Группа - это коллекция учетных записей пользователей и компьютеров, контактов и других групп, которой можно управлять как единым целым. Пользователи и компьютеры, входящие в конкретную группу, называются членами группы.

Группы в доменных службах Active Directory (AD DS) - это объекты каталога, которые находятся в домене и в объектах контейнеров подразделений. При установке доменные службы Active Directory предоставляют набор групп по умолчанию. Они позволяют также создавать новые группы.

Группы в доменных службах Active Directory можно использовать в следующих целях.

  • Упрощение администрирования путем назначения разрешений на общий ресурс группе, а не отдельным пользователям. При назначении разрешений группе все ее члены получают этот же доступ к ресурсу.

  • Делегирование управления путем назначения прав пользователя группе с помощью групповой политики. В дальнейшем можно добавлять в группу новых членов, которым нужны права, предоставляемые этой группой.

  • Создание списков рассылки электронной почты.

Группы характеризуются областью действия и типом. Область действия группы определяет пределы применения группы внутри домена или леса. Тип группы определяет возможность использования группы для назначения разрешений общему ресурсу (для групп безопасности) или только для списков рассылки электронной почты (для групп рассылки).

Есть также группы, членство в которых нельзя изменять или просматривать. Эти группы называют специальными. Они в зависимости от обстоятельств представляют разных пользователей в различное время. Например, группа «Все» - это специальная группа, которая представляет всех текущих сетевых пользователей, включая гостей и пользователей из других доменов.

В следующих подразделах приведены дополнительные сведения об учетных записях групп в доменных службах Active Directory.

Группы по умолчанию

Группы по умолчанию, например группа «Администраторы домена», являются группами безопасности, которые автоматически создаются при создании домена Active Directory. Эти предопределенные группы можно использовать для управления доступом к общим ресурсам и делегирования конкретных административных ролей на уровне домена.

Многим группам по умолчанию автоматически назначается набор прав пользователя, который разрешает членам группы выполнять в домене определенные действия, например, входить в локальную систему или выполнять резервное копирование файлов и папок. Например, член группы «Операторы архива» имеет право выполнять операции резервного копирования для всех контроллеров в домене.

При добавлении в группу пользователь получает следующие права:

  • все права пользователя, которые назначены данной группе;

  • все разрешения, которые назначены данной группе на любых общих ресурсах.

Группы по умолчанию находятся в контейнерах «Встроенные» и «Пользователи». Для групп по умолчанию в контейнере «Встроенные» используется область действия «Встроенная локальная». Для этих групп область действия и тип изменить невозможно. В контейнере «Пользователи» содержатся группы, для которых определена глобальная область действия, и группы, для которых определена область действия в локальном домене. Находящиеся в этих контейнерах группы можно перемещать в другие группы или подразделения внутри домена, но не в другие домены.

Дополнительные сведения см. в статье «Группы по умолчанию» (https://go.microsoft.com/fwlink/?LinkId=131422 (страница может быть на английском языке)).

Область действия группы

Группы характеризуются областью действия, которая определяет пределы применения группы в домене или лесу. Существует три области действия групп: локальная домена, глобальная и универсальная.

Локальные группы домена

Членами локальных групп домена могут быть другие группы и учетные записи из доменов Windows NT Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2. Для участников этих групп разрешения могут назначаться только внутри домена.

Локальные группы домена помогают определять доступ к ресурсам в пределах одного домена и управлять им. Участниками этих групп могут быть:

  • учетные записи из любого домена;

  • глобальные группы из любого домена;

  • универсальные группы из любого домена;

  • локальные группы домена, но только из того же домена, что и родительская локальная группа домена;

  • любые сочетания предыдущих пунктов.

Например, чтобы предоставить пяти пользователям доступ к конкретному принтеру, можно добавить в список разрешений принтера пять учетных записей пользователей. Но если в дальнейшем этим пяти пользователям потребуется предоставить доступ к новому принтеру, придется снова указать все пять учетных записей в списке разрешений для нового принтера.

С помощью несложного планирования можно упростить эту повседневную задачу администрирования, создав группу с локальной в домене областью действия и назначив этой группе разрешение доступа к принтеру. Поместите пять учетных записей пользователей в группу с глобальной областью действия и добавьте ее в группу с локальной в домене областью действия. Когда потребуется предоставить этим пяти пользователям доступ к новому принтеру, назначьте группе с локальной в домене областью действия разрешение на доступ к новому принтеру. Все члены этой группы с глобальной областью действия автоматически получат доступ к новому принтеру.

Глобальные группы

В число членов глобальных групп могут входить учетные записи из того же домена, что и родительская глобальная группа, и глобальные группы из того же домена, что и родительская глобальная группа. Разрешения для членов этих групп могут назначаться в любом домене леса.

Используйте группы с глобальной областью действия для управления объектами каталогов, которые требуют ежедневного обслуживания; такими как учетные записи пользователей и компьютеров. Так как группы с глобальной областью действия не реплицируются вовне своего домена, учетные записи в таких группах можно часто изменять, не создавая трафика репликаций в глобальном каталоге.

Хотя права и разрешения действительны только внутри домена, в котором они назначены, единообразное применение глобальных групп в соответствующих доменах позволяет консолидировать ссылки на учетные записи со схожими задачами. Это упрощает и рационализирует управление группами в разных доменах. Например, если в сети с двумя доменами, Europe и UnitedStates, в домене UnitedStates есть глобальная группа GLAccounting, то группа с таким же именем должна быть и в домене Europe (если в домене Europe существует функция учета).

Важно!

Настоятельно рекомендуется использовать глобальные группы или универсальные группы вместо локальных групп домена при задании разрешений объектов каталогов домена, которые реплицируются в глобальный каталог.

Универсальные группы

Членами универсальных групп могут быть:

  • учетные записи из любого домена в лесу, в котором находится эта универсальная группа;

  • глобальные группы из любого домена в лесу, в котором находится эта универсальная группа;

  • универсальные группы из любого домена в лесу, в котором находится эта универсальная группа.

Разрешения для членов этих групп могут назначаться в любом домене дерева доменов или леса. Используйте группы с универсальной областью действия для консолидации групп, которые охватывают домены. Для этого добавляйте учетные записи в группы с глобальной областью действия и вкладывайте их в группы с универсальной областью действия. При использовании этой стратегии какие-либо изменения членства в глобальных группах не влияют на универсальные группы.

Например, в сети с двумя доменами, Europe и UnitedStates, и глобальной группой GLAccounting в каждом домене можно создать универсальную группу UAccounting, членами которой являются две группы GLAccounting: UnitedStates\GLAccounting и Europe\GLAccounting. Затем группу UAccounting можно использовать по всему предприятию. Изменения членства отдельных групп GLAccounting не приведут к репликации группы UAccounting.

Не изменяйте членство в универсальной группе часто. Любые изменения членства в группе данного типа приведут к репликации всего членства этой группы в каждый глобальный каталог в лесу.

Типы группы

В доменных службах Active Directory существует два типа групп: группы рассылки и группы безопасности. Группы рассылки можно использовать для создания списков рассылки электронной почты. Группы безопасности можно использовать для назначения разрешений общим ресурсам.

Группы рассылки можно использовать только с программами электронной почты (например, Microsoft Exchange Server 2007) для отправки электронной почты коллекциям пользователей. Безопасность в группах рассылки отключена, поэтому они не присутствуют в списках управления доступом на уровне пользователей (DACL). Если нужна группа для управления доступом к общим ресурсам, создайте группу безопасности.

При продуманном применении группы безопасности позволяют эффективно назначать доступ к ресурсам сети. С помощью групп безопасности можно выполнять следующие действия.

  • Назначать права пользователя группам безопасности в доменных службах Active Directory.

    Права пользователя назначаются группе безопасности, чтобы определить возможные действия членов этой группы в пределах домена (или леса). Права пользователя автоматически назначаются некоторым группам безопасности при установке доменных служб Active Directory, чтобы помочь администраторам определить административную роль человека в домене. Например, пользователь, добавленный в группу «Операторы архива», может выполнять резервное копирование и восстановление файлов и каталогов на каждом контроллере домена в домене.

  • Назначать группам безопасности разрешения на доступ к ресурсам.

    Разрешения отличаются от прав пользователя. Разрешения определяют, кому предоставляется доступ к общему ресурсу. Они также определяют уровень доступа, такой как «Полный доступ». Группы безопасности можно использовать, чтобы управлять доступом и разрешениями для общего ресурса. Некоторые разрешения, которые задаются для объектов домена, автоматически предоставляют различные уровни доступа группам безопасности по умолчанию, например группе «Операторы учета» или «Администраторы домена».

Группы безопасности можно использовать и для работы с электронной почтой, подобно группам рассылки. При отправке сообщения электронной почты группе безопасности оно отправляется всем участникам этой группы.

Специальные группы

Помимо групп в контейнерах «Встроенные» и «Пользователи» серверы, работающие под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, включают несколько специальных удостоверений. Для удобства эти удостоверения называют группами. Для этих специальных групп отсутствует конкретное членство, которое можно изменить. Однако в зависимости от обстоятельств они могут представлять разных пользователей в различное время. Следующие группы являются специальными.

  • Анонимный вход

    Эта группа представляет пользователей и службы, осуществляющие доступ к компьютеру и его ресурсам по сети без использования имени учетной записи, пароля и имени домена. На компьютерах, работающих под управлением Windows NT и предшествующих версий операционной системы Windows, группа «Анонимный вход» по умолчанию является членом группы «Все». На компьютерах, работающих под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, группа «Анонимный вход» не является по умолчанию членом группы «Все».

  • Все

    Эта группа представляет всех текущих сетевых пользователей, включая гостей и пользователей из других доменов. При каждом своем входе в сеть пользователь автоматически добавляется в группу «Все».

  • Сеть

    Эта группа представляет пользователей, которые в данный момент обладают доступом по сети к данному ресурсу, в отличие от пользователей, которые обладают доступом к ресурсу, поскольку вошли локально на компьютер, на котором находится ресурс. Когда пользователь получает доступ по сети к данному ресурсу, он автоматически добавляется в группу «Сеть».

  • Интерактивные

    Эта группа представляет всех пользователей, которые к данному моменту вошли на конкретный компьютер и получили доступ к находящемуся на нем ресурсу, в отличие от пользователей, которые получили доступ к ресурсу по сети. Когда пользователь получает доступ к ресурсу на компьютере, в системе которого он находится в данный момент, он автоматически добавляется в группу «Интерактивные».

Хотя специальным группам могут назначаться права и разрешения для доступа к ресурсам, членство специальных групп нельзя ни изменить, ни просмотреть. К специальным группам не применяются области действия групп. Пользователи назначаются в эти специальные группы автоматически, когда входят на конкретный ресурс или получают к нему доступ.

Где создаются группы

В доменных службах Active Directory группы создаются в доменах. Для создания групп можно использовать оснастку «Центр администрирования Active Directory». При наличии необходимых разрешений можно создавать группы в корневом домене леса, любом другом домене леса или в подразделении.

Помимо домена, в котором она создана, группа также характеризуется областью действия. Область действия группы определяет следующее:

  • домен, из которого можно добавлять членов;

  • домен, в котором действительны назначенные группе права и разрешения.

Выбирайте конкретный домен или подразделение для создания группы в зависимости от требуемого для нее администрирования. Например, если в каталоге несколько подразделений, у каждого из которых свой администратор, можно создать в этих подразделениях глобальные группы, чтобы каждый администратор мог в своем подразделении управлять членством в группах. Если группы требуются для управления доступом вне подразделения, можно вложить группы в подразделениях в универсальные группы (или другие глобальные группы), которые можно использовать в любом другом месте леса.

Если для режима работы домена выбран режим не ниже основного режима работы Windows 2000, домен содержит иерархию подразделений, и администрирование делегируется администраторам в каждом подразделении, то вложение в глобальные группы может быть эффективнее. Например, если подразделение 1 содержит подразделение 2 и подразделение 3, глобальная группа в подразделении 1 может содержать в качестве участников глобальные группы в подразделениях 2 и 3. В подразделении 1 администратор может добавлять или удалять группы из подразделения 1, а администраторы подразделений 2 и 3 могут добавлять или удалять участников групп из собственных подразделений, не имея административных прав в отношении глобальной группы в подразделении 1.

Примечание

Группы можно перемещать внутри домена. Но перемещать из одного домена в другой можно только группы с универсальной областью действия. Права и разрешения, назначенные универсальной группе, теряются при перемещении группы в другой домен, и необходимо выполнять новые назначения.

Дополнительные источники информации


Содержание