En grupp är en uppsättning med användar- och datorkonton, kontakter och andra grupper som kan hanteras som en enhet. Användare och datorer som hör till en viss grupp kallas för gruppmedlemmar.

Grupper i Active Directory Domain Services (AD DS) är katalogobjekt som finns i en domän och i organisationsenhetsbehållare. Vid installationen av AD DS skapas en uppsättning standardgrupper. Du har också möjlighet att skapa grupper.

I AD DS kan du använda grupper för att:

  • Förenkla administrationen genom att tilldela behörigheter för delade resurser till en grupp, i stället för till individuella användare. När du tilldelar behörigheter till en grupp får alla medlemmar av gruppen samma åtkomst till resursen.

  • Delegera administration genom att ge en grupp användarrättigheter med hjälp av Grupprincip. Därefter kan du lägga till de användare som du vill ska ha de rättigheterna som medlemmar av gruppen.

  • Skapa listor för e-postdistribution.

En grupp kännetecknas av sitt definitionsområde och sin typ. En grupps definitionsområde avgör en grupps räckvidd i en domän eller en skog. Grupptypen avgör om du kan använda gruppen för att tilldela behörigheter för delade resurser (för säkerhetsgrupper) eller om du bara kan använda den som en e-postdistributionlista (distributionsgrupp).

Det finns också grupper vars medlemskap du inte kan visa eller förändra. Sådana grupper kallas för särskilda identiteter. De representerar olika användare vid olika tillfällen, beroende på omständigheterna. Gruppen Alla är en särskild identitet som representerar alla nätverksanvändare, inklusive gäster och användare från andra domäner.

Föjande avsnitt innehåller information om gruppkonton i AD DS.

Så här fungerar standardgrupper

Standardgrupper, som till exempel gruppen Domänadministratörer, är säkerhetsgrupper som skapas automatiskt när du skapar en Active Directory-domän. Med hjälp av sådana fördefinierade grupper kan du styra åtkomsten till delade resurser samt delegera särskilda domänomfattande administrativa roller.

Många standardgrupper tilldelas automatiskt en uppsättning användarrättigheter som auktoriserar medlemmar av gruppen att utföra vissa åtgärder i domänen, som att logga in i ett lokalt system eller att säkerhetskopiera filer och mappar. En medlem av gruppen Ansvariga för säkerhetskopiering har till exempel rätt att utföra säkerhetskopieringsåtgärder för alla domänkontrollanter i domänen.

När du lägger till en användare i en grupp får användaren följande:

  • Alla användarrättigheter som har tilldelats gruppen

  • Alla behörigheter som har tilldelats gruppen för alla delade resurser

Standardgrupper finns i behållarna Fördefinierad och Användare. Definitionsområdet för standardgrupperna i behållaren Fördefinierad är Fördefinierat lokalt. Deras gruppdefinitionsområden och grupptyper kan inte ändras. Behållaren Användare innehåller grupper som definieras med ett globalt definitionsområde och grupper som definieras med ett domänlokalt definitionsområde. Du kan flytta grupper från de här behållarna till andra grupper eller organisationsenheter inom en domän, men inte till andra domäner.

Mer information om standardgrupper finns i https://go.microsoft.com/fwlink/?LinkId=131422 (sidan kan vara på engelska).

Så här fungerar gruppdefinitionsområden

Grupper kännetecknas av ett definitionsområde som avgör gruppens räckvidd i ett domänträd eller en skog. Det finns tre gruppdefinitionsområden: domänlokalt, globalt och universellt.

Så här fungerar domänlokala grupper

Medlemmar i domänlokala grupper kan omfatta andra grupper och konton från Windows Server 2003-, Windows 2000-, Windows NT-, Windows Server 2008- och Windows Server 2008 R2-domäner. Medlemmar i de här grupperna kan bara tilldelas behörigheter inom en domän.

Med hjälp av grupper med domänlokalt definitionsområde kan du definiera och hantera åtkomst till resurser inom en enstaka domän. Sådana grupper kan ha följande medlemmar:

  • Grupper med globalt definitionsområde

  • Grupper med universellt definitionsområde

  • Konton

  • Andra grupper med domänlokalt definitionsområde

  • En blandning av ovanstående

Om du till exempel vill ge fem användare tillgång till en viss skrivare, kan du lägga till de fem användarkontona i skrivarens behörighetslista. Om du vid ett senare tillfälle vill ge de fem användarna tillgång till en ny skrivare, måste du på nytt ange de fem kontona i behörighetslistan för den nya skrivaren.

Med lite planering kan du förenkla den här rutinåtgärden genom att skapa en grupp med domänlokalt definitionsområde och tilldela den behörighet att få tillgång till skrivaren. Placera de fem användarkontona i en grupp med globalt definitionsområde och lägg till den gruppen i gruppen med domänlokalt definitionsområde. När du vill ge de fem användarna tillgång till en ny skrivare, tilldelar du gruppen med domänlokalt definitionsområde behörighet att få tillgång till den nya skrivaren. Alla medlemmar av gruppen med globalt definitionsområde får automatiskt tillgång till den nya skrivaren.

Så här fungerar globala grupper

Medlemmar i globala grupper kan bara omfatta andra grupper och konton från den domän som gruppen är definierad i. Medlemmar i sådana här grupper kan tilldelas behörigheter inom valfri domän i en skog.

Med hjälp av grupper med globalt definitionsområde kan du hantera katalogobjekt som kräver daglig administration, som användar- och datorkonton. Eftersom grupper med globalt definitionsområde inte replikeras utanför sin egen domän, kan du ändra kontona i en grupp med globalt definitionsområde ofta, utan att generera någon replikeringstrafik till den globala katalogen.

Även om tilldelade rättigheter och behörigheter bara gäller inom den domän de tilldelats i, kan du konsolidera referenser till konton med likartade syften genom att använda grupper med global definitionsområde på samma sätt i passande domäner. Det förenklar och rationaliserar grupphanteringen över domänerna. Om det till exempel, i ett nätverk med de två domänerna Europa och USA, finns en grupp med globalt definitionsområde med namnet GLRedovisning i domänen USA, bör det även finnas en grupp i domänen Europa med namnet GLRedovisning (om det finns någon redovisningsfunktion i domänen Europa).

Viktigt!

Vi rekommenderar att du använder globala grupper eller universella grupper i stället för domänlokala grupper när du anger behörigheter för domänkatalogobjekt som replikeras till den globala katalogen.

Så här fungerar universella grupper

Medlemmar i universella grupper kan omfatta andra grupper och konton från valfri domän i domänträdet eller skogen. Medlemmar i sådana här grupper kan tilldelas behörigheter inom valfri domän i ett domänträd eller i en skog.

Använd grupper med universellt definitionsområde för att konsolidera grupper som sträcker sig över domäner. Det kan du göra genom att lägga till kontona i grupper med globalt definitionsområde och sedan kapsla in de grupperna i grupper med universellt definitionsområde. Med den här strategin påverkar inte medlemsändringar i grupper med globalt definitionsområde grupperna med universellt definitionsområde.

I ett nätverk med domänerna Europa och USA och de globala grupperna GLRedovisning i båda domänerna, kan du till exempel skapa en grupp med universellt definitionsområde med namnet URedovisning, med de två GLRedovisning-grupperna som medlemmar – USA\GLRedovisning och Europa\GLRedovisning. Därefter kan du använda gruppen URedovisning var som helst i företaget. Medlemsändringar i de individuella GLRedovisning-grupperna kommer inte orsaka replikering av gruppen URedovisning.

Ändra inte medlemskap i grupper med universellt definitionsområde särskilt ofta. Ändringar i medlemskapet i grupper av den här typen innebär att gruppens hela medlemskap replikeras till alla globala kataloger i skogen.

Så här fungerar grupptyper

Det finns två typer av grupper i AD DS: distributionsgrupper och säkerhetsgrupper. Använd distributionsgrupper för att skapa e-postdistributionslistor och säkerhetsgrupper när du vill tilldela behörigheter för delade resurser.

Distributionsgrupper kan du bara använda när du vill skicka e-post till uppsättningar av användare med e-postprogram (som Microsoft Exchange Server 2007). Distributionsgrupper har ingen säkerhetsstatus, vilket innebär att de inte kan ingå i listor för godtycklig behörighet (DACL:er). Om du behöver en grupp för att styra tillgången till delade resurser skapar du i stället en säkerhetsgrupp.

Använda med försiktighet är säkerhetsgrupper ett effektivt sätt att tilldela tillgång till resurser i nätverket. Genom att använda säkerhetsgrupper kan du:

  • Tilldela användarrättigheter till säkerhetsgrupper i AD DS.

    Användarrättigheter tilldelas till en säkerhetsgrupp för att avgöra vad medlemmarna i den gruppen kan göra inom en domäns (eller en skogs) definitionsområde. Användarrättigheter tilldelas automatiskt till en del säkerhetsgrupper när AD DS installeras för att hjälpa administratörer att definiera en persons administrativa roll i domänen. En användare som läggs till i gruppen Ansvariga för säkerhetskopiering i Active Directory har behörighet att säkerhetskopiera och återställa filer och kataloger på de olika domänkontrollanterna i domänen.

  • Tilldela behörigheter för resurser till säkerhetsgrupper.

    Behörigheter är inte samma sak som användarrättigheter. Behörigheter avgör vem som kan få tillgång till en delad resurs samt åtkomstnivån, som Full kontroll. Med hjälp av säkerhetsgrupper kan du hantera åtkomst och behörigheter för delade resurser. En del behörigheter som anges för domänobjekt tilldelas automatiskt för att tillåta olika åtkomstnivåer för standardsäkerhetsgrupper, som gruppen Kontoansvariga eller gruppen Domänadministratörer.

På samma vis som med distributionsgrupper kan du använda säkerhetsgrupper som e-postentiteter. Skickar du ett e-postmeddelande till en grupp, skickas meddelandet till alla medlemmar av gruppen.

Särskilda identiteter

Utöver grupperna i behållaren Användare och Fördefinierad innehåller servrar med Windows Server 2008 R2 eller Windows Server 2008 flera särskilda identiteter. Av praktiska skäl kallas de identiteterna oftast för grupper. De här speciella grupperna har inte specifika medlemskap som kan ändras. De representerar dock olika användare vid olika tillfällen, beroende på omständigheterna. Följande grupper representerar särskilda identiteter:

  • Anonym inloggning

    Den här gruppen representerar användare och tjänster som får åtkomst till en dator och dess resurser genom nätverket utan att använda något kontonamn, lösenord eller domännamn. I datorer med Windows NT och tidigare operativsystem är gruppen Anonym inloggning som standard en medlem av gruppen Alla. I datorer med Windows Server 2008 R2, Windows Server 2008 eller Windows Server 2003 är gruppen Anonym inloggning som standard inte medlem av gruppen Alla.

  • Alla

    Den här gruppen omfattar alla nätverksanvändare, inklusive gäster och användare från andra domäner. När en användare loggar in i nätverket, läggs användaren automatiskt till i gruppen Alla.

  • Nätverk

    Den här gruppen representerar användare som för tillfället har åtkomst till en resurs via nätverket, till skillnad från användare som får åtkomst till en resurs genom att logga in lokalt i den dator som resursen finns i. När en användare får åtkomst till en given resurs via nätverket, läggs användaren automatiskt till i gruppen Nätverk.

  • Interaktiv

    Den här gruppen representerar alla användare som för närvarande är inloggade på en viss dator och som har åtkomst till en given resurs som finns på den datorn, till skillnad från användare som har åtkomst till resursen via nätverket. När en användare fåt åtkomst till en given resurs på den dator som de för närvarande är inloggade på, läggs användaren automatiskt till i gruppen Interaktiv.

Även om de särskilda identiteterna kan tilldelas rättigheter och behörigheter för resurser, kan deras medlemskap inte ändras eller visas. Gruppdefinitionsområden gäller inte för särskilda identiteter. Användare tilldelas automatiskt till de här särskilda identiteterna när de loggar in eller får åtkomst till en viss resurs.

Faktorer som avgör var grupper kan skapas

I AD DS skapas grupper i domäner. Du kan skapa grupper med hjälp av Active Directory – användare och datorer. Med de nödvändiga behörigheterna kan du skapa grupper i skogens rotdomän, i valfri annan domän i skogen eller i en organisationsenhet.

Utöver i vilken domän den har skapats kännetecknas en grupp av sitt definitionsområde. En grupps definitionsområde avgör följande:

  • Vilken domän du kan lägga till medlemmar från

  • I vilken domän de rättigheter och behörigheter som tilldelats gruppen har effekt

Välj vilken domän eller organisationsenhet du skapar gruppen i baserat på den administration som krävs för gruppen. Om din katalog till exempel har flera organisationsenheter, med varsin administratör, kan du skapa grupper med globalt definitionsområde inom organisationsenheter, så att administratörer kan hantera sina användares gruppmedlemskap i sina respektive organisationsenheter. Om grupper krävs för åtkomststyrning utanför organisationsenheten, kan du kapsla in grupperna i organisationsenheten i grupper med universellt definitionsområde (eller andra grupper med globalt definitionsområde) som du kan använda på andra platser i skogen.

Om domänens funktionalitetsnivå är Windows 2000 enhetligt eller högre, och domänen innehåller en hierarki med organisationsenheter, och administrationen har delegerats till de olika organisationsenheternas administratörer, kan det vara effektivare att kapsla grupper med global definitionsområde. Om OE1 till exempel innehåller OE2 och OE3, kan en grupp med globalt definitionsområde i OE1 ha grupper med globalt definitionsområde från OE2 och OE3 som medlemmar. I OE1 kan administratören lägga till eller ta bort gruppmedlemmar från OE1, samtidigt som administratörerna av OE2 och OE3 kan lägga till eller ta bort gruppmedlemmar för konton från deras egna organisationsenheter utan att ha administrativa rättigheter för gruppen med globalt definitionsområde i OE1.

OBS

Grupper kan flyttas inom en domän. Endast grupper med universellt definitionsområde kan emellertid flyttas från en domän till en annan. De rättigheter och behörigheter som tilldelats en grupp med universellt definitionsområde försvinner när gruppen flyttas från en domän till en annan och måste tilldelas på nytt.

Ytterligare referenser


Innehåll