Skupina je tvořena několika uživatelskými účty a účty počítačů, kontakty a dalšími skupinami, které lze spravovat jako jednu jednotku. Uživatelé a počítače, které naleží do určité skupiny, se nazývají členové skupiny.

Skupiny ve službě AD DS (Active Directory Domain Services) jsou objekty adresáře, které jsou umístěny v doméně a v objektech kontejnerů organizační jednotky. Služba AD DS obsahuje po instalaci sadu výchozích skupin. Je také možné skupiny vytvořit.

Skupiny ve službě AD DS lze použít následujícím způsobem:

  • Je možné zjednodušit správu přiřazením oprávnění ke sdílenému prostředku skupině, a nikoli jednotlivým uživatelům. Pokud přiřadíte oprávnění skupině, je stejná úroveň přístupu k prostředku přiřazena všem členům v této skupině.

  • Správu lze delegovat přiřazením uživatelských oprávnění skupině jednou pomocí zásad skupiny. Do skupiny potom můžete přidat členy, kteří mají mít stejná práva jako skupina.

  • Je možné vytvořit distribuční seznamy pro e-maily.

Skupiny jsou charakterizovány rozsahem a typem. Rozsah skupiny určuje, do jaké míry je skupina v doméně nebo doménové struktuře použita. Typ skupiny určuje, zda je možné skupinu použít k přiřazení oprávnění ze sdíleného prostředku (pro skupiny zabezpečení) nebo skupinu použít pouze pro distribuční seznamy pro e-maily (pro distribuční skupiny).

Existují také skupiny, u kterých nelze upravit nebo zobrazit členy. Tyto skupiny se označují jako zvláštní identity. V závislosti na okolnostech představují různé uživatele v určitém okamžiku. Například skupina Everyone je zvláštní identita, která představuje všechny aktuální uživatele sítě, včetně hostů a uživatelů z jiných domén.

Dále v tomto textu jsou uvedeny podrobnější informace o skupinových účtech ve službě AD DS.

Principy výchozích skupin

Výchozí skupiny, například skupina Domain Admins, jsou skupiny zabezpečení, které jsou vytvořeny automaticky při vytvoření domény služby Active Directory. Tyto předdefinované skupiny usnadňují řízení přístupu ke sdíleným prostředkům a delegování specifických rolí správy v rámci domény.

K většině výchozích skupin je automaticky přiřazena sada uživatelských práv, které opravňují členy skupiny k provedení určitých akcí v doméně, například přihlášení k místnímu systému nebo zálohování souborů a složek. Například člen skupiny Backup Operators má oprávnění provádět operace zálohování pro všechny řadiče domény v doméně.

Pokud přidáte uživatele ke skupině, budou mu udělena následující práva a oprávnění:

  • Všechna uživatelská práva, která jsou přiřazena ke skupině.

  • Všechna oprávnění, která jsou přiřazena ke skupině pro sdílené prostředky.

Výchozí skupiny jsou umístěny v kontejneru Builtin (Předdefinované) a Users (Uživatelé). Výchozí skupiny v kontejneru Builtin (Předdefinované) mají rozsah skupiny Builtin Local (Předdefinovaná místní). Rozsah a typ této skupiny nelze změnit. Kontejner Users (Uživatelé) obsahuje skupiny, které jsou definovány s globálním rozsahem, a skupiny, které jsou definovány s místním rozsahem v doméně. Skupiny umístěné v těchto kontejnerech je možné přesunout do jiných skupin nebo organizačních jednotek v doméně, ale nelze je přesunout do jiných domén.

Další informace o výchozích skupinách naleznete v článku Výchozí skupiny (https://go.microsoft.com/fwlink/?LinkId=131422 (stránka může být v angličtině)).

Principy rozsahu skupiny

Skupiny jsou charakterizovány rozsahem, který určuje míru, do jaké je skupina použita ve větvích doménové struktury. Existují tři typy rozsahu skupin: místní, globální a univerzální.

Principy místních doménových skupin

Členy místních doménových skupin mohou být jiné skupiny a účty z domén se systémem Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 a Windows Server 2008 R2. Členům těchto skupin je možné přiřadit oprávnění pouze v rámci domény.

Skupiny s místním rozsahem usnadňují definování a správu přístupu k prostředkům v jedné doméně. Tyto skupiny mohou obsahovat následující členy:

  • skupiny s globálním rozsahem,

  • skupiny s univerzálním rozsahem,

  • účty,

  • jiné skupiny s místním rozsahem,

  • libovolnou kombinaci výše uvedených možností.

Pokud chcete například udělit pěti uživatelům přístup k určité tiskárně, můžete přidat všech pět uživatelských účtů do seznamu oprávnění pro tiskárnu. Jestliže však chcete později udělit těmto pěti uživatelům přístup k nové tiskárně, je nutné všech pět účtů znovu zadat do seznamu oprávnění pro novou tiskárnu.

Pomocí plánování můžete tento běžný úkol správy zjednodušit tak, že vytvoříte skupinu s místním rozsahem a přiřadíte jí oprávnění k přístupu k tiskárně. Vložte daných pět uživatelských účtů do skupiny s globálním rozsahem a přidejte tuto skupinu do skupiny s místním rozsahem v doméně. Pokud chcete, aby těchto pět uživatelů mělo přístup k nové tiskárně, přiřaďte skupině s místním rozsahem v doméně oprávnění k přístupu k nové tiskárně. Všichni členové ve skupině s globálním rozsahem získají automaticky přístup k nové tiskárně.

Principy globálních skupin

Mezi členy globálních skupin mohou patřit ostatní skupiny a účty pouze z domény, ve které je skupina definována. Členům těchto skupin je možné přiřadit oprávnění v libovolné doméně v doménové struktuře.

Skupiny s globální rozsahem se používají ke správně objektů adresáře, které vyžadují každodenní údržbu, například uživatelské účty a účty počítačů. Vzhledem k tomu, že skupiny s globálním rozsahem nejsou replikovány mimo vlastní doménu, můžete účty ve skupině s globálním rozsahem často měnit, aniž byste zvyšovali replikační komunikaci v globálním katalogu.

Ačkoli práva a oprávnění jsou platná pouze v rámci domény, ke které jsou přiřazeny, je při jednotném použití skupin s globálním rozsahem v příslušných doménách možné konsolidovat odkazy na účty s podobným účelem. Tím je zjednodušena a zefektivněna správa skupin v doménách. Pokud je například v síti se dvěma doménami (Evropa a USA) skupina s globálním rozsahem nazvaná ÚčtováníHK v doméně USA, měla by v doméně Evropa být také skupina s názvem ÚčtováníHK (za předpokladu, že funkce účtování v doméně Evropa existuje).

Důležité informace

Důrazně doporučujeme používat globální nebo univerzální skupiny místo místních doménových skupin v případě, že zadáváte oprávnění k objektům adresáře v doméně, které jsou replikovány do globálního katalogu.

Principy univerzálních skupin

Mezi členy univerzálních skupin mohou patřit jiné skupiny a účty z libovolné domény ve větvích doménové struktury. Členům těchto skupin je možné přiřadit oprávnění v libovolné doméně ve větvích doménové struktury.

Skupiny s univerzálním rozsahem se používají ke konsolidaci skupin přesahujících domény. Této konsolidace dosáhnete tak, že přidáte účty do skupin s globálním rozsahem a tyto skupiny vložíte do skupin s univerzálním rozsahem. Jestliže použijete tuto strategii, nebudou mít změny členství ve skupinách s globálním rozsahem žádný vliv na skupiny s univerzálním rozsahem.

Například v síti se dvěma doménami Evropa a USA a skupinou s globálním rozsahem nazvanou ÚčtováníHK v obou doménách můžete vytvořit skupinu s univerzálním rozsahem nazvanou UnivÚčtování, která obsahuje jako členy tyto dvě skupiny ÚčtováníHK, tedy USA\ÚčtováníHK a Evropa\ÚčtováníHK. Skupinu UnivÚčtování je potom možné použít kdekoli v podniku. Případné změny členství v jednotlivých skupinách ÚčtováníHK nezpůsobí replikaci skupiny UnivÚčtování.

Neprovádějte časté změny členství skupiny s univerzálním rozsahem. Při změně členství tohoto typu skupiny dojde k replikaci celého členství skupiny do všech globálních katalogů v doménové struktuře.

Principy typů skupin

Ve službě AD DS existují dva typy skupin: distribuční skupiny a skupiny zabezpečení. Distribuční skupiny lze použít k vytvoření distribučních seznamů pro e-maily a skupiny zabezpečení slouží k přiřazení oprávnění ke sdíleným prostředkům.

Distribuční skupiny je možné použít pouze s e-mailovými aplikacemi (například Microsoft Exchange Server 2007) k odeslání e-mailu skupině uživatelů. U distribučních skupin není povoleno zabezpečení, což znamená, že je nelze uvést ve volitelných seznamech řízení přístupu (DACL). Pokud potřebujete skupinu pro řízení přístupu ke sdílených prostředkům, vytvořte skupinu zabezpečení.

V případě uvážlivého použití představují skupiny zabezpečení efektivní způsob přiřazení přístupu k prostředkům v síti. Skupiny zabezpečení můžete použít následujícím způsobem:

  • Přiřazení uživatelských práv ke skupině zabezpečení služby AD DS (Active Directory Domain Services).

    Uživatelská práva jsou přiřazena ke skupině zabezpečení za účelem stanovení akcí, které členové této skupiny mohou v rámci rozsahu domény (nebo doménové struktury) provádět. Uživatelská práva jsou automaticky přiřazena k některým skupinám zabezpečení v době instalace služby AD DS, což správcům usnadňuje definovat roli pro správu uživatele v doméně. Například uživatel, který je přidán do skupiny Backup Operators ve službě Active Directory může vytvářet zálohy souborů a adresářů a obnovovat soubory a adresáře ve všech řadičích domény v doméně.

  • Přiřazení oprávnění k prostředkům skupinám zabezpečení.

    Oprávnění se liší od uživatelských práv. Oprávnění určují, kdo může získat přístup ke sdílenému prostředku, a určují úroveň přístupu, například Úplné řízení. Ke správě přístupu a oprávnění ke sdílenému prostředku je možné použít skupiny zabezpečení. Některá oprávnění nastavená pro objekty domény jsou automaticky přiřazena a povolují různé úrovně přístupu pro výchozí skupiny zabezpečení, například skupina Account Operators nebo Domain Admins.

Skupiny zabezpečení je možné použít podobně jako distribuční skupiny pro e-mailové entity. Při odeslání e-mailové zprávy skupině je zpráva odeslána všem členům skupiny.

Zvláštní identity

Servery se systémem Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 obsahují kromě skupin v kontejneru Users (Uživatelé) a Builtin (Předdefinované) několik zvláštních identit. Tyto identity jsou pro zjednodušení obecně označovány jako skupiny. Tyto speciální skupiny nemají specifické členy, které je možné upravit. V závislosti na okolnostech však představují různé uživatele v určitém okamžiku. Zvláštní identity tvoří následující skupiny:

  • Anonymous Logon

    Tato skupina představuje uživatele a služby, které získávají přístup k počítači a jeho prostředkům pomocí sítě bez použití názvu účtu, hesla nebo názvu domény. V počítačích se systémem Windows NT a nižších verzí je skupina Anonymous Logon výchozím členem skupiny Everyone. V počítačích se systémem Windows Server 2008 R2, Windows Server 2008 nebo Windows Server 2003 není skupina Anonymous Logon ve výchozím nastavení členem skupiny Everyone.

  • Everyone

    Tato skupina představuje všechny aktuální uživatele sítě, včetně hostů a uživatelů z jiných domén. Při každém přihlášení uživatele do sítě je uživatel automaticky přidán do skupiny Everyone.

  • Network

    Tato skupina představuje uživatele, kteří aktuálně přistupují k danému prostředku prostřednictvím sítě, nikoli pomocí místního přihlášení k počítači, kde je prostředek umístěn. Vždy, když uživatel získá přístup k dané prostředku prostřednictvím sítě, je tento uživatel automaticky přidán do skupiny Network.

  • Interactive

    Tato skupina představuje všechny uživatele, kteří jsou aktuálně přihlášení k určitému počítači a přistupují k danému prostředku umístěnému v tomto počítači, nezískávají tedy přístup k prostředku pomocí sítě. Vždy, když uživatel získá přístup k danému prostředku v počítači, ke kterému je aktuálně přihlášen, je tento uživatel automaticky přidán do skupiny Interactive.

Ačkoli je možné přiřadit zvláštním identitám práva a oprávnění k prostředkům, nelze členství měnit nebo zobrazit. Pro zvláštní identity nelze použít rozsah skupin. Uživatelé jsou do těchto zvláštních identit přiřazováni automaticky při přihlášení nebo získání přístupu k určitému prostředku.

Místa, kde lze skupiny vytvořit

Ve službě AD DS se skupiny vytvářejí v doménách. K vytváření skupin se používá modul Uživatelé a počítače služby Active Directory. Pomocí odpovídajícího oprávnění můžete vytvořit skupiny v kořenové doméně doménové struktury, v libovolné jiné doméně v doménové struktuře nebo v organizační jednotce.

Skupina je kromě domény, ve které je vytvořena, charakterizována také svým rozsahem. Rozsah skupiny určuje následující skutečnosti:

  • Doménu, ze které je možné přidat členy.

  • Doménu, ve které jsou platná práva a oprávnění přiřazená ke skupině.

Vyberte určitou doménu nebo organizační jednotku, kde vytvoříte skupinu na základě úkolů správy, které jsou pro skupinu požadovány. Pokud například adresář obsahuje více organizačních jednotek, z nichž má každá jiného správce, můžete v rámci těchto organizačních jednotek vytvořit skupiny s globálním rozsahem, takže správci mohou spravovat členství ve skupině pro uživatele v odpovídajících organizačních jednotkách. Jestliže jsou skupiny požadovány pro řízení přístupu mimo organizační jednotku, můžete skupiny v organizační jednotce vložit do skupin s univerzálním rozsahem (nebo do jiných skupin s globálním rozsahem), které lze použít na jiném místě v doménové struktuře.

Pokud je úroveň funkčnosti domény nastavena na nativní režim systému Windows 2000 nebo vyšším, doména obsahuje hierarchii organizačních jednotek a správa je delegována správcům v každé organizační jednotce, je efektivnější vložit skupiny s globálním rozsahem. Například pokud organizační jednotka 1 obsahuje organizační jednotku 2 a organizační jednotku 3, může skupina s globálním rozsahem v organizační jednotce 1 obsahovat jako členy skupiny s globálním rozsahem v organizační jednotce 2 a organizační jednotce 3. Správce v organizační jednotce 1 může přidat nebo odebrat členy skupiny z organizační jednotky 1 a správci organizační jednotky 2 a organizační jednotky 3 mohou přidat nebo odebrat členy skupiny pro účty ve svých vlastních organizačních jednotkách bez oprávnění správce pro skupinu s globálním rozsahem v organizační jednotce 1.

Poznámka

Skupiny lze v rámci domény přesouvat. Pouze skupiny s univerzální rozsahem však lze přesouvat mezi doménami. Práva a oprávnění přiřazená ke skupině s univerzálním rozsahem jsou ztracena, pokud je skupina přesunuta do jiné domény, potom je nutné vytvořit nové přiřazení.

Další odkazy


Obsah