Een groep is een verzameling gebruikers- en computeraccounts, contactpersonen en andere groepen die als een eenheid kunnen worden beheerd. Gebruikers en computers die tot een bepaalde groep behoren, worden ook groepsleden genoemd.
Groepen in AD DS (Active Directory Domain Services) zijn directoryobjecten die zich in een domein en in containerobjecten van organisatie-eenheden bevinden. AD DS maakt bij de installatie een reeks standaardgroepen, maar er is ook een optie om zelf groepen te maken.
U kunt groepen in AD DS gebruiken om:
-
beheer te vereenvoudigen door machtigingen voor een gedeelde bron aan een groep toe te wijzen in plaats van aan afzonderlijke gebruikers. Wanneer u machtigingen aan een groep toewijst, krijgen alle leden van die groep dezelfde toegang tot de bron.
-
beheer over te dragen door gebruikersrechten eenmaal via Groepsbeleid aan een groep toe te wijzen. U kunt dan leden aan de groep toevoegen die dezelfde rechten als de groep moeten krijgen.
-
e-maildistributielijsten te maken.
Groepen worden gekenmerkt door hun bereik en type. Het bereik van een groep bepaalt de mate waarin de groep binnen een domein of forest wordt toegepast. Het groepstype bepaalt of u een groep kunt gebruiken om machtigingen vanuit een gedeelde bron toe te wijzen (voor beveiligingsgroepen), of dat u de groep alleen voor e-maildistributielijsten kunt gebruiken (voor distributiegroepen).
Er zijn ook groepen waarvoor u de lidmaatschappen niet kunt wijzigen of weergeven. Dit worden speciale identiteiten genoemd. Ze representeren verschillende gebruikers op verschillende tijden, afhankelijk van de omstandigheden. Zo is de groep Iedereen een speciale identiteit die alle huidige netwerkgebruikers representeert, inclusief gasten en gebruikers van andere domeinen.
In de volgende secties vindt u aanvullende informatie over groepsaccounts in AD DS.
Wat zijn standaardgroepen?
Standaardgroepen, zoals de groep Domeinadministrators, zijn beveiligingsgroepen die automatisch worden gemaakt wanneer u een Active Directory-domein maakt. U kunt deze vooraf gedefinieerde groepen gebruiken om toegang tot gedeelde bronnen te bepalen en specifieke beheerfuncties over het hele domein over te dragen.
Vele standaardgroepen krijgen automatisch een reeks gebruikersrechten toegewezen zodat leden van de groep specifieke acties in een domein kunnen uitvoeren, zoals zich bij een lokaal systeem aanmelden of een back-up van bestanden en mappen maken. Een lid van de groep Back-upoperators heeft bijvoorbeeld het recht om back-upbewerkingen voor alle domeincontrollers in het domein uit te voeren.
Wanneer u een gebruiker aan een groep toevoegt, krijgt de gebruiker het volgende:
-
Alle gebruikersrechten die aan de groep zijn toegewezen
-
Alle rechten voor gedeelde bronnen die aan de groep zijn toegewezen
Standaardgroepen bevinden zich in de ingebouwde container en de gebruikerscontainer. De standaardgroepen in de ingebouwde container hebben het groepsbereik Ingebouwd lokaal. Het bereik en type kunnen niet worden gewijzigd. De gebruikerscontainer bevat groepen die met globaal bereik zijn gedefinieerd, en groepen die met domeingebonden bereik zijn gedefinieerd. U kunt groepen uit deze containers naar andere groepen of organisatie-eenheden binnen het domein verplaatsen, maar niet naar andere domeinen.
Zie het onderwerp over standaardgroepen (
Wat is groepsbereik?
Groepen worden gekenmerkt door een bereik dat aangeeft in welke mate de groep in de domeinstructuur of het forest wordt toegepast. Er zijn drie typen groepsbereik: domeingebonden, globaal en universeel.
Wat zijn domeingebonden groepen?
Leden van domeingebonden groepen kunnen andere groepen en accounts van Windows Server 2003-, Windows 2000-, Windows NT-, Windows Server 2008- en Windows Server 2008 R2-domeinen zijn. Leden van deze groepen kunnen alleen binnen een domein machtigingen toegewezen krijgen.
Groepen met een domeingebonden bereik helpen bij het definiëren en beheren van brontoegang binnen één domein. Deze groepen kunnen de volgende leden hebben:
-
Groepen met globaal bereik
-
Groepen met universeel bereik
-
Accounts
-
Andere groepen met domeingebonden bereik
-
Een combinatie van het bovenstaande
Als u bijvoorbeeld vijf gebruikers toegang tot een bepaalde printer wilt geven, kunt u alle vijf gebruikersacounts aan de lijst met printermachtigingen toevoegen. Als u de vijf gebruikers echter later toegang tot een nieuwe printer wilt geven, moet u alle vijf accounts opnieuw specificeren in de machtigingenlijst voor de nieuwe printer.
Met wat planning kunt u deze standaardbeheertaak vereenvoudigen door een groep met domeingebonden bereik te maken en aan de groep toegangsrecht tot de printer toe te wijzen. Plaats de vijf gebruikersaccounts in een groep met globaal bereik en voeg deze groep toe aan de groep met domeingebonden bereik. Wanneer u de vijf gebruikers toegang tot een nieuwe printer wilt geven, geeft u de groep met domeingebonden bereik toegangsrechten voor de nieuwe printer. Alle leden van de groep met globaal bereik krijgen automatisch toegang tot de nieuwe printer.
Wat zijn globale groepen?
Leden van globale groepen kunnen alleen bestaan uit andere groepen en accounts van het domein waarin de groep is gedefinieerd. Leden van deze groepen kunnen binnen elk domein in het forest machtigingen toegewezen krijgen.
Gebruik groepen met globaal bereik voor het beheer van directoryobjecten die dagelijks onderhoud vereisen, zoals gebruikers- en computeraccounts. Aangezien groepen met globaal bereik niet buiten hun eigen domein worden gerepliceerd, kunt u accounts in een groep met globaal bereik regelmatig wijzigen zonder dat u replicatieverkeer naar de globale catalogus genereert.
Hoewel toewijzingen van rechten en machtigingen alleen geldig zijn binnen het domein waarin ze worden toegewezen, kunt u verwijzingen naar accounts met gelijksoortige functies samenvoegen door groepen met globaal bereik gelijkmatig toe te passen over de toepasselijke domeinen. Hiermee wordt groepsbeheer tussen domeinen vereenvoudigd en gerationaliseerd. Als bijvoorbeeld in een netwerk met twee domeinen (Europa en VerenigdeStaten) de groep GLAccounting met globaal bereik in het domein VerenigdeStaten voorkomt, moet er ook een groep GLAccounting in het domein Europa voorkomen (tenzij de boekhoudfunctie niet bestaat in het domein Europa).
Belangrijk | |
Wij raden u dringend aan globale of universele groepen in plaats van domeingebonden groepen te gebruiken wanneer u machtigingen voor domeindirectoryobjecten specificeert die naar de globale catalogus worden gerepliceerd. |
Wat zijn universele groepen?
Leden van universele groepen kunnen uit andere groepen en accounts van een willekeurig domein in de domeinstructuur of het forest bestaan. Leden van deze groepen kunnen binnen elk domein in de domeinstructuur of het forest machtigingen toegewezen krijgen.
Gebruik groepen met universeel bereik om groepen samen te voegen die meerdere domeinen beslaan. Hiervoor voegt u de accounts aan groepen met globaal bereik toe en nest u deze groepen in groepen met universeel bereik. Wanneer u deze strategie toepast, hebben lidmaatschapswijzigingen in de groepen met globaal bereik geen invloed op de groepen met universeel bereik.
Zo maakt u in een netwerk met twee domeinen (Europa en VerenigdeStaten) en de groep GLAccounting met globaal bereik in elk domein, de groep UAccounting met universeel bereik die de twee GLAccounting-groepen (VerenigdeStaten\GLAccounting en Europa\GLAccounting) als leden heeft. U kunt de groep UAccounting dan overal in de onderneming gebruiken. Wijzigingen in het lidmaatschap van de individuele GLAccounting-groepen veroorzaken geen replicatie van de UAccounting-groep.
Wijzig het lidmaatschap van een groep met universeel bereik niet te vaak, aangezien hierdoor het volledige lidmaatschap van de groep naar elke globale catalogus in het forest wordt gerepliceerd.
Wat zijn groepstypen?
Er zijn twee typen groepen in AD DS: distributiegroepen en beveiligingsgroepen. U kunt distributiegroepen gebruiken om e-maildistributielijsten te maken, en beveiligingsgroepen om machtigingen aan gedeelde bronnen toe te wijzen.
U kunt distributiegroepen alleen met e-mailtoepassingen gebruiken (zoals Microsoft Exchange Server 2007) om e-mail naar groepen gebruikers te verzenden. Distributiegroepen zijn niet beveiligd, wat betekent dat ze niet in DACL's (Discretionary Access Control Lists) kunnen worden weergegeven. Maak een beveiligingsgroep als er een groep is vereist voor toegangsbeheer van gedeelde bronnen.
Wanneer u zorgvuldig met beveiligingsgroepen omgaat, bieden ze een efficiënte manier om toegang tot bronnen in uw netwerk toe te wijzen. Met behulp van beveiligingsgroepen kunt u:
-
Gebruikersrechten aan beveiligingsgroepen in AD DS toewijzen.
Gebruikersrechten worden aan een beveiligingsgroep toegewezen om te bepalen wat leden van die groep binnen het bereik van een domein (of forest) kunnen doen. Gebruikersrechten worden automatisch bij de installatie van AD DS aan bepaalde beveiligingsgroepen toegewezen, zodat administrators de beheerfunctie van een persoon in het domein kunnen definiëren. Een gebruiker die aan de groep Back-upoperators in Active Directory is toegevoegd, kan bijvoorbeeld een back-up van bestanden en mappen op elke domeincontroller in het domein maken en herstellen.
-
Machtigingen aan beveiligingsgroepen voor bronnen toewijzen.
Machtigingen verschillen van gebruikersrechten. Machtigingen bepalen wie er toegang tot een gedeelde bron heeft, evenals het toegangsniveau, zoals Volledig beheer. U kunt beveiligingsgroepen gebruiken om toegang en machtigingen voor een gedeelde bron te beheren. Sommige machtigingen die voor domeinobjecten zijn ingesteld, worden automatisch toegewezen om verschillende toegangsniveaus voor standaardbeveiligingsgroepen toe te staan, zoals de groep Accountoperators of Domeinadministrators.
Beveiligingsgroepen kunnen, net als distributiegroepen, ook als e-mailentiteiten worden gebruikt. Wanneer u een e-mailbericht naar de groep verstuurt, wordt het bericht naar alle leden van de groep verzonden.
Speciale identiteiten
Servers met Windows Server 2008 R2, Windows Server 2008 of Windows Server 2003 hebben niet alleen groepen in de gebruikerscontainer en de ingebouwde container, maar ook verschillende speciale identiteiten. Deze identiteiten worden gemakshalve meestal groepen genoemd. Deze speciale groepen hebben geen specifieke lidmaatschappen die gewijzigd kunnen worden. Ze kunnen echter verschillende gebruikers op verschillende tijden representeren, afhankelijk van de omstandigheden. De volgende groepen representeren speciale identiteiten:
-
Anonieme aanmelding
Deze groep representeert gebruikers en services die via het netwerk toegang tot een computer en de bronnen hebben zonder een accountnaam, wachtwoord of domeinnaam te gebruiken. Op computers met Windows NT en eerder is de groep Anonieme aanmelding standaard lid van de groep Iedereen. Op computers met Windows Server 2008 R2, Windows Server 2008 of Windows Server 2003 is de groep Anonieme aanmelding niet standaard lid van de groep Iedereen.
-
Iedereen
Deze groep representeert alle huidige netwerkgebruikers, inclusief gasten en gebruikers van andere domeinen. Wanneer een gebruiker zich bij het netwerk aanmeldt, wordt hij of zij automatisch aan de groep Iedereen toegevoegd.
-
Netwerk
Deze groep representeert gebruikers die momenteel toegang tot een specifieke bron via het netwerk hebben, in tegenstelling tot gebruikers die een bron oproepen door zich lokaal aan te melden bij de computer waarop de bron zich bevindt. Wanneer een gebruiker een bepaalde bron via het netwerk oproept, wordt hij of zij automatisch aan de groep Netwerk toegevoegd.
-
Interactief
Deze groep representeert alle gebruikers die momenteel bij een bepaalde computer zijn aangemeld en een bepaalde bron op de betreffende computer gebruiken, in tegenstelling tot gebruikers die de bron via het netwerk oproepen. Wanneer een gebruiker een bepaalde bron op de computer oproept waar hij of zij is aangemeld, wordt hij of zij automatisch aan de groep Interactief toegevoegd.
Hoewel de speciale identiteiten rechten en machtigingen voor bronnen kunnen krijgen, kunnen de lidmaatschappen niet worden gewijzigd of weergegeven. Speciale identiteiten hebben geen groepsbereik. Gebruikers worden automatisch aan deze speciale identiteiten toegewezen wanneer zij zich aanmelden of een bepaalde bron oproepen.
Waar kunnen groepen worden gemaakt?
In AD DS worden groepen in domeinen gemaakt. Hiervoor gebruikt u Active Directory: gebruikers en computers. Met de vereiste machtigingen kunt u groepen in het hoofddomein van het forest, in een ander domein van het forest of in een organisatie-eenheid maken.
Een groep wordt niet alleen gekenmerkt door het domein waarin de groep is gemaakt, maar ook door het bereik. Het bereik van een groep bepaalt het volgende:
-
Het domein waaruit leden kunnen worden toegevoegd
-
Het domein waarin de rechten en machtigingen die aan de groep worden toegewezen, geldig zijn
Kies het domein of de organisatie-eenheid waar u een groep maakt op basis van het beheer dat voor de groep is vereist. Als uw directory bijvoorbeeld meerdere organisatie-eenheden bevat, met elk een andere administrator, wilt u wellicht groepen met globaal bereik binnen deze organisatie-eenheden maken, zodat de administrators groepslidmaatschap voor gebruikers in hun respectievelijke organisatie-eenheden kunnen beheren. Als er groepen zijn vereist voor toegangsbeheer buiten de organisatie-eenheid, kunt u de groepen in de organisatie-eenheid in groepen met universeel bereik (of andere groepen met globaal bereik) nesten, die u elders in het forest kunt gebruiken.
Als het domeinfunctionaliteitsniveau is ingesteld op Windows 2000 (native modus) of hoger, het domein een hiërarchie met organisatie-eenheden bevat en beheer naar administrators voor elke organisatie-eenheid is overgedragen, is het wellicht efficiënter om groepen met globaal bereik te nesten. Als organisatie-eenheid 1 bijvoorbeeld organisatie-eenheid 2 en 3 bevat, kan een groep met globaal bereik in organisatie-eenheid 1 als leden groepen met globaal bereik in organisatie-eenheid 2 en 3 hebben. De administrator in organisatie-eenheid 1 kan groepsleden aan organisatie-eenheid 1 toevoegen of eruit verwijderen, en de administrators van organisatie-eenheid 2 en 3 kunnen groepsleden voor accounts aan hun eigen organisatie-eenheden toevoegen of eruit verwijderen zonder beheerrechten voor de groep met globaal bereik in organisatie-eenheid 1 te hebben.
Opmerking | |
U kunt groepen binnen een domein verplaatsen. Alleen groepen met universeel bereik kunnen van het ene naar het andere domein worden verplaatst. De rechten en machtigingen die aan een groep met universeel bereik zijn toegewezen, gaan verloren wanneer de groep naar een ander domein wordt verplaatst. U moet dan nieuwe toewijzingen maken. |