Monday, January 22nd, 2018

Основы работы с сетью: часть 13 – создание групп

Published on Февраль 18, 2009 by   ·   Комментариев нет

В предыдущей части этой серии я показывала вам, как использовать консоли пользователей и компьютеров Active Directory для создания и управления учетными записями. В этой статье я хочу продолжить обсуждение и рассказать вам о группах.

В окружении домена пользовательские учетные записи являются неотъемлемой частью. Учетная запись пользователя дает ему уникальную идентификацию в сети. Это означает, что можно отслеживать интерактивную деятельность пользователя. Можно также назначать уникальный набор разрешений для пользовательской учетной записи, назначать уникальный адрес электронной почты, а также удовлетворять прочие индивидуальные потребности пользователей.

Хотя ручная настройка пользовательской учетной записи для соответствия индивидуальным потребностям пользователя звучит как хорошая идея, она не очень практична во многих ситуациях. Настройка и управление учетными записями пользователей – это задача, требующая времени. Конечно, это не составит большого труда, если в вашей организации всего пара дюжин пользователей, но если в вашей организации тысячи пользователей, тогда процесс управления учтенными записями может быстро превратиться в непосильное бремя.

Мой совет, даже если вы работаете с очень маленькой сетью, вы должны относиться к ней так, словно это большая сеть. Причиной тому является то, что никогда не знаешь, когда сеть начнет расти. Использование хороших методик управления с самого начала поможет вам в будущем избежать кошмара логистики.

Мне доводилось видеть последствия неожиданного быстрого роста сети в реальности. Около пятнадцати лет назад я была нанята в качестве системного администратора в страховую компанию. В то время сеть была очень маленькой. В нее входила пара дюжин рабочих станций. Женщина, которая отвечала за сеть, до этого не имела никакого опыта в области ИТ, и была брошена волкам на съедение, скажем так. Не имея основ ИТ, и не зная ничего лучше, она настроила сеть так, что все параметры конфигурации имели индивидуальный характер, то есть для каждого пользователя отдельно.

В то время это не представляло большого труда. В организации было немного пользователей, поэтому было довольно просто управлять различными учетными записями и разрешениями. Но по прошествии года в сети компании было уже более сотни компьютеров, а к моменту, когда я оставила компанию пару лет назад, в компании уже было более тысячи человек, использующих сеть, которая была изначально создана для работы с парой дюжин пользователей.

Как вы можете себе представить, сеть пережила серьезные проблемы роста. Некоторые из этих проблем роста были связаны с производительностью оборудования, но большая их часть была связана с невозможностью эффективного управления таким количеством учетных записей пользователей. Со временем сеть превратилась в такой большой беспорядок, что все учетные записи пользователей пришлось удалить и воссоздавать по крупицам.

Очевидно, стремительный неожиданный рост может вызвать проблемы, но вы, возможно, думаете, с какой стати все должно прийти в такой беспорядок, что все учетные записи необходимо удалить, чтобы можно было начать все заново.

Как я уже говорила, все параметры конфигурации и безопасности настраивались для каждого пользователя отдельно. А это означало, что если менеджер отдела приходил ко мне с вопросом о том, кто из сотрудников имел доступ к определенным ресурсам сети, мне приходилось просматривать каждую учетную запись отдельно на предмет того, имеет ли данный пользователь доступ к сети или нет. Когда у вас есть пара дюжин пользователей, проверка каждой учетной записи на предмет доступа пользователей к определенным ресурсам сети может быть довольно скучной и утомительной (в то время проверка занимала около двадцати минут). Но когда вам нужно проверить каждую из более сотни учетных записей, это может занять целый день.

К счастью события, которые я только что описала, произошли более десяти лет назад. С учетом темпов роста ИТ индустрии, можно считать, что эти события произошли в доисторический период. В конце концов, сетевые ОС, которые использовались в то время, сегодня являются вымирающим видом. Но даже в этом случае, уроки, усвоенные тогда, очень полезны и по сей день.

Всех вышеперечисленных неприятностей можно было избежать, если бы использовались группы. Суть групп заключается в том, что группа может содержать несколько учетных записей. Поскольку параметры безопасности задаются на групповом уровне, вам никогда не придется назначать разрешения вручную непосредственно для каждой учетной записи. Вместо этого вы назначаете разрешение группе, а затем включаете пользователя в эту группу.

Я понимаю, что это может звучать довольно запутанно, поэтому я продемонстрирую эту методику для вас. Допустим, один из ваших файловых серверов содержит папку с названием Данные, и вам нужно разрешить пользователю доступ для чтения этой папки. Вместо того чтобы назначать разрешение непосредственно пользователю, давайте создадим группу.

Для этого открываем консоль пользователей и компьютеров Active Directory. Когда консоль открыта, правой клавишей жмем на каталоге Пользователи, и выбираем команды New | Group из появившегося меню. По мере выполнения этих действий у вас появится окно, как показано на рисунке A. Как минимум вы должны назначить имя этой группе. Для простоты управления давайте назовем группу Данные, так как группа будет использоваться для защиты папки Данные. На данный момент нет нужды беспокоиться о параметрах границы и типа групп. Я расскажу об это в следующей части этой серии.

4641

Рисунок A: Ввод имени создаваемой группы

Жмем OK, и группа Данные будет добавлена в список пользователей, как показано на рисунке B. Обратите внимание, что иконка группы имеет две головы, указывая на то, что это группа, в отличие от иконок с одной головой, указывающих на то, что это отдельные пользовательские учетные записи.

4740

Рисунок B: Группа Данные добавлена в список пользователей

Теперь дважды кликнем на группе Данные и увидим страницу свойств группы. Выбираем вкладку «Члены группы» на странице свойств и жмем кнопку Добавить. Теперь вы можете добавлять учетные записи пользователей в группу. Учетные записи, которые вы добавите, будут членами группы. Вкладка «Члены группы» показана на рисунке C.

4839

Рисунок C: Вкладка «Члены группы»

Теперь пришло время заставить группу работать. Для этого жмем правой клавишей на папке Данные, выбираем Свойства в контекстном меню. Когда вы это сделали, вы увидите окно свойств этой папки. Переходим по вкладке Безопасность и жмем кнопку Добавить. Когда появится подсказка, введите имя группы, которую вы только что создали (Данные) и нажмите OK. Теперь можно устанавливать свод разрешений для этой группы. Какие бы разрешения вы не применяли к группе, применяйте их и к членам группы. Как показано на рисунке D, есть и другие права, которые применяются к этой папке по умолчанию. Лучше всего удалить группу пользователей из списка контроля доступа во избежание случайных противоречий в разрешениях.

4939

Рисунок D: Группа Данные добавлена к списку контроля доступа к папке

Помните, как я говорила о том, сколько работы приходится выполнить при попытке выяснить, кто из пользователей имеет доступ к конкретному ресурсу? При использовании групп, это процесс становится очень простым. Если вам необходимо знать, какие пользователи имеют доступ к папке, просто посмотрите, какие группы имеют доступ к ней, как показано на рисунке D. Когда вы определили, какие группы имеют доступ к этой папке, определение того, кто имеет права на эту папку столь же просто, как и определение списка членов группы (как показано на рисунке C). Всякий раз, когда дополнительным пользователям нужен доступ к папке, просто добавляйте их имена в список членов группы. Таким же образом вы можете удалять разрешения к папке, удаляя имя пользователя из списка членов группы.

Заключение

В это статье мы рассмотрели процесс создания групп безопасности в окружении Windows Server 2003. В следующей части этой серии статей я покажу вам последствия выбора различных типов групп.

www.windowsnetworking.com


Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]