Основы работы в сети: Часть 14 — Группы безопасности

Published on Февраль 18, 2009 by   ·   Комментариев нет

В предыдущей статье я показал вам, как создавать группы безопасности в операционной системе Windows Server 2003. Когда я показывал вам сам процесс создания, то вы могли обратить внимание, что операционная система Windows позволяет вам создавать всего лишь несколько различных типов групп безопасности, как изображено на рисунке A. Как вы могли догадаться, у каждого из этих типов групп есть свое особое назначение. В этой статье я объясню вам, для чего используется каждый из этих типов групп.

Локальная группа размеры

Рисунок A: Windows позволяет вам создавать несколько различных типов групп

Если вы посмотрите на диалоговое окно, изображенное выше, то вы увидите, что в разделе Область действия группы (Group Scope) у вас есть возможность выбора для создания локальной для домена (domain local), глобальной (global) или универсальной (universal) группы. Существует также четвертый тип групп, которые не показан здесь, и который называется просто локальной группой (local group).

Локальные группы (Local Groups)

Локальные группы – это особые групп на каждом компьютере. Как вы теперь знаете, локальные компьютеры могут содержать учетные записи пользователей, которые полностью отличаются от учетных записей, которые принадлежат домену, к которому подключен компьютер. Эти учетные записи называются локальными учетными записями (local user account), и они доступы лишь на том компьютере, на котором они размещаются. Кроме того, локальные учетные записи пользователей могут существовать лишь на рабочих станциях и на особых серверах (member server). Контроллеры домена не допускают существование локальных учетных записей пользователей.

Если вы все это понимаете, то для вас не должно быть сюрпризом то, что локальные группы – это группы, относящиеся к определенным рабочим станциям. Локальная группа часто используется для управления локальными учетными записями пользователей. Например, группа локальных администраторов позволяет вам указать, какие пользователи могут быть администраторами на локальном компьютере.

Хотя локальная группа может использоваться для обеспечения безопасности для ресурсов, располагающихся на локальном компьютере, это не значит, что членство в этой. Хотя локальная группа может и обычно содержит лишь локальные учетные записи пользователей, она также может содержать доменных пользователей. Более того, локальные группы могут также содержать другие группы, которые располагаются на уровне домена (domain level). Например, вы можете создать универсальную группу членом локальной группы, в результате чего члены универсальной группы станут членами локальной группы. В действительности, локальная группа может содержать локальных пользователей, доменных пользователей, глобальные группы и универсальные группы.

Существует два подводных камня, о которых вам необходимо знать. Во-первых, как вы могли заметить, локальная группа не может содержать другую локальную группу. Может показаться, что вы можете поместить одну группу в другую, но вы не можете этого сделать. Один человек и Microsoft однажды рассказал мне причину, по которой этого нельзя делать. Это сделано для того, чтобы предотвратить ситуацию, когда две локальные группы становятся членами друг друга.

Другой подводный камень, о котором вы должны знать, заключается в том, что локальные группы могут содержать доменных пользователей и группы уровня домена лишь в том случае, если компьютер, на котором располагается локальная группа, является членом домена. Во всех остальных случаях, локальная группа может содержать лишь локальных пользователей.

Локальные доменные группы (Domain Local Group)

После того, как вы только что узнали о локальных группах, идея локальных доменных групп покажется вам полностью противоположной. Причина, по которой существуют локальные доменные группы, заключается в том, что контроллеры домена не содержат базу данных локальных учетных записей. Это значит, что на контроллерах домена не существует таких понятий, как локальные пользователи и локальные группы. Но даже несмотря на это контроллеры домена (domain controller) обладают ресурсами, которыми также необходимо управлять. Именно для этих целей и используются локальные доменные группы.

Когда вы устанавливаете операционную систему Windows Server 2003 на компьютер, компьютер начинает свою жизнь в качестве отдельно стоящего сервера. В любом случае в процессе установки создаются локальные учетные записи пользователей и локальные группы. Теперь предположим, что вы хотите сделать ваш компьютер контроллером домена (domain controller). Когда вы запустите DCPROMO, локальные группы и локальные учетные записи пользователей превратятся в локальные доменные группы и доменные учетные записи пользователей.

Очень важно помнить о том, что все контроллеры домена внутри домена используют одну и ту же общую базу данных учетных записей пользователей. Это значит, что если вы добавите пользователя в локальную доменную группу на одном контроллере домена (domain controller), то пользователь будет членом этой локальной доменной группы на всех контроллерах домена во всем домене. Самая важная вещь, которую необходимо помнить относительно локальных доменных групп, заключается в том, что существует два различных типа. Как я упоминал, когда выполняется DCPROMO, локальные группы преобразуются в локальные доменные группы. Любая локальная доменная группа, которая создаются с помощью запуска DCPROMO помещается в папку Builtin в консоли Active Directory Users and Computers console, как показано на рисунке B .

Локальная группа общества

Рисунок B: Локальные доменные группы, созданные DCPROMO, находятся в контейнер Builtin

Причина, по которой это важно знать, заключается в том, что на эти локальные домене группы налагаются некие ограничения. Эти групп нельзя переместить или удалить. Более того, вы не сможете сделать эти группы членами других локальных доменных групп.

Однако такие ограничения не применяются для локальных доменных групп, которые создаете вы. Локальные доменные группы, которые создаете вы, обычно начинают свою жизнь в контейнере Users (пользователи). Оттуда вы можете переместить или удалить их по своему усмотрению.

Я хочу быть абсолютно честным, и скажу вам, что за те годы, что я работал с операционной системой Windows Server, я не нашел ни одного аргумента для создания локальных доменных групп. В действительности локальные доменные группы идентичны глобальным группам, за тем лишь исключением, что они ограничены определенным доменом.

Глобальные группы (Global Group)

Глобальные группы в настоящее время наиболее часто используемый тип групп. В большинстве случаев глобальная группа – это просто набор учетных записей пользователей Active Directory. Интересная вещь относительно глобальной группы заключается в том, что их можно помещать друг в друга. Вы можете сделать одну глобальную группу членом другой глобальной группы, если обе глобальные группы существуют внутри одного домена.

Помните, что глобальные группы могут содержать лишь ресурсы Active Directory. Вы не можете поместить локальную учетную запись пользователя или локальную группу в глобальную группу. Однако, вы можете добавить глобальную группу в локальную группу. В действительности именно так чаще всего предоставляют доступ пользователям домена к ресурсам, хранящимся на локальном компьютере. Например, предположим, что вы хотите дать менеджерам в вашей компании права на рабочей станции (это всего лишь пример). Для этого вы можете создать глобальную группу под названием Managers, и поместить в нее каждую доменную учетную запись менеджера. Затем вы можете добавить группу Managers в группу локальных администраторов на рабочей машине, в результате чего менеджеры станут администраторами на этих рабочих станциях.

Заключение

В этой статье я рассказал вам о том, что операционная система Windows поддерживает использование четырех различных типов групп безопасности. Также я объяснил различия между локальными, локальными для домена и глобальными группами. В следующей статье из этого цикла я продолжу обсуждение и расскажу об универсальных группах. Затем я расскажу о концепции размещения групп

www.windowsnetworking.com


Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]