Группа состоит из учетных записей пользователей и компьютеров, контактов и других групп и может управляться как единое целое. Пользователи и компьютеры, входящие в определенную группу, называются членами группы.
Группы в доменных службах Active Directory (AD DS) - это объекты-каталоги, которые находятся в домене и в объектах-контейнерах подразделений. AD DS формируют набор групп по умолчанию при установке. Они позволяют также создавать новые группы.
Группы в AD DS можно использовать в следующих целях.
-
Упрощение администрирования путем назначения разрешений на ресурсе общего доступа группе, а не отдельным пользователям. При назначении разрешений группе всем ее членам назначается тот же доступ к ресурсу.
-
Делегирование управления путем назначения прав пользователя группе с помощью групповой политики. В дальнейшем можно добавлять в группу новых членов; они получат те же права, что и группа.
-
Создание списков рассылки электронной почты.
Группы характеризуются областью действия и типом. Область действия группы определяет пределы применения группы внутри домена или леса. Тип группы определяет возможность использования группы для назначения разрешений с ресурса общего доступа (для групп безопасности) или только для списков рассылки электронной почты (для групп рассылки).
Есть также группы, членство в которых нельзя изменять или просматривать. Эти группы называют специальными. Они в зависимости от обстоятельств представляют разных пользователей в различное время. Например, группа «Все» - это специальная группа, которая представляет всех текущих сетевых пользователей, включая гостей и пользователей из других доменов.
В следующих разделах приведены дополнительные сведения об учетных записях групп в доменных службах Active Directory.
Общее представление о группах по умолчанию
Группы по умолчанию, например группа «Администраторы домена», являются группами безопасности, которые автоматически создаются при создании домена Active Directory. Эти предопределенные группы можно использовать для контроля доступа к общим ресурсам и делегирования отдельных административных ролей на уровне домена.
Многим группам по умолчанию автоматически назначается набор прав пользователя, который разрешает членам группы выполнять в домене определенные действия, например, входить в локальную систему или выполнять архивацию файлов и папок. Например, член группы «Операторы архива» имеет право выполнять операции архивирования для всех контроллеров в домене.
При добавлении в группу пользователь получает следующие права:
-
все права пользователя, которые назначены данной группе;
-
все разрешения, которые назначены данной группе на любых общих ресурсах.
Группы по умолчанию находятся в контейнерах «Builtin» и «Users». Группы по умолчанию в контейнере «Builtin» имеют область действия «Встроенная локальная». Их область действия и тип невозможно изменить. В контейнере «Users» содержатся группы, для которых определена глобальная область действия, и группы, для которых определена область действия в локальном домене. Находящиеся в этих контейнерах группы можно перемещать в другие группы или подразделения внутри домена, но в другие домены их перемещать нельзя.
Дополнительные сведения см. в статье «Группы по умолчанию» (страница может быть на английском языке) (
Общее представление об области действия групп
Группы характеризуются областью действия, которая определяет пределы применения группы в домене или лесу. Существует три области действия групп: локальная домена, глобальная и универсальная.
Общее представление о локальных группах домена
Членами локальных групп домена могут быть другие группы и учетные записи из доменов Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 и Windows Server 2008 R2. Членам этих групп разрешения могут назначаться только внутри домена.
Локальные группы домена помогают управлять доступом к ресурсам в пределах одного домена. Членами этих групп могут быть:
-
группы с глобальной областью действия;
-
группы с универсальной областью действия;
-
учетные записи;
-
другие локальные группы домена;
-
любые сочетания предыдущих пунктов.
Например, чтобы предоставить пяти пользователям доступ к конкретному принтеру, можно добавить в список разрешений принтера пять учетных записей пользователей. Однако если в дальнейшем этим пяти пользователям потребуется предоставить доступ к новому принтеру, придется снова указать все пять учетных записей в списке разрешений для нового принтера.
С помощью несложного планирования можно упростить эту повседневную задачу администрирования, создав группу с локальной в домене областью действия и назначив ей разрешение доступа к принтеру. Поместите пять учетных записей пользователей в группу с глобальной областью действия и добавьте ее в группу с локальной в домене областью действия. Когда потребуется предоставить этим пяти пользователям доступ к новому принтеру, назначьте группе с локальной в домене областью действия разрешение на доступ к новому принтеру. Все члены этой группы с глобальной областью действия автоматически получат доступ к новому принтеру.
Общее представление о глобальных группах
Членами глобальных групп могут быть другие группы и учетные записи только из того домена, в котором определена группа. Членам этих групп разрешения могут назначаться в любом домене леса.
Используйте глобальные группы для управления объектами службы каталогов, которые требуют ежедневного обслуживания; например учетными записями пользователей и компьютеров. Так как группы с глобальной областью действия не реплицируются вне их домена, учетные записи в таких группах можно часто изменять, не создавая трафика репликаций в глобальном каталоге.
Хотя права и разрешения действительны только внутри домена, в котором они назначены, единообразное применение глобальных групп в соответствующих доменах позволяет консолидировать ссылки на учетные записи со схожими задачами. Это упрощает и рационализирует управление группами в разных доменах. Например, если в сети с двумя доменами, Europe и UnitedStates, в домене UnitedStates есть глобальная группа GLAccounting, то группа с таким же именем должна быть и в домене Europe (если в домене «Европа» существует функция учета).
Важно! | |
Настоятельно рекомендуется использовать глобальные группы или универсальные группы вместо локальных групп домена при задании разрешений объектов каталогов домена, которые реплицируются в глобальный каталог. |
Общее представление об универсальных группах
Членами универсальных групп могут быть другие группы и учетные записи из любого домена дерева доменов или леса. Членам этих групп разрешения могут назначаться в любом домене дерева доменов или леса.
Используйте группы с универсальной областью действия для консолидации групп, которые охватывают домены. Для этого добавляйте учетные записи в группы с глобальной областью действия и вкладывайте эти группы в универсальные группы. При использовании этой стратегии какие-либо изменения членства в глобальных группах не влияют на универсальные группы.
Например, в сети с двумя доменами, Europe и UnitedStates, и глобальной группой UAccounting в каждом домене создайте универсальную группу UAccounting, членами которой являются две группы GLAccounting: UnitedStates\GLAccounting и Europe\GLAccounting. Затем группу UAccounting можно использовать по всему предприятию. Изменения членства отдельных групп GLAccounting не приведут к репликации группы UAccounting.
Не изменяйте членство в универсальной группе часто. Любые изменения членства в группе данного типа приведут к репликации всего членства этой группы в каждый глобальный каталог в лесу.
Общее представление о типах групп
В доменных службах Active Directory существует два типа групп: группы рассылки и группы безопасности. Группы рассылки можно использовать для создания списков рассылки электронной почты, а группы безопасности - для назначения разрешений доступа к общим ресурсам.
Группы рассылки можно использовать только с программами электронной почты (например, Microsoft Exchange Server 2007) для отправки электронной почты наборам пользователей. Безопасность в группах рассылки отключена, поэтому они не присутствуют в списках управления доступом на уровне пользователей (DACL). Если требуется группа для управления доступом к общим ресурсам, создайте группу безопасности.
При продуманном применении группы безопасности позволяют эффективно назначать доступ к ресурсам сети. С помощью групп безопасности можно выполнять следующие действия.
-
Назначать права пользователя группам безопасности в доменных службах Active Directory.
Права пользователя назначаются группе безопасности, чтобы определить, что члены этой группы могут делать в пределах домена (или леса). Права пользователя автоматически назначаются некоторым группам безопасности при установке доменных служб Active Directory, чтобы помочь администраторам определить административную роль человека в домене. Например, пользователь, который был добавлен в группу «Операторы архива», может архивировать и восстанавливать файлы и каталоги на каждом контроллере домена в домене.
-
Назначать группам безопасности разрешения на доступ к ресурсам.
Разрешения отличаются от прав пользователя. Разрешения определяют, кто имеет доступ к общему ресурсу, а также уровень доступа, например полный доступ. Группы безопасности можно использовать для управления доступом и разрешениями для общего ресурса. Некоторые разрешения, которые задаются для объектов домена, автоматически предоставляют различные уровни доступа группам безопасности по умолчанию, например группе «Операторы учета» или «Администраторы домена».
Группы безопасности можно использовать и для работы с электронной почтой, как группы рассылки. При отправке сообщения электронной почты группе оно отправляется всем членам этой группы.
Специальные группы
Помимо групп в контейнерах «Встроенные» и «Пользователи» серверы, работающие под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, включают несколько специальных удостоверений. Для удобства эти удостоверения называют группами. Эти специальные группы не имеют определенного членства, которое можно изменить. Однако в зависимости от обстоятельств они могут представлять разных пользователей в различное время. Следующие группы являются специальными.
-
Анонимный вход
Эта группа представляет пользователей и службы, осуществляющие доступ к компьютеру и его ресурсам по сети без использования имени учетной записи, пароля и имени домена. На компьютерах, работающих под управлением Windows NT и предшествующих версий операционной системы Windows, группа «Анонимный вход» по умолчанию является членом группы «Все». На компьютерах, работающих под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003, группа «Анонимный вход» не является по умолчанию членом группы «Все».
-
Все
Эта группа представляет всех текущих сетевых пользователей, включая гостей и пользователей из других доменов. При каждом входе в сеть пользователя он автоматически добавляется в группу «Все».
-
Сеть
Эта группа представляет пользователей, которые в данный момент имеют доступ по сети к данному ресурсу, в отличие от пользователей, которые имеют доступ к ресурсу, поскольку вошли локально на компьютер, на котором находится ресурс. Когда пользователь получает доступ по сети к данному ресурсу, он автоматически добавляется в группу «Сеть».
-
Интерактивные
Эта группа представляет всех пользователей, которые к данному моменту вошли на определенный компьютер и получили доступ к находящемуся на нем ресурсу, в отличие от пользователей, которые получили доступ к ресурсу по сети. Когда пользователь получает доступ к ресурсу на компьютере, в системе которого он находится в данный момент, он автоматически добавляется в группу «Интерактивные».
Хотя специальным группам могут назначаться права и разрешения для доступа к ресурсам, членство в этих группах нельзя изменить или просмотреть. К специальным группам не применяются области действия групп. Пользователи назначаются этим специальным группам автоматически, когда входят на конкретный ресурс или получают к нему доступ.
Где создаются группы?
В доменных службах Active Directory группы создаются в доменах. Для создания групп используется оснастка «Active Directory - пользователи и компьютеры». При наличии необходимых разрешений можно создавать группы в корневом домене леса, любом другом домене в лесу или в подразделении.
Помимо домена, в котором создана группа, она также характеризуется областью действия. Область действия группы определяет следующее:
-
домен, из которого можно добавлять членов;
-
домен, в котором действительны назначенные группе права и разрешения.
Выбирайте конкретный домен или подразделение для создания группы в зависимости от администрирования, которое для нее требуется. Например, если в каталоге несколько подразделений, у каждого из которых свой администратор, можно создать в этих подразделениях глобальные группы, чтобы администраторы могли управлять членством в группах каждый в своем подразделении. Если группы требуются для контроля доступа вне подразделения, можно вложить группы в подразделении в универсальные группы (или другие глобальные группы), которые можно использовать в любом другом месте леса.
Если для домена установлен на основной режим работы Windows 2000 или выше, домен содержит иерархию подразделений и администрирование делегируется администраторам в каждом подразделении, то вложение в глобальные группы может быть эффективнее. Например, если подразделение 1 содержит подразделение 2 и подразделение 3, глобальная группа в подразделении 1 может иметь в качестве членов глобальные группы в подразделениях 2 и 3. В подразделении 1 администратор может добавлять или удалять группы из подразделения 1, а администраторы подразделений 2 и 3 могут добавлять или удалять членов групп из собственных подразделений, не имея административных прав в отношении глобальной группы в подразделении 1.
Примечание | |
Группы можно перемещать внутри домена. Однако только группы с универсальной областью действия можно перемещать из одного домена в другой. Права и разрешения, назначенные универсальной группе, теряются при перемещении группы в другой домен, и нужно выполнять новые назначения. |