В предыдущей части этой серии я показывала вам, как использовать консоли пользователей и компьютеров Active Directory для создания и управления учетными записями. В этой статье я хочу продолжить обсуждение и рассказать вам о группах.
В окружении домена пользовательские учетные записи являются неотъемлемой частью. Учетная запись пользователя дает ему уникальную идентификацию в сети. Это означает, что можно отслеживать интерактивную деятельность пользователя. Можно также назначать уникальный набор разрешений для пользовательской учетной записи, назначать уникальный адрес электронной почты, а также удовлетворять прочие индивидуальные потребности пользователей.
Хотя ручная настройка пользовательской учетной записи для соответствия индивидуальным потребностям пользователя звучит как хорошая идея, она не очень практична во многих ситуациях. Настройка и управление учетными записями пользователей – это задача, требующая времени. Конечно, это не составит большого труда, если в вашей организации всего пара дюжин пользователей, но если в вашей организации тысячи пользователей, тогда процесс управления учтенными записями может быстро превратиться в непосильное бремя.
Мой совет, даже если вы работаете с очень маленькой сетью, вы должны относиться к ней так, словно это большая сеть. Причиной тому является то, что никогда не знаешь, когда сеть начнет расти. Использование хороших методик управления с самого начала поможет вам в будущем избежать кошмара логистики.
Мне доводилось видеть последствия неожиданного быстрого роста сети в реальности. Около пятнадцати лет назад я была нанята в качестве системного администратора в страховую компанию. В то время сеть была очень маленькой. В нее входила пара дюжин рабочих станций. Женщина, которая отвечала за сеть, до этого не имела никакого опыта в области ИТ, и была брошена волкам на съедение, скажем так. Не имея основ ИТ, и не зная ничего лучше, она настроила сеть так, что все параметры конфигурации имели индивидуальный характер, то есть для каждого пользователя отдельно.
В то время это не представляло большого труда. В организации было немного пользователей, поэтому было довольно просто управлять различными учетными записями и разрешениями. Но по прошествии года в сети компании было уже более сотни компьютеров, а к моменту, когда я оставила компанию пару лет назад, в компании уже было более тысячи человек, использующих сеть, которая была изначально создана для работы с парой дюжин пользователей.
Как вы можете себе представить, сеть пережила серьезные проблемы роста. Некоторые из этих проблем роста были связаны с производительностью оборудования, но большая их часть была связана с невозможностью эффективного управления таким количеством учетных записей пользователей. Со временем сеть превратилась в такой большой беспорядок, что все учетные записи пользователей пришлось удалить и воссоздавать по крупицам.
Очевидно, стремительный неожиданный рост может вызвать проблемы, но вы, возможно, думаете, с какой стати все должно прийти в такой беспорядок, что все учетные записи необходимо удалить, чтобы можно было начать все заново.
Как я уже говорила, все параметры конфигурации и безопасности настраивались для каждого пользователя отдельно. А это означало, что если менеджер отдела приходил ко мне с вопросом о том, кто из сотрудников имел доступ к определенным ресурсам сети, мне приходилось просматривать каждую учетную запись отдельно на предмет того, имеет ли данный пользователь доступ к сети или нет. Когда у вас есть пара дюжин пользователей, проверка каждой учетной записи на предмет доступа пользователей к определенным ресурсам сети может быть довольно скучной и утомительной (в то время проверка занимала около двадцати минут). Но когда вам нужно проверить каждую из более сотни учетных записей, это может занять целый день.
К счастью события, которые я только что описала, произошли более десяти лет назад. С учетом темпов роста ИТ индустрии, можно считать, что эти события произошли в доисторический период. В конце концов, сетевые ОС, которые использовались в то время, сегодня являются вымирающим видом. Но даже в этом случае, уроки, усвоенные тогда, очень полезны и по сей день.
Всех вышеперечисленных неприятностей можно было избежать, если бы использовались группы. Суть групп заключается в том, что группа может содержать несколько учетных записей. Поскольку параметры безопасности задаются на групповом уровне, вам никогда не придется назначать разрешения вручную непосредственно для каждой учетной записи. Вместо этого вы назначаете разрешение группе, а затем включаете пользователя в эту группу.
Я понимаю, что это может звучать довольно запутанно, поэтому я продемонстрирую эту методику для вас. Допустим, один из ваших файловых серверов содержит папку с названием Данные, и вам нужно разрешить пользователю доступ для чтения этой папки. Вместо того чтобы назначать разрешение непосредственно пользователю, давайте создадим группу.
Для этого открываем консоль пользователей и компьютеров Active Directory. Когда консоль открыта, правой клавишей жмем на каталоге Пользователи, и выбираем команды New | Group из появившегося меню. По мере выполнения этих действий у вас появится окно, как показано на рисунке A. Как минимум вы должны назначить имя этой группе. Для простоты управления давайте назовем группу Данные, так как группа будет использоваться для защиты папки Данные. На данный момент нет нужды беспокоиться о параметрах границы и типа групп. Я расскажу об это в следующей части этой серии.
Рисунок A: Ввод имени создаваемой группы
Жмем OK, и группа Данные будет добавлена в список пользователей, как показано на рисунке B. Обратите внимание, что иконка группы имеет две головы, указывая на то, что это группа, в отличие от иконок с одной головой, указывающих на то, что это отдельные пользовательские учетные записи.
Рисунок B: Группа Данные добавлена в список пользователей
Рисунок C: Вкладка «Члены группы»
Теперь пришло время заставить группу работать. Для этого жмем правой клавишей на папке Данные, выбираем Свойства в контекстном меню. Когда вы это сделали, вы увидите окно свойств этой папки. Переходим по вкладке Безопасность и жмем кнопку Добавить. Когда появится подсказка, введите имя группы, которую вы только что создали (Данные) и нажмите OK. Теперь можно устанавливать свод разрешений для этой группы. Какие бы разрешения вы не применяли к группе, применяйте их и к членам группы. Как показано на рисунке D, есть и другие права, которые применяются к этой папке по умолчанию. Лучше всего удалить группу пользователей из списка контроля доступа во избежание случайных противоречий в разрешениях.
Рисунок D: Группа Данные добавлена к списку контроля доступа к папке
Помните, как я говорила о том, сколько работы приходится выполнить при попытке выяснить, кто из пользователей имеет доступ к конкретному ресурсу? При использовании групп, это процесс становится очень простым. Если вам необходимо знать, какие пользователи имеют доступ к папке, просто посмотрите, какие группы имеют доступ к ней, как показано на рисунке D. Когда вы определили, какие группы имеют доступ к этой папке, определение того, кто имеет права на эту папку столь же просто, как и определение списка членов группы (как показано на рисунке C). Всякий раз, когда дополнительным пользователям нужен доступ к папке, просто добавляйте их имена в список членов группы. Таким же образом вы можете удалять разрешения к папке, удаляя имя пользователя из списка членов группы.
В это статье мы рассмотрели процесс создания групп безопасности в окружении Windows Server 2003. В следующей части этой серии статей я покажу вам последствия выбора различных типов групп.
www.windowsnetworking.com