Grupa jest kolekcją kont użytkowników i komputerów, kontaktów i innych grup, którymi można zarządzać jako jednostką. Konta użytkowników i komputerów, które należą do określonej grupy, są nazywane elementami członkowskimi grupy.
Grupy w Usługach domenowych w usłudze Active Directory (Active Directory Domain Services, AD DS) to obiekty katalogu znajdujące się w obiektach kontenera będących domenami lub jednostkami organizacyjnymi. Podczas instalacji usług AD DS jest udostępniany zestaw grup domyślnych. Dostępna jest również opcja tworzenia grup.
Grupy w usługach AD DS umożliwiają:
-
Uproszczenie administracji przez przypisanie uprawnień do zasobu udostępnionego grupie, a nie poszczególnym użytkownikom. Przypisanie uprawnień do grupy powoduje przydzielenie tego samego dostępu do zasobu wszystkim elementom członkowskim tej grupy.
-
Delegowanie administracji przez jednokrotne przypisanie praw użytkownika grupie za pomocą przystawki Zasady grupy. Można wtedy dodać do grupy elementy członkowskie, które mają korzystać z tych samych praw co grupa.
-
Tworzenie list dystrybucyjnych poczty e-mail.
Grupy różnią się zakresem i typem. Zakres grupy określa obszar domeny lub lasu, do którego grupa ma zastosowanie. Typ grupy określa, czy przy użyciu grupy można przypisać uprawnienia do zasobu udostępnionego (dotyczy grup zabezpieczeń), czy tylko utworzyć listy dystrybucyjne poczty e-mail (dotyczy grup dystrybucyjnych).
Istnieją również grupy, których członkostw nie można modyfikować ani wyświetlać. Te grupy są nazywane tożsamościami specjalnymi. Obejmują one różnych użytkowników w różnym czasie, zależnie od okoliczności. Na przykład grupa Wszyscy jest tożsamością specjalną obejmującą wszystkich bieżących użytkowników sieciowych, w tym gości oraz użytkowników z innych domen.
W poniższych sekcjach zawarto dodatkowe informacje dotyczące kont grup w usługach AD DS.
Grupy domyślne
Grupy domyślne, takie jak Administratorzy domeny, są grupami zabezpieczeń tworzonymi automatycznie podczas tworzenia domeny usługi Active Directory. Te wstępnie zdefiniowane grupy ułatwiają kontrolowanie dostępu do zasobów udostępnionych i delegowanie określonych ról administracyjnych na poziomie całej domeny.
Wielu grupom domyślnym jest automatycznie przypisywany zestaw praw użytkownika, które upoważniają elementy członkowskie grupy do wykonywania w domenie określonych czynności, takich jak logowanie się do systemu lokalnego czy wykonywanie kopii zapasowych plików i folderów. Na przykład element członkowski grupy Operatorzy kopii zapasowych ma prawo do wykonywania kopii zapasowych w przypadku wszystkich kontrolerów domeny w domenie.
Użytkownik dodany do grupy otrzymuje następujące prawa:
-
wszystkie prawa użytkownika, które są przypisane do grupy;
-
wszystkie uprawnienia do zasobów udostępnionych, które są przypisane do grupy.
Grupy domyślne znajdują się w kontenerach Wbudowane i Użytkownicy. Grupy domyślne w kontenerze Wbudowane mają zakres grupy Lokalna wbudowana. Nie można zmieniać zakresu i typu tych grup. Kontener Użytkownicy zawiera grupy o zakresie globalnym i grupy o zakresie lokalnym w domenie. Grupy zawarte w tych kontenerach można przenosić do innych grup lub jednostek organizacyjnych, ale nie do innych domen.
Aby uzyskać więcej informacji na temat grup domyślnych, zobacz artykuł Grupy domyślne (
Zakres grupy
Grupy różnią się zakresem określającym obszar drzewa domen lub lasu, do którego grupa ma zastosowanie. Istnieją trzy zakresy grupy: lokalny w domenie, globalny oraz uniwersalny.
Grupy lokalne domeny
Elementami członkowskimi grup lokalnych w domenie mogą być inne grupy i konta z domen systemów Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2. Elementom członkowskim tych grup można przypisywać uprawnienia tylko w danej domenie.
Grupy o zakresie lokalnym w domenie ułatwiają określanie dostępu do zasobów pojedynczej domeny i zarządzanie nim. Te grupy mogą zawierać jako elementy członkowskie:
-
konta z dowolnej domeny;
-
grupy globalne z dowolnej domeny;
-
grupy uniwersalne z dowolnej domeny;
-
grupy lokalne domeny, ale tylko z tej samej domeny co grupa lokalna domeny nadrzędnej;
-
dowolną kombinację powyższych kont i grup.
Na przykład, aby udostępnić pięciu użytkownikom określoną drukarkę, wszystkie pięć kont tych użytkowników można umieścić na liście uprawnień do drukarki. Aby jednak tym pięciu użytkownikom przyznać później dostęp do nowej drukarki, należy ponownie umieścić ich konta na liście uprawnień do nowej drukarki.
Niewielkim nakładem pracy można uprościć to rutynowe zadanie administracyjne, tworząc grupę o zakresie lokalnym w domenie i przypisując tej grupie uprawnienia dostępu do drukarki. Można umieścić pięć kont użytkowników w grupie o zakresie globalnym, a następnie dodać tę grupę do grupy o zakresie lokalnym w domenie. Aby tym pięciu użytkownikom przyznać dostęp do nowej drukarki, wystarczy przypisać grupie o zakresie lokalnym w domenie uprawnienia dostępu do nowej drukarki. Wszystkie elementy członkowskie grupy o zakresie globalnym automatycznie uzyskają dostęp do nowej drukarki.
Grupy globalne
Elementy członkowskie grup globalnych mogą obejmować konta z tej samej domeny co nadrzędna grupa globalna oraz grupy globalne z tej samej domeny co nadrzędna grupa globalna. Elementom członkowskim tych grup można przypisać uprawnienia w dowolnej domenie w lesie.
Grupy o zakresie globalnym służą do zarządzania obiektami katalogu, które wymagają codziennej obsługi, takimi jak konta użytkowników i komputerów. Grupy o zakresie globalnym nie są replikowane poza własną domeną, więc konta należące do grupy o zakresie globalnym można często zmieniać, nie generując ruchu sieciowego związanego z replikacją do wykazu globalnego.
Mimo że prawa i uprawnienia dotyczą tylko domeny, w której je przypisano, dzięki jednolitemu zastosowaniu w odpowiednich domenach grup o zakresie globalnym można skonsolidować odwołania do kont o podobnych celach. Pozwala to uprościć i usprawnić zarządzanie grupami w różnych domenach. Na przykład w przypadku sieci z dwiema domenami, Europa i StanyZjednoczone, jeśli w domenie StanyZjednoczone istnieje grupa o zakresie globalnym o nazwie KsięgowośćKG, w domenie Europa również powinna znajdować się grupa o nazwie KsięgowośćKG (chyba że w domenie Europa nie ma funkcji księgowości).
Ważne | |
Zdecydowanie zaleca się, aby przy określaniu uprawnień do obiektów katalogu domeny replikowanych w wykazie globalnym używać grup globalnych lub grup uniwersalnych, a nie grup lokalnych w domenie. |
Grupy uniwersalne
Elementami członkowskimi grup uniwersalnych mogą być:
- konta z dowolnej domeny w ramach lasu, w którym znajduje się dana grupa uniwersalna;
- grupy globalne z dowolnej domeny w ramach lasu, w którym znajduje się dana grupa uniwersalna;
- grupy uniwersalne z dowolnej domeny w ramach lasu, w którym znajduje się dana grupa uniwersalna.
Elementom członkowskim tych grup można przypisać uprawnienia w dowolnej domenie w drzewie domen lub lesie. Grupy o zakresie uniwersalnym służą do konsolidowania grup, które obejmują kilka domen. W tym celu należy dodać konta do grup o zakresie globalnym i zagnieździć te grupy w grupach o zakresie uniwersalnym. W przypadku takiej strategii wszelkie zmiany członkostwa w grupach o zakresie globalnym nie mają wpływu na grupy o zakresie uniwersalnym.
Na przykład w przypadku sieci z dwiema domenami, Europa i StanyZjednoczone, oraz z grupą o zakresie globalnym o nazwie KsięgowośćKG w każdej domenie można utworzyć grupę o zakresie uniwersalnym o nazwie UKsięgowość, której elementami członkowskimi są dwie grupy KsięgowośćKG: StanyZjednoczone\KsięgowośćKG i Europa\KsięgowośćKG. Grupy UKsięgowość można używać w dowolnym miejscu w przedsiębiorstwie. Żadne zmiany członkostwa poszczególnych grup KsięgowośćKG nie spowodują replikacji grupy UKsięgowość.
Nie należy zbyt często zmieniać członkostwa w grupie o zakresie uniwersalnym. Wszelkie zmiany członkostwa grupy tego typu spowodują replikację całego członkostwa grupy w każdym wykazie globalnym w lesie.
Typy grup
W usługach AD DS istnieją dwa typy grup: grupy dystrybucyjne i grupy zabezpieczeń. Za pomocą grup dystrybucyjnych można tworzyć listy dystrybucyjne poczty e-mail. Grupy zabezpieczeń umożliwiają przypisywanie uprawnień do zasobów udostępnionych.
Grup dystrybucyjnych można używać tylko z aplikacjami poczty e-mail (takimi jak program Microsoft Exchange Server 2007) do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują włączonych zabezpieczeń, nie są więc wyświetlane na poufnych listach kontroli dostępu (Discretionary Access Control List, DACL). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.
Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowią wydajną metodę przyznawania dostępu do zasobów w sieci. Za pomocą grup zabezpieczeń można wykonywać następujące czynności:
-
Przypisywanie praw użytkownika grupom zabezpieczeń w usługach AD DS.
Grupie zabezpieczeń przypisuje się prawa użytkownika, aby określić, jakie czynności mogą wykonywać elementy członkowskie tej grupy w zakresie domeny (lub lasu). Prawa użytkownika są automatycznie przypisywane niektórym grupom zabezpieczeń podczas instalowania usług AD DS, aby ułatwić administratorom określenie roli administracyjnej poszczególnych osób w domenie. Na przykład użytkownik dodany do grupy Operatorzy kopii zapasowych w usłudze AD DS ma możliwość wykonywania kopii zapasowych oraz przywracania plików i katalogów na każdym kontrolerze domeny w domenie.
-
Przypisywanie grupom zabezpieczeń uprawnień do zasobów.
Uprawnienia różnią się od praw użytkownika. Uprawnienia określają, kto może uzyskać dostęp do zasobu udostępnionego. Ponadto określają poziom dostępu, na przykład Pełna kontrola. Grup zabezpieczeń można używać do zarządzania dostępem oraz uprawnieniami do zasobu udostępnionego. Niektóre uprawnienia ustawione dla obiektów domeny są przypisywane automatycznie w celu udostępnienia różnych poziomów dostępu do domyślnych grup zabezpieczeń, takich jak grupa Operatorzy kont lub grupa Administratorzy domeny.
Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń mogą być również adresatami poczty e-mail. Wysłanie wiadomości e-mail do grupy zabezpieczeń powoduje wysłanie wiadomości do wszystkich elementów członkowskich tej grupy.
Tożsamości specjalne
Oprócz grup, które znajdują się w kontenerach Użytkownicy i Wbudowane, serwery z systemem Windows Server 2008 R2, Windows Server 2008 lub Windows Server 2003 oferują kilka tożsamości specjalnych. Dla wygody te tożsamości są zazwyczaj nazywane grupami. Te grupy specjalne nie mają określonych członkostw, które można zmodyfikować. Jednak mogą obejmować różnych użytkowników w różnym czasie, zależnie od okoliczności. Tożsamości specjalne obejmują następujące grupy:
-
Logowanie anonimowe
Ta grupa obejmuje elementy (użytkowników i usługi), które uzyskują dostęp do komputera oraz jego zasobów za pośrednictwem sieci bez używania nazwy konta, hasła lub nazwy domeny. Na komputerach z systemem Windows NT lub starszym grupa Logowanie anonimowe jest domyślnie elementem członkowskim grupy Wszyscy. Na komputerach z systemem Windows Server 2008 R2, Windows Server 2008 lub Windows Server 2003 grupa Logowanie anonimowe domyślnie nie jest elementem członkowskim grupy Wszyscy.
-
Wszyscy
Ta grupa obejmuje wszystkich bieżących użytkowników sieci, w tym gości oraz użytkowników z innych domen. Ilekroć użytkownik loguje się do sieci, jest automatycznie dodawany do grupy Wszyscy.
-
Sieć
Ta grupa obejmuje użytkowników, którzy w danej chwili korzystają z jakiegoś zasobu w sieci, w odróżnieniu od użytkowników, którzy uzyskują dostęp do zasobu, logując się lokalnie na komputerze, na którym ten zasób się znajduje. Ilekroć użytkownik uzyskuje dostęp do danego zasobu za pośrednictwem sieci, jest automatycznie dodawany do grupy Sieć.
-
Interakcyjna
Ta grupa odpowiada wszystkim użytkownikom, którzy są w danej chwili zalogowani na określonym komputerze i korzystają z danego zasobu znajdującego się na tym komputerze, w odróżnieniu od użytkowników korzystających z tego zasobu za pośrednictwem sieci. Ilekroć użytkownik uzyskuje dostęp do danego zasobu na komputerze, na którym jest w danej chwili zalogowany, jest automatycznie dodawany do grupy Interakcyjna.
Mimo że tożsamościom specjalnym można przypisywać prawa i uprawnienia do zasobów, członkostw tożsamości specjalnych nie można modyfikować ani wyświetlać. W przypadku tożsamości specjalnych zakresy grup nie mają zastosowania. Użytkownicy są automatycznie przypisywani do tych tożsamości specjalnych, ilekroć logują się lub uzyskują dostęp do jakiegoś zasobu.
Możliwe lokalizacje tworzonych grup
W usługach AD DS grupy są tworzone w domenach. Do tworzenia grup można używać Centrum administracyjnego usługi Active Directory. Mając odpowiednie uprawnienia, użytkownik może tworzyć grupy w domenie katalogu głównego lasu lub w dowolnej innej domenie w lesie albo w jednostce organizacyjnej.
Grupę charakteryzuje domena, w których ta grupa jest utworzona, oraz zakres. Zakres grupy określa:
-
domenę, z której można dodawać elementy członkowskie;
-
domenę, której dotyczą prawa i uprawnienia przypisane grupie.
Domenę lub jednostkę organizacyjną, w której ma zostać utworzona grupa, należy wybrać zgodnie z wymaganiami administracyjnymi grupy. Na przykład, jeśli katalog zawiera wiele jednostek organizacyjnych, z których każda ma innego administratora, należy utworzyć w nich grupy o zakresie globalnym, tak aby administratorzy mogli zarządzać członkostwami grup użytkowników w poszczególnych jednostkach organizacyjnych. Jeśli grupy są wymagane do kontrolowania dostępu poza jednostką organizacyjną, grupy zawarte w jednostce organizacyjnej można zagnieździć w grupach o zakresie uniwersalnym (lub w innych grupach o zakresie globalnym), których można użyć w innym miejscu w lesie.
Jeśli poziomem funkcjonalności domeny jest poziom systemu Windows 2000 macierzystego lub wyższy, domena zawiera hierarchię jednostek organizacyjnych, a administracja jest oddelegowana do administratorów poszczególnych jednostek, zagnieżdżenie grup o zakresie globalnym może być bardziej wydajnym rozwiązaniem. Na przykład, jeśli jednostka organizacyjna JO1 zawiera jednostki organizacyjne JO2 i JO3, grupa o zakresie globalnym w jednostce organizacyjnej JO1 może zawierać jako elementy członkowskie grupy o zakresie globalnym z jednostek organizacyjnych JO2 i JO3. W jednostce organizacyjnej JO1 administrator może dodawać lub usuwać elementy członkowskie grup z jednostki organizacyjnej JO1, a administratorzy jednostek JO2 i JO3 mogą dodawać lub usuwać elementy członkowskie grup z ich własnych jednostek organizacyjnych, nie mając uprawnień administracyjnych do grupy o zakresie globalnym w jednostce organizacyjnej JO1.
Uwaga | |
Grupy można przenosić wewnątrz domeny. Między domenami można przenosić jednak tylko grupy o zakresie uniwersalnym. Prawa i uprawnienia przypisane grupie o zakresie uniwersalnym zostaną utracone po przeniesieniu tej grupy do innej domeny. Konieczne jest wtedy przypisanie nowych praw i uprawnień. |