Глобальные группы домена windows

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

См. примечание после табл. 25.1.

К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Локальные группы в домене:

Администраторы (Administrators)

Гости (Guests)

Операторы архива (backup Operators)

Операторы печати (Print Operators)

Операторы сервера (Server Operators)

Операторы учета (Account Operators)

Пользователи (Users)

Репликатор (Replicator)

Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы:

Администраторы домена (Domain Admins)

Владельцы-создатели групповой политики (Group Policy Creator Owners)

Гости домена (Domain Guests)

Издатели сертификатов (Cert Publishers)

Компьютеры домена (Domain Computers)

Контроллеры домена (Domain Controllers)

Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)

Администраторы схемы (Schema Admins)

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:

ВСЕ (Everyone) — объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.

СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).

ИНТЕРАКТИВНЫЕ (interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс.

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Разбираемся с типами групп Active Directory. Как создать новую группу в AD?

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.

Типы групп Active Directory

В AD существует два типа групп:

• Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
• Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Для каждого типа группы существует три области действия:

• Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
• Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
• Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

Как создать группу Active Directory с помощью PowerShell

Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).

Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).

Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду

New-ADGroup -Path «OU=Groups,OU=Kaluga,DC=vmblog,DC=ru» -Name «KalugaUsers» -GroupScope Global -GroupCategory Distribution

Теперь создадим новую группу безопасности:

New-ADGroup –Name RemoteKalugaUsers -GroupScope Universal -GroupCategory Security -Path «OU=Groups,OU=Kauga,DC=vmblog,DC=ru»

Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:

Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov

Вывести состав список пользователей в группе и сохранить его в csv файл можно так.

Глобальные группы домена windows

В этой статье хотел бы подробно рассказать о таком понятии как группы в AD. Группы содержат элементы (пользователей, компьютеры, другие группы), управление которыми осуществляется как одним объектом. В Windows Server существует семь типов групп- две группы доменов с тремя областями действий в каждой и локальная группа безопасности.

Существует два типа групп —безопасности и распространения.

Группа распространения — применяется для создания групп почтовых рассылок. Письмо отправленное на группу распространения дойдет всем пользователям группы. Это группа не предназначена для работы с предоставлением доступа на ресурсы.

Группа безопасности — применяется для управления безопасности доступа к ресурсам. Т.е. если вы хотите для сетевой папки создать группу, для этого необходимо создать группу безопасности. Так же с помощью группы безопасности можно сделать почтовую рассылку, но это не рекомендуется делать поскольку для этого есть группа распространения.

Помимо групп существует три области действия для каждой группы:

Локальная в домене — используется для управления разрешениями доступа к ресурсам в пределах всего домена.

Глобальная группа — используется для определение коллекции объектов доменов на основании бизнес-правил и управление объектами, которые требуют ежедневного использования.

Универсальная группа — Рекомендуется использовать в лесах из множество доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах.

Более наглядное отличие всех трех групп представлено в таблице.

— в глобальную в том случае, если эта группа не содержит в качестве члена другую универсальную группу;

— в локальную группу в домене.

Область действия группы	Члены группы из того же домена	Члены группы из другого домена в том же лесу	Члены группы из доверенного домена	Группе могут быть назначены разрешения в…	Область действия группы можно преобразовать в…
Локальная в домене	Разрешения члена могут быть назначены только в домене, которому принадлежит родительская локальная группа домена	— в универсальную в том случае, если эта группа не содержит другую локальную группу в домене в качестве члена;
Универсальная группа	Нет доступа	Любой домен или лес	Нет доступа	Нет доступа	Разрешения члена могут быть назначены в любом домене	— в универсальную в том случае, если изменяемая группа не является членом другой глобальной группы;

Последний столбец таблицы показывает, что существующую область действия группы можно изменить на любую из трех, единственный нюанс, что для изменения некоторых областей необходимо выполнить два шага, первый изменить на промежуточный, а уже затем на необходимый. Например для того что бы изменить глобальную группу в локальную, потребуется изменить в начале на универсальную, а уже после этого в локальную группу.

Осталась одна группа, которую я не освятил — Локальная группа. Локальная группа считается самой примитивной, так как она доступна только на одном компьютере. Такая группа создается в базе данных диспетчера безопасности учетных записей рядового компьютера и поэтому в домене управление локальными группами не нужно.

Создание группы с помощью консоли Active Directory- Пользователи и компьютеры.

Для того что бы создать группу, необходимо запустить консоль Active Directory- Пользователи и компьютеры, зайти в необходимое подразделение нажать кнопку «Создание новой группы в текущем контейнере«, в открывшемся окне Новый объект- Группа введите имя группы и выберите необходимый тип и область действия.

Создание группы с помощью командной строки.

Для создания группы в командной строке служит команда Dsadd. Общий вид команды Dsadd group DN_группы + дополнительные параметры.

-secgrp. Данный параметр указывает тип группы: безопасности (yes) или распространения (no). Если параметр не указан, то по умолчанию значением данного параметра считается yes;

-scope. Текущий параметр задает область действия группы. Доступные параметры: локальная в домене (l), глобальная (g) или универсальная (u). По умолчанию, также как и при помощи графического интерфейса, область действия назначается глобальной;

-samid. Этот параметр определяет использование для данной группы SAM имени, как уникального атрибута sAMAccountName группы. Желательно имя для sAMAccountName и группы указывать идентичные;

-desc. Данный параметр отвечает за краткое описание группы;

-memberof. Этот параметр назначает одну или несколько групп, к которым требуется добавить новую. Если групп несколько, то их следует добавлять через пробел;

-members. При помощи этого параметра вы можете добавить членов в группу. Члены должны указываться в виде DN-имен и разделяться пробелами.

Пример создания группы с помощью командной строки:

Dsadd group «CN=Администраторы,OU=Группы,DC=pk-help,DC=com» -secgrp yes -scope g -samid «Администраторы сети» -desc «Администраторы сети»

«Золотые правила» применения групп

Вводный курс по использованию групп для управления разрешениями при доступе к ресурсам

Управление разрешениями в состоящих из множества пользователей и ресурсов распределенных вычислительных средах (таких как домены Windows Server 2003) — процесс утомительный и требующий значительного времени. Чтобы облегчить задачу администраторов, разработчики Windows ввели такие объекты как группы. Группы можно использовать для того, чтобы объединять пользователей или компьютеры, обладающие сходными характеристиками. Это позволяет упростить процедуру назначения разрешений на использование ресурсов Windows, например файлов и принтеров.

Но перед тем как рассказать о «золотых правилах» применения групп при назначении разрешений на использование ресурсов, я познакомлю вас с тем, какие бывают типы и диапазоны групп. Речь пойдет только о тех группах, которые можно определять и которыми можно управлять с помощью службы Active Directory (AD) в среде доменов Windows 2003 или Windows 2000.

О том, как изменялись характеристики групп, рассказано во врезке «Эволюция групп в Windows». Я не буду касаться локальных групп, определяемых в базах данных системы безопасности автономных компьютеров, а также на рабочих станциях и автономных серверах домена. Эти локальные группы могут использоваться только на локальных компьютерах для назначения разрешений на обращение к локальным ресурсам. Группы, которые мы будем обсуждать в данной статье, могут быть использованы для назначения разрешений на обращение к ресурсам в масштабе домена, а в отдельных случаях — в масштабе леса доменов.

В средах Windows 2003 и Windows 2000 применяются группы двух типов: группы рассылки (distribution groups) и группы безопасности (security groups). На Экране 1 показано, как выбирается тип группы в процессе создания новой группы в оснастке Active Directory Users and Computers консоли управления Microsoft Management Console (MMC).

Экран 1: Свойства группы в окне оснастки Active Directory Users and Computers

Группы рассылки можно использовать в качестве списков рассылки электронной почты (distribution list, DL) почтовых серверов на базе AD, таких, как Microsoft Exchange Server 2003 и Exchange 2000 Server. Группы рассылки демонстрируют тесную интеграцию между почтовыми серверами Exchange 2000 или более поздних версий и Windows 2000 или системами более поздних версий.

В качестве списков рассылки электронной почты можно использовать и группы безопасности. Но что еще более важно, группы безопасности можно задействовать для выполнения связанных с защитой данных административных задач, таких как назначение разрешений на обращение к ресурсам, потому что идентификатор SID группы безопасности добавляется к маркеру доступа пользователя Windows в ходе процесса аутентификации. SID группы рассылки не добавляется к маркеру доступа пользователя Windows, поэтому группы рассылки нельзя использовать для выполнения административных задач, связанных с защитой данных. Поскольку для назначения разрешений на обращение к ресурсам можно применять только группы безопасности, в дальнейшем я остановлюсь на группах этого типа.

Если домены сети организованы на корректных уровнях функционирования доменов, можно преобразовывать группы рассылки в группы безопасности и обратно на странице свойств группы в оснастке Active Directory Users and Computers. О функциональных уровнях доменов мы поговорим чуть позже. Система Windows предупредит вас о возможных последствиях этих действий с точки зрения авторизации, как показано на Экране 2. Допустим, у вас имеется группа безопасности, обеспечивающая назначение разрешений на обращение к ресурсам. Если вы превратите эту группу безопасности в группу рассылки, члены группы потеряют доступ к соответствующим ресурсам. Для одновременного изменения типа нескольких групп в ходе одной операции можно использовать реализованную в Windows 2003 утилиту командной строки Dsmod с параметром -secgrp [yes/no]. О том, как использовать программу Dsmod, рассказано в статье «Пять незаменимых инструментов для AD» (http://www.osp.ru/win2000/2004/08/177313/).

Экран 2: Предупреждение, отображаемое при преобразовании группы безопасности в группу рассылки

Доступность некоторых функций групп AD зависит от уровня функционирования домена. Функциональные уровни доменов — это система управления версиями, реализованная специалистами Microsoft в Windows 2003. Функциональный уровень домена зависит от версий операционных систем, установленных на контроллерах домена. В Таблице 1 показаны различные функциональные уровни доменов Windows 2003 и версии операционных систем, которые они поддерживают в контроллерах доменов. В Таблице 2 приведены функции групп AD, доступные для различных функциональных уровней доменов.

При создании новой группы определяется ее диапазон — аналогично тому, как в ходе той же операции определяется тип группы. В средах Windows 2003 и Windows 2000 предусмотрено три диапазона групп: универсальный, глобальный и локальный диапазон домена. Кроме того, в системах Windows 2003 и Windows 2000 допускается использование двух вариантов диапазона локальной группы: доменный локальный диапазон и системный локальный диапазон. Группы с локальным диапазоном домена можно применять на любой системе домена. Группу с локальным диапазоном системы можно задействовать лишь на той системе, где эта группа определяется и хранится.

Диапазон группы определяет, каким образом можно использовать данную группу в многодоменной среде. В частности, диапазон группы определяет, может ли группа содержать пользователей и группы из другого домена. Кроме того, диапазон группы определяет, допустимо ли с помощью данной группы устанавливать разрешения на обращение к ресурсам другого домена.

В Таблице 3 показано, какие участники безопасности (т.е. пользователи, компьютеры или группы) могут быть членами универсальной группы, глобальной группы и локальной группы домена. Кроме того, здесь мы видим, в каких случаях участники безопасности должны быть расположены в том домене, где группа определяется (такие домены в Таблице 3 обозначены как SD), или их можно размещать в другом домене, входящем в состав того же леса (OD-INT), либо в другом внешнем домене (OD-EXT).

Теперь, когда вы знаете, какие участники безопасности могут быть членами той или иной группы, пора поставить вопрос о том, где можно использовать эти группы для установки разрешений на обращение к ресурсам. В Таблице 4 показано, какие группы обеспечивают возможность установки разрешений на обращение к ресурсам только своего домена, где соответствующая группа была определена, а какие позволяют еще устанавливать разрешения на обращение к ресурсам других доменов. Как видно из Таблицы 4, локальные группы доменов представляют собой единственный тип групп, который не дает возможности устанавливать разрешения на работу с ресурсами других доменов.

Диапазон групп также определяет, какие группы могут быть членами других групп; такие отношения между группами именуются вложением групп. Правила вложения групп определяются механизмом, который система Windows использует для выявления принадлежности группы пользователя к другим группам при регистрации пользователя в домене. В системах Windows 2003 и Windows 2000 применяются следующие правила вложения групп:

• Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена.
• Универсальная группа может быть членом другой универсальной группы или локальной группы домена, но не может быть членом глобальной группы.
• Локальная группа домена может быть членом только другой локальной группы домена.

Если домен относится к однородному уровню функционирования домена, диапазон группы можно изменить на странице свойств этой группы в оснастке Active Directory Users and Computers. Для одновременного изменения диапазона нескольких групп воспользуйтесь реализованной в системе Windows 2003 утилитой командной строки Dsmod с параметром -scope [l/g/u]. При изменении диапазона группы действуют следующие ограничения:

• Локальную группу домена можно преобразовать в универсальную группу лишь в том случае, если эта локальная группа домена не содержит других членов локальной группы домена. Локальная группа домена не может быть членом универсальной группы.
• Глобальную группу можно преобразовать в универсальную лишь в том случае, если эта глобальная группа не входит в состав другой глобальной группы. Универсальная группа не может быть членом глобальной группы.
• В многодоменной среде преобразование универсальной группы в глобальную допускается лишь тогда, когда все члены универсальной группы определены в домене этой универсальной группы. Глобальная группа может содержать лишь объекты, определенные в ее домене.

Одна из главных проблем, с которой приходится сталкиваться администраторам Windows, состоит в том, что необходимо обеспечить максимальную эффективность управления доступом к ресурсам. Одно из «золотых правил» сводится к следующему: при назначении разрешений на обращение к ресурсам нужно оперировать не отдельными учетными записями, а целыми группами. Группы могут создавать уровень абстракции в модели авторизации, в результате чего снимается зависимость назначения разрешений от изменений на уровне учетных записей. Это правило применимо как к доменам Windows, так и к автономным системам.

Так, во многих организациях пользователи регулярно меняют одну организационную роль на другую. Как правило, каждая роль предполагает наличие конкретных разрешений на обращение к тем или иным ресурсам Windows. Служба AD предусматривает возможность создания групп для организационных ролей (скажем, операторы центров обработки вызовов, разработчики) и назначения разрешений на работу с ресурсами для этих групп. Если роль пользователя меняется, администратору достаточно включить учетную запись этого пользователя в состав соответствующей группы. Такой подход гораздо эффективнее, нежели простая переустановка разрешений учетной записи для того, чтобы обеспечить пользователю доступ к ресурсам, необходимым для выполнения новой роли.

Вот еще несколько «золотых правил», которым необходимо следовать при управлении доступом групп к ресурсам:

• Применяйте глобальные группы для объединения пользователей, используйте локальные группы доменов для назначения разрешений на доступ к ресурсам и затем объединяйте глобальные группы в локальные группы доменов для применения параметров разрешений. Хотя это правило из арсенала Windows NT 4.0, предназначенное для компенсации отсутствия в данной операционной системе механизма делегирования и для преодоления имеющихся ограничений на размер баз данных, оно все еще применяется в многодоменных лесах Windows 2003 и Windows 2000. В сетях с однодоменными лесами Windows 2003 и Windows 2000 вложенные структуры групп и выбор диапазонов групп не играют столь важной роли. В этих конфигурациях необходимо воздерживаться от назначения разрешений пользователям напрямую и действовать через группы-посредники.

Выбор тех или иных вложенных структур может также зависеть от двух факторов. Первый — кому принадлежат и какую важность имеют защищаемые данные. Когда разглашение данных особенно опасно, ответственный за их защиту администратор должен иметь полный контроль над тем, кому предоставляется доступ. Таким образом, лучшая политика в этом случае — вообще не использовать вложенные структуры. Вместо этого следует задействовать одну группу для управления членством и ту же группу — для предоставления разрешений на обращение к ресурсу. Однако такой подход не является оптимальным, когда многим пользователям требуется доступ к тому или иному ресурсу, и его владелец не хочет или не может контролировать членство каждого пользователя в соответствующей группе. В таких случаях имеет смысл организовать несколько групп и предоставить другим администраторам возможность управлять своими пользователями в соответствующих группах, после чего вложить эти группы в другую группу, через которую и будут предоставляться разрешения на доступ к ресурсу.

Второй фактор, способный повлиять на решение администратора относительно формирования вложенной структуры групп, — это возможность восстановления членства в группах AD после непреднамеренного удаления объектов AD. Труднее всего восстанавливается членство в локальных группах доменов, если члены этих групп размещаются в другом домене.

• В качестве общего правила я рекомендую применять в доменных сетях не системные локальные группы, а локальные группы доменов. При использовании системных локальных групп теряются преимущества доменов Windows, а именно, централизованное управление и возможности учета. Системными локальными группами нельзя управлять с помощью службы AD, и они не отображаются в списке групп, членом которых является учетная запись пользователя, в оснастке Active Directory Users and Computers. Кроме того, изменения, вносимые в сведения о членстве локальной системной группы, фиксируются не в журнале регистрации событий контроллера домена, а в журнале событий безопасности локальной машины.

Отметим одно важное исключение из этого правила; речь идет о крупных сетях AD, предполагающих наличие многочисленных локальных групп. В отличие от групп AD, локальные системные группы пользователей не предусматривают возможности расширения членства при регистрации в системе и не влияют на размер учетных данных Kerberos. Иначе говоря, в этой ситуации более целесообразно использовать не локальные группы доменов, а системные локальные группы.

• Для предоставления пользователям доступа к ресурсам, распределенным по нескольким доменам, следует использовать универсальные группы. Для этого помещайте глобальные группы в универсальные группы, универсальные группы — в локальные группы доменов и затем используйте локальные группы доменов для установления разрешений на обращение к ресурсам.
• Применяйте универсальные группы в тех случаях, когда членство в группе близко к статическому. Когда же членство в группе подвержено частым изменениям, используйте группу-посредника: добавляйте пользователей в глобальную группу, а затем введите эту глобальную группу в состав универсальной группы. Универсальные группы генерируют более значительные объемы сетевого трафика в многодоменных сетях, поскольку сведения о членстве в универсальных группах хранятся в глобальном каталоге, который реплицируется в масштабах леса.

Отметим, что данное правило применимо только к службам AD Windows 2003 и AD Windows 2000, которые не находятся на функциональном уровне леса Windows 2003. В лесу Windows 2003 служба AD поддерживает новую функцию, именуемую репликацией связанных значений (linked-value replication, LVR). При изменении членства в группе эта функция позволяет реплицировать на контроллеры доменов не полные списки членов группы, а лишь внесенные в них изменения. Кроме того, данное правило не действует в многодоменных сетях, в которые входят серверы Exchange; при работе с ними необходимо использовать универсальные группы рассылки. В этих случаях не следует применять глобальные группы-посредники, поскольку серверы Exchange не позволяют расширять членство в глобальных группах, если они определены в других доменах.

Итак, следуйте изложенным выше «золотым правилам». Кроме того, я рекомендую читателям придерживаться следующего принципа: старайтесь создавать как можно меньше групп и ограничивать число уровней их вложения. Ведь чем меньше будет групп и уровней вложения, тем проще система разрешений и тем легче находить причины неполадок в случае возникновения проблем.

Итак, мы рассмотрели основные характеристики групп AD и выяснили, как с их помощью организовать эффективное управление разрешениями на использование ресурсов. Без этих знаний не обойтись ни одному администратору AD.

Жан Де Клерк (jan.declercq@hp.com) — член Security Office корпорации Hewlett-Packard. В круг его интересов входят вопросы управления идентичностью и обеспечения безопасности при использовании продуктов Microsoft.

ЭВОЛЮЦИЯ ГРУПП В WINDOWS

Пользователи Windows всегда имели возможность работать с группами. Модель, реализованная в Windows NT 4.0 и в более ранних версиях системы, проще модели, применяемой в Windows Server 2003 и Windows 2000. Ниже перечисляются основные различия между двумя моделями групп:

• В Windows 2003 и в Windows 2000 предусмотрены два типа групп: группы безопасности и группы рассылки. В Windows NT 4.0 и в более ранних версиях были реализованы лишь группы безопасности.
• В системах Windows 2003 и Windows 2000 применяются три диапазона групп: универсальный, глобальный и локальный. Кроме того, в Windows 2003 и в Windows 2000 предусмотрены два варианта диапазона локальных групп: доменный локальный диапазон и системный локальный диапазон. В версии Windows NT 4.0 используются лишь глобальный диапазон и системный локальный диапазон групп. Введение универсального диапазона — прямое следствие использования реализованного в службе Active Directory (AD) глобального каталога, который является функцией контроллера домена, обеспечивающей доступность объектов AD и подмножества их атрибутов в домене для контроллеров других доменов в лесу Windows 2003 или Windows 2000.
• В версиях Windows 2003 и Windows 2000 возможно изменение типа и диапазона группы после ее создания. В Windows NT и более ранних версиях изменение типа и диапазона групп невозможно.
• В версиях Windows 2003 и Windows 2000 предусматривается вложение групп одного и того же диапазона и типа. В Windows NT 4.0 и более ранних версиях допускается только вложение глобальных групп в системные локальные группы.

Таблица 1: Функциональные уровни доменов

Функциональный уровень домена	Операционные системы, используемые на контроллерах доменов
Windows 2003	Windows 2003
Однородный тип Windows 2000	Windows 2003 и Windows 2000
Windows 2003 interim	Windows 2003 и NT 4.0
Смешанный тип Windows 2000	Windows 2003, Windows 2000 и Windows NT 4.0

Таблица 2: Функциональный уровень домена и функциональные возможности групп

Функциональный уровень домена Windows 2003 или однородный уровень Windows 2000	Смешанный функциональный уровень домена Windows 2000 или функциональный уровень домена Windows 2003 Interim
Типы групп	Группы безопасности и группы рассылки	Группы безопасности и группы рассылки
Диапазоны групп	Универсальный, глобальный и локальный диапазоны домена	Глобальный и локальный диапазоны домена
Совместное использование групп	Все компьютеры домена совместно используют локальные группы домена	Контроллеры домена совместно используют локальные группы домена
Вложение групп	Универсальная группа может быть членом другой универсальной группы или локальной группы домена Локальная группа домена может быть членом другой локальной группы домена Только глобальные группы могут вкладываться в локальные группы доменов	Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена Вложение других групп не допускается
Модификация групп	Диапазон и тип групп могут быть изменены	Диапазон и тип групп не могут быть изменены

Таблица 3: Ограничения на членство в группах

Могут содержать пользователей и компьютеры в SD* OD- OD- INT** EXT***	Могут содержать доменные локальные группы в SD OD- OD- INT EXT	Могут содержать глобальные группы вSD OD- OD- INT EXT
Универсальных группах	Да Да Нет	Нет Нет Нет	Да Да Нет
Глобальных группах	Да Нет Нет	Нет Нет Нет	Да**** Нет Нет
Доменных локальных группах	Да Да Да	Да**** Нет Нет	Да Да Да

*того же домена
** других доменов в том же лесу
***других внешних доменов или доменов в других лесах
****только на функциональном уровне доменов Windows 2003 или доменов Windows 2000 однородного типа

Таблица 4: Ограничения на использование групп

Позволяют устанавливать разрешения на обращение к ресурсу в том же домене	Позволяют устанавливать разрешения на обращение к ресурсу в другом домене
Универсальные группы	Да	Да
Глобальные группы	Да	Да
Доменные локальные группы	Да	Нет

Поделитесь материалом с коллегами и друзьями