresářů a obnovovat soubory a adresáře ve všech řadičích domény v doméně.

  • Přiřazení oprávnění k prostředkům skupinám zabezpečení.

    Oprávnění se liší od uživatelských práv. Oprávnění určují, kdo může získat přístup ke sdílenému prostředku. Určují také úroveň přístupu, například Úplné řízení. Ke správě přístupu a oprávnění ke sdílenému prostředku je možné použít skupiny zabezpečení. Některá oprávnění nastavená pro objekty domény jsou automaticky přiřazena a povolují různé úrovně přístupu pro výchozí skupiny zabezpečení, například skupina Account Operators nebo Domain Admins.

Skupiny zabezpečení je možné použít podobně jako distribuční skupiny pro e-mailové entity. Při odeslání e-mailové zprávy skupině zabezpečení je zpráva odeslána všem členům skupiny.

Zvláštní identity

Servery se systémem Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 obsahují kromě skupin v kontejneru Users a Builtin několik zvláštních identit. Tyto identity jsou pro zjednodušení obecně označovány jako skupiny. Tyto speciální skupiny nemají specifická členství, která je možné upravovat. V závislosti na okolnostech však představují různé uživatele v různých okamžicích. Zvláštní identity tvoří následující skupiny:

  • Anonymous Logon

    Tato skupina představuje uživatele a služby, kteří získávají přístup k počítači a jeho prostředkům pomocí sítě bez použití názvu účtu, hesla nebo názvu domény. V počítačích se systémem Windows NT a nižších verzí je skupina Anonymous Logon výchozím členem skupiny Everyone. V počítačích se systémem Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 není skupina Anonymous Logon ve výchozím nastavení členem skupiny Everyone.

  • Everyone

    Tato skupina představuje všechny aktuální uživatele sítě, včetně uživatelů Guest a uživatelů z jiných domén. Při každém přihlášení uživatele do sítě je uživatel automaticky přidán do skupiny Everyone.

  • Network

    Tato skupina představuje uživatele, kteří aktuálně přistupují k danému prostředku prostřednictvím sítě, nikoli pomocí místního přihlášení k počítači, kde je prostředek umístěn. Vždy, když uživatel získá přístup k dané prostředku prostřednictvím sítě, je tento uživatel automaticky přidán do skupiny Network.

  • Interactive

    Tato skupina představuje všechny uživatele, kteří jsou aktuálně přihlášení k určitému počítači a přistupují k danému prostředku umístěnému v tomto počítači. Nezískávají tedy přístup k prostředku pomocí sítě. Vždy, když uživatel získá přístup k danému prostředku v počítači, ke kterému je aktuálně přihlášen, je tento uživatel automaticky přidán do skupiny Interactive.

Ačkoli je možné přiřadit zvláštním identitám práva a oprávnění k prostředkům, nelze členství zvláštních identit měnit nebo prohlížet. Pro zvláštní identity nelze použít rozsah skupin. Uživatelé jsou do těchto zvláštních identit přiřazováni automaticky při přihlášení nebo získání přístupu k určitému prostředku.

Kde lze vytvořit skupiny?

Ve službě AD DS se skupiny vytvářejí v doménách. K vytváření skupin lze použít Centrum správy služby Active Directory. Pomocí odpovídajících oprávnění můžete vytvořit skupiny v kořenové doméně doménové struktury, v libovolné jiné doméně v doménové struktuře nebo v organizační jednotce.

Skupina je kromě domény, ve které je vytvořena, charakterizována také svým rozsahem. Rozsah skupiny určuje následující skutečnosti:

  • Doménu, ze které je možné přidávat členy.

  • Doménu, ve které jsou platná práva a oprávnění přiřazená ke skupině.

Vyberte určitou doménu nebo organizační jednotku, kde vytvoříte skupinu na základě úkolů správy, které jsou pro skupinu požadovány. Pokud například adresář obsahuje více organizačních jednotek, z nichž každá má jiného správce, můžete v rámci těchto organizačních jednotek vytvořit skupiny s globálním rozsahem, takže správci mohou spravovat členství ve skupině pro uživatele v odpovídajících organizačních jednotkách. Jestliže jsou skupiny požadovány pro řízení přístupu mimo organizační jednotku, můžete skupiny v organizační jednotce vložit do skupin s univerzálním rozsahem (nebo do jiných skupin s globálním rozsahem), které lze použít na jiném místě v doménové struktuře.

Pokud je úroveň funkčnosti domény nastavena na nativní režim systému Windows 2000 nebo vyšší, doména obsahuje hierarchii organizačních jednotek a správa je delegována správcům v každé organizační jednotce, je efektivnější vložit skupiny s globálním rozsahem. Například pokud organizační jednotka 1 obsahuje organizační jednotku 2 a organizační jednotku 3, může skupina s globálním rozsahem v organizační jednotce 1 obsahovat členy skupiny s globálním rozsahem v organizační jednotce 2 a organizační jednotce 3. Správce v organizační jednotce 1 může přidat nebo odebrat členy skupiny z organizační jednotky 1 a správci organizační jednotky 2 a organizační jednotky 3 mohou přidat nebo odebrat členy skupiny pro účty ve svých vlastních organizačních jednotkách bez oprávnění správce pro skupinu s globálním rozsahem v organizační jednotce 1.

Poznámka

Skupiny lze v rámci domény přesouvat. Mezi doménami však lze přesouvat pouze skupiny s univerzálním rozsahem. Pokud je skupina přesunuta do jiné domény, jsou práva a oprávnění přiřazená ke skupině s univerzálním rozsahem ztracena. Potom je nutné vytvořit nové přiřazení.

Další informace


Obsah