A csoport felhasználói és számítógépfiókok, partnerek és más, egyetlen egységként kezelhető csoportok gyűjteménye. Az egy adott csoporthoz tartozó felhasználókat és számítógépeket csoporttagoknak hívjuk.

Az Active Directory tartományi szolgáltatások (AD DS) csoportjai olyan címtárobjektumok, amelyek tartományi és szervezeti egység típusú tárolóobjektumokban helyezkednek el. Az AD DS különböző alapértelmezett csoportokat biztosít telepítéskor. A rendszer lehetőséget biztosít további csoportok létrehozására.

Az Active Directory tartományi szolgáltatásokban a csoportokat a következőkre használhatja:

  • Leegyszerűsítheti a felügyeletet, ha egyének helyett a csoporthoz rendel engedélyeket megosztott erőforrások esetén. Ha egy csoporthoz rendel engedélyeket, akkor a csoport összes tagja ugyanazzal a hozzáféréssel fog rendelkezni az adott erőforráshoz.

  • Felügyeleti engedélyeket delegálhat, ha a csoportházirendekkel felhasználói jogokat rendel egy csoporthoz. Adja a csoporthoz ezután azokat a tagokat, amelyekhez a csoportéval megegyező engedélyeket kíván rendelni.

  • Hozzon létre e-mail terjesztési listákat.

A csoportokat a hatókörük és a típusuk írja le. A csoport hatóköre azt a kiterjedést adja meg, amelyhez a csoport egy tartományon vagy erdőn belül hozzárendelt. A csoport típusa azt adja meg, hogy hozzárendelhet-e engedélyeket a csoporthoz egy megosztott erőforrásról (biztonsági csoportoknál), vagy csak e-mail terjesztési listákhoz használhatja a csoportot (terjesztési csoportok esetében).

Vannak olyan csoportok is, amelyek tagsági viszonyai nem tekinthetők meg vagy módosíthatók. Ezeket a csoportokat speciális identitásoknak nevezik. Különböző időpontokban a körülményektől függően más és más felhasználókat jelölnek. A Mindenki csoport például egy olyan speciális identitás, amely az összes aktuális hálózati felhasználót jelöli, beleértve a vendégeket és a más tartományokból származó felhasználókat is.

A következő szakaszok további információval szolgálnak az Active Directory tartományi szolgáltatások csoportfiókjaival kapcsolatban.

Az alapértelmezett csoportok ismertetése

Az alapértelmezett csoportok, például a Tartománygazdák csoport, az Active Directory tartomány létrehozásakor automatikusan létrehozott biztonsági csoportok. Ezekkel az előre definiált csoportokkal könnyebben vezérelheti a megosztott erőforrások elérését, és speciális tartományszintű felügyeleti szerepköröket delegálhat.

Több alapértelmezett csoport rendelkezik olyan felhasználói jogokkal, amely bizonyos műveletek elvégzését engedélyezi a tagoknak a tartományon, mint például az egy helyi rendszerbe történő bejelentkezés vagy fájlok és mappák biztonsági másolatának készítése. A Biztonságimásolat-felelősök csoport tagja például megfelelő jogokkal rendelkezik biztonságimásolat-készítési műveletek elvégzéséhez a tartomány összes tartományvezérlőjén.

Ha egy felhasználót ad a csoporthoz, a felhasználó a következő elemeket kapja meg:

  • A csoporthoz rendelt összes felhasználói jog

  • A csoporthoz rendelt összes, megosztott erőforrásokra vonatkozó engedély

Az alapértelmezett csoportokat a program a Builtin és a Felhasználók tárolókban helyezi el. A Builtin tárolóban lévő alapértelmezett csoportok hatóköre Belső helyi. Ezeknek a csoportoknak a hatóköre és típusa nem módosítható. A Felhasználók tárolóban lévő csoportok egy része globális, egy másik része tartományon belüli hatáskörrel rendelkezik. Az ezekben a tárolókban lévő csoportok áthelyezhetők más csoportokba vagy szervezeti egységekbe a tartományon belül, de más tartományokba nem.

A csoportházirenddel kapcsolatos további információt az Alapértelmezett csoportok (https://go.microsoft.com/fwlink/?LinkId=131422) című témakörben talál (előfordulhat, hogy a lap angol nyelven jelenik meg).

A csoporthatókör ismertetése

A csoportokat meghatározó egyik jellemző a hatókör, amely a tartományfán vagy -erdőn belül a csoporthoz rendelt kiterjedést határozza meg. Három csoporthatókör létezik: tartományon belüli, globális és univerzális.

A tartományon belüli csoportok ismertetése

A tartományon belüli csoportok tagjai tartalmazhatnak más csoportokat és fiókokat Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 és Windows Server 2008 R2 tartományokból. Ezeknek a csoportoknak a tagjai csak tartományon belüli engedélyeket kaphatnak.

A tartományon belüli hatókörű csoportokkal egy adott tartományon belül határozhatja meg és kezelheti az erőforrásokhoz történő hozzáférést. Az ilyen csoportok tagjai a következők lehetnek:

  • Globális hatókörű csoportok

  • Univerzális hatókörű csoportok

  • Fiókok

  • Más, tartományon belüli hatókörű csoportok

  • A fentiek bármilyen keveréke

Ha például öt felhasználónak hozzáférési jogosultságot kíván adni egy adott nyomtatóhoz, egyenként hozzáadhatja mind az öt felhasználói fiókot a nyomtató engedélylistájához. Ugyanakkor ha később ugyanennek az öt felhasználónak egy újabb nyomtatóhoz kíván hozzáférési jogosultságot adni, újból egyenként kell megadnia az öt felhasználói fiókot az új nyomtató engedélylistájában.

Kis tervezéssel könnyen leegyszerűsítheti ezt a gyakori felügyeleti feladatot, ha létrehoz egy tartományon belüli hatókörű csoportot, és ahhoz rendel a nyomtatóra vonatkozó hozzáférési jogosultságot. Helyezze az öt felhasználói fiókot egy globális hatókörű csoportba, és adja ezt a csoportot a tartományon belüli hatókörű csoportba. Amikor az öt felhasználónak hozzáférési jogosultságot kíván adni az új nyomtatóhoz, adjon a tartományon belüli hatókörű csoportnak engedélyt a nyomtatóhoz való hozzáférésre. A globális hatókörű csoport összes tagja ezzel automatikusan megkapja a hozzáférési jogosultságot az új nyomtatóhoz.

A globális csoportok ismertetése

Globális csoportok tagjai csak azon a tartományon belüli más csoportok és felhasználók lehetnek, amelyben a csoport definiálva lett. Az ilyen csoportok tagjai az erdő bármely tartományában kaphatnak engedélyeket.

A globális hatókörű csoportokat a napi karbantartást igénylő címtárobjektumokhoz használhatja, például a felhasználói és számítógépfiókokhoz. Mivel a globális hatókörű csoportok nem többszöröződnek a saját tartományukon kívül, anélkül módosíthat a globális hatókörű csoporton belüli fiókokat, hogy replikációs forgalmat hozna létre a globális katalógusban.

Bár a jogok és engedélyek hozzárendelése csak a hozzárendelés tartományában érvényes, ha egységesen alkalmazza a globális hatókörű csoportokat a megfelelő tartományokon, akkor összevonhatja hasonló célú fiókok hivatkozásait. Ez leegyszerűsíti és ésszerűsíti a tartományok közötti csoportkezelést. Egy olyan hálózatban például, ahol két tartomány van, az Europa és EgyesultAllamok tartományok, és az EgyesultAllamok tartományban található egy GLFiokkezeles elnevezésű globális hatókörű csoport, ajánlott, hogy legyen egy GLFiokkezeles elnevezésű csoport az Europa tartományban is (kivéve akkor, ha az Europa tartományban a fiókkezelési funkció nem elérhető).

Fontos!

Erősen ajánlott globális vagy univerzális csoportokat használni a tartományon belüli csoportok helyett olyankor, ha a globális katalógusba replikált tartományi címtárobjektumokhoz határoz meg engedélyeket.

Az univerzális csoportok ismertetése

Az univerzális csoportok tagja a tartományfa vagy -erdő bármely tartományában lévő csoport és fiók lehet. Az ilyen csoportok tagjai a tartományfa vagy -erdő bármely tartományában kaphatnak engedélyeket.

Tartományokat átölelő csoportok összevonásához használjon univerzális hatókörű csoportokat. Ezt úgy valósíthatja meg, hogy a fiókokat globális hatókörű csoportokhoz adja, majd univerzális hatókörű csoportokba ágyazza ezeket a csoportokat. Ha ezt a stratégiát alkalmazza, akkor a globális hatókörű csoportok semmilyen tagsági változása nem befolyásolja az univerzális hatókörű csoportokat.

Egy olyan hálózatban például, ahol két tartomány (Europa és EgyesultAllamok), és mindkét tartományban egy GLFiokkezeles nevű globális hatókörű csoport van, egy olyan UFiokkezeles nevű univerzális hatókörű csoportot hozzon létre, amely tartalmazza mindkét GLFiokkezeles csoport tagjait (EgyesultAllamok\GLFiokkezeles és Europa\GLFiokkezeles). Így a vállalaton belül bárhol használhatja az UFiokkezeles csoportot. Az egyes GLFiokkezeles csoportok tagsági viszonyaiban bekövetkező változások így nem okoznak replikációt az UFiokkezeles csoportban.

Az univerzális hatókörű csoportok tagsági viszonyait ne módosítsa gyakran. Az ilyen típusú csoportok tagsági viszonyainak módosítása azt eredményezi, hogy a csoport összes tagja replikálódik az erdő összes globális katalógusába.

A csoporttípusok ismertetése

Az Active Directory tartományi szolgáltatásokban két csoporttípus létezik: terjesztési csoportok és biztonsági csoportok. A terjesztési csoportokkal e-mail terjesztési listákat hozhat létre, a biztonsági csoportokkal pedig hozzáféréseket adhat megosztott erőforrásokhoz.

A terjesztési csoportokat csak e-mail alkalmazásokkal használhatja (mint például a Microsoft Exchange Server 2007) e-mailek felhasználói csoportokhoz történő küldéséhez. A terjesztési csoportok nem biztosítanak biztonsági szolgáltatásokat, ami azt jelenti, hogy nem szerepelhetnek diszkrét hozzáférés-vezérlési listákban (DACL). Ha a megosztott erőforrások hozzáférésének szabályozásához van szüksége egy csoportra, hozzon létre egy biztonsági csoportot.

Ha megfelelően használja őket, a biztonsági csoportokkal hatékonyan végezheti el a hozzáférések hálózati erőforrásokhoz történő hozzárendelését. A biztonsági csoportok használatával:

  • Felhasználói jogokat adhat az Active Directory tartományi szolgáltatások biztonsági csoportjaihoz.

    Felhasználói jogok biztonsági csoportokhoz rendelésével meghatározhatja, hogy mit tehetnek a csoport tagjai a tartomány (vagy erdő) hatókörén belül. Bizonyos biztonsági csoportok az Active Directory Tartományi szolgáltatás telepítésekor automatikusan felhasználói jogokat kapnak, hogy a rendszergazdák könnyebben meghatározhassák az egyének felügyeleti szerepkörét a tartományban. Az a felhasználó például, akit az Active Directory Biztonságimásolat-felelősök csoportjához adnak, biztonsági másolatokat készíthet és visszaállíthat fájlokat és mappákat a tartomány bármely tartományvezérlőjén.

  • Rendeljen engedélyeket a biztonsági csoportokhoz az erőforrásokon.

    Az engedélyek különböznek a felhasználói jogoktól. Az engedélyek azt határozzák meg, hogy ki férhet hozzá egy megosztott erőforráshoz, továbbá meghatározzák a hozzáférés szintjét (például a teljes hozzáférést). Egy megosztott erőforrás elérését és engedélyeit a biztonsági csoportokkal kezelheti. Bizonyos engedélyek, amelyek tartományi objektumokon vannak beállítva, automatikusan meghatároznak bizonyos szintű hozzáféréseket alapértelmezett biztonsági csoportoknak, például a Fiókfelelősök vagy a Tartománygazdák csoportok számára.

A biztonsági csoportok a terjesztési csoportokhoz hasonlóan használhatók e-mail identitásokként. Ha egy e-mail üzenetet küld a csoportnak, a csoport összes tagja megkapja a levelet.

Speciális identitások

A Windows Server 2008 R2, a Windows Server 2008 vagy a Windows Server 2003 rendszert futtató kiszolgálók a Felhasználók és a Builtin tárolókban lévő csoportokon túl több speciális identitást is tartalmaznak. A kényelmes kezelhetőség érdekében ezekre az identitásokra általában csoportokként hivatkozunk. Ezek a speciális csoportok nem rendelkeznek módosítható speciális tagsági viszonyokkal. Ugyanakkor különböző időpontokban a körülményektől függően más és más felhasználókat jelölnek. A következő csoportok jelölnek speciális identitásokat:

  • Névtelen bejelentkezés

    Ez a csoport azokat a felhasználókat és szolgáltatásokat jelöli, amelyek egy számítógépet és az erőforrásait felhasználónév, jelszó, vagy tartománynév nélkül érik el a hálózaton keresztül. A Windows NT rendszert és korábbi rendszereket futtató számítógépeken a Névtelen bejelentkezés csoport a Mindenki csoport alapértelmezett tagja. A Windows Server 2008 R2, Windows Server 2008 vagy Windows Server 2003 rendszert futtató számítógépeken a Névtelen bejelentkezés csoport alapértelmezés szerint nem tagja a Mindenki csoportnak.

  • Mindenki

    Ez a csoport a hálózat összes aktuális felhasználóját tartalmazza, beleértve a más tartományokból származó vendégeket és felhasználókat is. Ha egy felhasználó bejelentkezik a hálózatra, a program automatikusan hozzáadja a felhasználót a Mindenki csoporthoz.

  • Hálózat

    Ez a csoport az aktuálisan egy adott erőforráshoz a hálózaton keresztül kapcsolódó felhasználókat tartalmazza, ellentétben azokkal a felhasználókkal, akik az erőforrást tartalmazó számítógépen bejelentkezve érik el az erőforrást. Ha egy felhasználó a hálózaton keresztül ér el egy erőforrást, a program automatikusan hozzáadja a felhasználót a Hálózat csoporthoz.

  • Interaktív

    Ez a csoport azokat a felhasználókat jelöli, akik be vannak jelentkezve egy számítógépre, és a számítógépen található erőforrást használják, ellentétben azokkal a felhasználókkal, akik az erőforrást a hálózaton keresztül érik el. Ha egy felhasználó egy olyan számítógép egy adott erőforrását használja, amelyre be van jelentkezve, a program automatikusan hozzáadja a felhasználót az Interaktív csoporthoz.

Bár a speciális identitásokhoz rendelhetők erőforrásokra vonatkozó jogok és engedélyek, a tagságok nem tekinthetők meg vagy módosíthatók. A csoporthatókörök nem vonatkoznak a speciális identitásokra. A program a felhasználókat automatikusan a speciális identitások egyikéhez rendeli, mikor bejelentkeznek, vagy egy adott erőforrást használnak.

Csoportok lehetséges létrehozási helyeinek ismertetése

Az Active Directory tartományi szolgáltatásokban a csoportok tartományokban hozhatók létre. Csoportok létrehozására használja az Active Directory - felhasználók és számítógépek eszközt. A szükséges engedélyekkel létrehozhat csoportokat az erdő gyökértartományában, az erdő bármely más tartományában vagy egy szervezeti egységben is.

Egy csoport a létrehozási tartományán kívül a hatókörével jellemezhető. Egy csoport hatóköre a következőket határozza meg:

  • Azt a tartományt, amelyből felhasználók adhatók a csoporthoz

  • Azt a tartományt, amelyben a csoporthoz rendelt jogok és engedélyek érvényesek

Válasszon egy adott tartományt vagy szervezeti egységet, majd hozzon létre a szükséges felügyeleti feladatok alapján egy csoportot. Ha például a címtár több szervezeti egységet tartalmaz, amelyek mindegyikének más a rendszergazdája, akkor érdemes azokon a szervezeti egységeket belül globális hatókörű csoportokat létrehozni, hogy a rendszergazdák kezelni tudják a saját szervezeti egységeiken belüli felhasználók tagságait. Ha szükségesek a csoportok a szervezeti egységen kívüli hozzáférés vezérléséhez, az erdő más részén használható univerzális hatókörű csoportokba (vagy más globális hatókörű csoportokba) ágyazhatja a csoportokat a szervezeti egységen belül.

Ha a tartomány funkcionális szintje Windows 2000 - natív vagy magasabb, a tartomány szervezeti egységek hierarchiáját tartalmazza, és a felügyelet az egyes szervezeti egységek rendszergazdáihoz van delegálva, akkor esetleg eredményesebben végezhető el globális hatókörű csoportok beágyazása. Ha például az 1. szervezeti egység tartalmazza a 2. szervezeti egységet és a 3. szervezeti egységet, akkor az 1. szervezeti egység tartalmazhat olyan csoportokat, amelyek globális hatókörű tagok a 2. szervezeti egységben és a 3. szervezeti egységben. Az 1. szervezeti egységben a rendszergazda hozzáadhat és eltávolíthat tagokat az 1. szervezeti egységen belül, a 2. szervezeti egység és a 3. szervezeti egység rendszergazdái pedig anélkül adhatnak hozzá vagy távolíthatnak el csoporttagokat a saját szervezeti egységükön belül, hogy rendszergazdai jogosultságuk lenne a globális hatókörű, 1. szervezeti egységben található csoportban.

Megjegyzés

Tartományon belül áthelyezhet csoportokat. Tartományok között viszont csak az univerzális hatókörű csoportok helyezhetők át. Egy univerzális hatókörű csoporthoz rendelt jogok és engedélyek elvesznek, mikor a csoportot egy másik tartományba helyezi át. Ilyenkor újra hozzá kell rendelnie a jogokat és engedélyeket.

További hivatkozások

Tartalom