Monday, November 20th, 2017

Основы работы в сети: часть 15 – универсальные группы (Universal Groups) и вложение групп (Group Nesting)

Published on Февраль 18, 2009 by   ·   Комментариев нет

В предыдущей статье этой серии я ознакомил вас с концепцией использования групп для управления контролем доступа в сети вместо открытия разрешений пользователям напрямую. Затем я пояснил, что Windows Server 2003 поддерживает несколько различных типов групп, и каждая из этих групп имеет свои сильные стороны и ограничения.

В той статье я много говорил о локальных группах (local groups), локальных группах доменов (domain local groups) и глобальных группах (global groups). Вы могли бы с легкостью управлять всей своей сетью, используя лишь эти типы групп. Но, даже, несмотря на это, есть еще один тип групп, который поддерживает Windows Server 2003; универсальные группы (universal groups).

Для тех из вас, кому кажется, что локальные группы, локальные группы доменов и глобальные группы слишком запутанны или имеют слишком много ограничений, универсальные группы сразу покажутся ответом на ваши молитвы. Универсальные группы, по сути своей, являются группами, которые не подвержены ограничениям, свойственным другим типам групп. Например, в предыдущей статье я упомянул о том, что вы не сможете поместить локальную группу (домена) в другую локальную группу. А универсальную группу, напротив, можно поместить в локальную группу. Правила, применимые к другим типам групп, просто неприменимы к универсальным группам.

Естественно, возникает вопрос, зачем вообще использовать любой другой тип групп, если его ограничения могут быть с легкостью преодолены универсальными группами.

Одной из причин такого количества различных типов групп является тот факт, что Windows Server представляет собой постоянно развивающийся продукт. Универсальные группы были представлены в Windows 2000 Server, наряду с активной директорией (Active Directory). Предыдущие версии Windows Server (Windows NT Server, если говорить точнее) поддерживали использование групп, но универсальные группы еще не были изобретены на тот момент. Кода Microsoft выпустила Windows 2000 Server, они предпочли оставить поддержку других типов групп, как способ обратной совместимости с Windows NT. Подобно этому Windows Server 2003 тоже поддерживает наследственные типы групп из соображений обратной совместимости.

Тот факт, что универсальные группы не существовали во времена Windows NT Server, означает, что Windows NT не поддерживает универсальные группы. Это может стать небольшой проблемой, если вдруг в вашем окружении есть серверы Windows NT.

Windows 2000 Server стал таким серьезным изменением после Windows NT Server, что несколько новых функций не могли работать в сети с контроллерами доменов Windows NT Server. Чтобы решить эту проблему, Microsoft создали концепцию собственного режима (native mode). Я расскажу о ней более подробно в части 17, но суть ее заключается в том, что когда Windows 2000 Server устанавливается, он работает в так называемом смешанном режиме (mixed mode). Смешанный режим абсолютно совместим с Windows NT, однако многие функции Windows 2000 невозможно использовать до тех пор, пока вы полностью не избавитесь от контроллеров домена Windows NT и не перейдете на собственный режим. Хотя терминология немного отличается, те же базовые концепты применимы и к Windows Server 2003.

Универсальные группы – это одна из тех характеристик, которые будут доступны только в том случае, если ваш контроллер домена работает на Windows 2000 Server в собственном режиме или на более поздней ОС. Это одна из причин, по которым вы не можете использовать универсальные группы во всех ситуациях.

Даже если все ваши серверы работают на Windows Server 2003, а ваша сеть полностью автономна, в большинстве случаев все же будет неверным использование исключительно универсальных групп.

Ранее в этой серии статей я рассказывал вам о концепте серверов глобального каталога (global catalog servers). Как вы, возможно, помните серверы глобальных каталогов представляют собой контроллеры доменов, которым было назначено задание в виде слежения за каждым объектом в области. Обычно каждый сайт активной директории содержит свою копию глобального каталога, что означает, что всякий раз, когда глобальный каталог обновляется, информация обновления должна дублироваться и в каталогах других серверов.

Когда вы создаете универсальную группу, название группы и список ее членов записывается в глобальный каталог. Это означает, что с каждым созданием все новых и новых универсальных групп каталог содержит все больше записей. По мере того как глобальный каталог становится все больше, количество времени, требуемое для его копирования с одного сервера на другой, тоже увеличивается. Если этому не уделять внимания, то в производительности сети могут возникнуть проблемы.

На тот случай, если вам интересно; другие типы групп не загружают такие объемы информации в глобальный каталог. Например, глобальные группы записываются в каталог, а список их членов нет. Поэтому основным правилом Microsoft является создание универсальных групп, но их умеренное создание.

Вложение групп (Group Nesting)

Последний вопрос, касающийся групп, который я бы хотел затронуть в этой статье, это вложение групп (nesting). Самый простой способ объяснения этого вопроса – это сравнение размещения групп с русской матрешкой, как показано на рисунке A. Эти куклы созданы так, что их можно вложить одну в другую. Эта идея размещения одного объекта внутри другого подобного объекта называется вложением.

Не универсальная группа exchange

Рисунок A: Русская матрешка иллюстрирует принцип вложения

Существует множество причин для вложения групп. Одной, наиболее общей причиной является соотнесение ресурсов с отделами. Например, компания может начинать с создания группы для каждого отдела. Они могут создавать Финансовую группу, Маркетинговую группу, ИТ группу и т.д. Затем они размещают пользователей в те группы, в отделах которых они работают.

Следующим шагом будет создание групп, соответствующих различным ресурсам, которые им требуются для работы и к которым им нужно открыть доступ. Например, если вы знаете, что в финансовой группе всем потребуется доступ к бухгалтерским приложениям, вы создаете группу, у которой открыт доступ к этим приложениям, а финансовую группу вкладываете в нее. Вам совсем не обязательно делать это постоянно, но иногда такая структура помогает добиться большей организованности, а также экономить немного в рабочем процессе. В предыдущем примере, вам не нужно было вручную располагать учетные данные каждого пользователя в группу с доступом к бухгалтерским приложениям. Вместо этого вы повторно использовали уже существующую группу.

Помните, что не каждую группу можно вложить в любой другой тип групп. Таблица ниже показывает, какие типы групп можно вкладывать в другие типы.

Таблица 1
Типы групп Можно вложить в локальные (Local) Можно вложить в локальные домены (Domain Local) Можно вложить в глобальные (Global) Можно вложить в универсальные (Universal)
Локальные Нет Нет Нет Нет
Локальные домены Да Да, если в одном домене Нет Нет
Глобальные Да Да Да, если в одном домене Да
Универсальные Да Да Нет Да

Предупреждение

Если Windows работает в смешанном режиме Windows 2000, применимы следующие ограничения:

  • Универсальные группы невозможно создавать
  • Локальных группы доменов могут содержать только глобальные группы
  • Глобальные группы не могут содержать никаких других типов

Заключение

В этой статье я объяснил, что иногда выгодно вкладывать одну группу в другую. Затем я рассказал о том, в каких ситуациях это возможно сделать.

В следующей части этой серии статей я собираюсь сделать отступление и рассказать о роли, которую играет ОС Windows в создании сетей и работе с ними.

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]