В предыдущей статье я показал вам, как создавать группы безопасности в операционной системе Windows Server 2003. Когда я показывал вам сам процесс создания, то вы могли обратить внимание, что операционная система Windows позволяет вам создавать всего лишь несколько различных типов групп безопасности, как изображено на рисунке A. Как вы могли догадаться, у каждого из этих типов групп есть свое особое назначение. В этой статье я объясню вам, для чего используется каждый из этих типов групп.
Рисунок A: Windows позволяет вам создавать несколько различных типов групп
Если вы посмотрите на диалоговое окно, изображенное выше, то вы увидите, что в разделе Область действия группы (Group Scope) у вас есть возможность выбора для создания локальной для домена (domain local), глобальной (global) или универсальной (universal) группы. Существует также четвертый тип групп, которые не показан здесь, и который называется просто локальной группой (local group).
Локальные группы – это особые групп на каждом компьютере. Как вы теперь знаете, локальные компьютеры могут содержать учетные записи пользователей, которые полностью отличаются от учетных записей, которые принадлежат домену, к которому подключен компьютер. Эти учетные записи называются локальными учетными записями (local user account), и они доступы лишь на том компьютере, на котором они размещаются. Кроме того, локальные учетные записи пользователей могут существовать лишь на рабочих станциях и на особых серверах (member server). Контроллеры домена не допускают существование локальных учетных записей пользователей.
Если вы все это понимаете, то для вас не должно быть сюрпризом то, что локальные группы – это группы, относящиеся к определенным рабочим станциям. Локальная группа часто используется для управления локальными учетными записями пользователей. Например, группа локальных администраторов позволяет вам указать, какие пользователи могут быть администраторами на локальном компьютере.
Хотя локальная группа может использоваться для обеспечения безопасности для ресурсов, располагающихся на локальном компьютере, это не значит, что членство в этой. Хотя локальная группа может и обычно содержит лишь локальные учетные записи пользователей, она также может содержать доменных пользователей. Более того, локальные группы могут также содержать другие группы, которые располагаются на уровне домена (domain level). Например, вы можете создать универсальную группу членом локальной группы, в результате чего члены универсальной группы станут членами локальной группы. В действительности, локальная группа может содержать локальных пользователей, доменных пользователей, глобальные группы и универсальные группы.
Существует два подводных камня, о которых вам необходимо знать. Во-первых, как вы могли заметить, локальная группа не может содержать другую локальную группу. Может показаться, что вы можете поместить одну группу в другую, но вы не можете этого сделать. Один человек и Microsoft однажды рассказал мне причину, по которой этого нельзя делать. Это сделано для того, чтобы предотвратить ситуацию, когда две локальные группы становятся членами друг друга.
Другой подводный камень, о котором вы должны знать, заключается в том, что локальные группы могут содержать доменных пользователей и группы уровня домена лишь в том случае, если компьютер, на котором располагается локальная группа, является членом домена. Во всех остальных случаях, локальная группа может содержать лишь локальных пользователей.
После того, как вы только что узнали о локальных группах, идея локальных доменных групп покажется вам полностью противоположной. Причина, по которой существуют локальные доменные группы, заключается в том, что контроллеры домена не содержат базу данных локальных учетных записей. Это значит, что на контроллерах домена не существует таких понятий, как локальные пользователи и локальные группы. Но даже несмотря на это контроллеры домена (domain controller) обладают ресурсами, которыми также необходимо управлять. Именно для этих целей и используются локальные доменные группы.
Когда вы устанавливаете операционную систему Windows Server 2003 на компьютер, компьютер начинает свою жизнь в качестве отдельно стоящего сервера. В любом случае в процессе установки создаются локальные учетные записи пользователей и локальные группы. Теперь предположим, что вы хотите сделать ваш компьютер контроллером домена (domain controller). Когда вы запустите DCPROMO, локальные группы и локальные учетные записи пользователей превратятся в локальные доменные группы и доменные учетные записи пользователей.
Очень важно помнить о том, что все контроллеры домена внутри домена используют одну и ту же общую базу данных учетных записей пользователей. Это значит, что если вы добавите пользователя в локальную доменную группу на одном контроллере домена (domain controller), то пользователь будет членом этой локальной доменной группы на всех контроллерах домена во всем домене. Самая важная вещь, которую необходимо помнить относительно локальных доменных групп, заключается в том, что существует два различных типа. Как я упоминал, когда выполняется DCPROMO, локальные группы преобразуются в локальные доменные группы. Любая локальная доменная группа, которая создаются с помощью запуска DCPROMO помещается в папку Builtin в консоли Active Directory Users and Computers console, как показано на рисунке B .
Рисунок B: Локальные доменные группы, созданные DCPROMO, находятся в контейнер Builtin
Причина, по которой это важно знать, заключается в том, что на эти локальные домене группы налагаются некие ограничения. Эти групп нельзя переместить или удалить. Более того, вы не сможете сделать эти группы членами других локальных доменных групп.
Однако такие ограничения не применяются для локальных доменных групп, которые создаете вы. Локальные доменные группы, которые создаете вы, обычно начинают свою жизнь в контейнере Users (пользователи). Оттуда вы можете переместить или удалить их по своему усмотрению.
Я хочу быть абсолютно честным, и скажу вам, что за те годы, что я работал с операционной системой Windows Server, я не нашел ни одного аргумента для создания локальных доменных групп. В действительности локальные доменные группы идентичны глобальным группам, за тем лишь исключением, что они ограничены определенным доменом.
Глобальные группы в настоящее время наиболее часто используемый тип групп. В большинстве случаев глобальная группа – это просто набор учетных записей пользователей Active Directory. Интересная вещь относительно глобальной группы заключается в том, что их можно помещать друг в друга. Вы можете сделать одну глобальную группу членом другой глобальной группы, если обе глобальные группы существуют внутри одного домена.
Помните, что глобальные группы могут содержать лишь ресурсы Active Directory. Вы не можете поместить локальную учетную запись пользователя или локальную группу в глобальную группу. Однако, вы можете добавить глобальную группу в локальную группу. В действительности именно так чаще всего предоставляют доступ пользователям домена к ресурсам, хранящимся на локальном компьютере. Например, предположим, что вы хотите дать менеджерам в вашей компании права на рабочей станции (это всего лишь пример). Для этого вы можете создать глобальную группу под названием Managers, и поместить в нее каждую доменную учетную запись менеджера. Затем вы можете добавить группу Managers в группу локальных администраторов на рабочей машине, в результате чего менеджеры станут администраторами на этих рабочих станциях.
В этой статье я рассказал вам о том, что операционная система Windows поддерживает использование четырех различных типов групп безопасности. Также я объяснил различия между локальными, локальными для домена и глобальными группами. В следующей статье из этого цикла я продолжу обсуждение и расскажу об универсальных группах. Затем я расскажу о концепции размещения групп
www.windowsnetworking.com
Tags: domain