355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 16)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 16 (всего у книги 91 страниц)

домена;

о универсальные группы, определенные в л ю б о м д о м е н е леса.

• Доступность Локальная группа р а с п о л а г а е т о б л а с т ь ю д е й с т в и я л и ш ь

на уровне компьютера. Ее можно использовать в с п и с к а х ACL т о л ь к о на

локальном компьютере. Локальная группа не м о ж е т б ы т ь ч л е н о м д р у г и х

групп.

Локальные группы в домене

Локальные группы в домене изначально и с п о л ь з у ю т с я д л я у п р а в л е н и я раз-

решениями доступа к ресурсам. Например, г р у п п а A C L _ S a l e s F o l d e r _ R e a d ,

описанная ранее на этом занятии, должна быть создана к а к л о к а л ь н а я группа

в домене. Далее перечислены характеристики л о к а л ь н ы х г р у п п в домене.

• Репликация Локальная группа в домене о п р е д е л я е т с я в к о н т е к с т е име-

нования домена. Объект группы и его членство ( а т р и б у т membership) реп-

лицируются на каждый контроллер в домене.

• Членство В локальную группу в домене могут в х о д и т ь с л е д у ю щ и е члены:

о все принципалы безопасности домена: п о л ь з о в а т е л и , к о м п ь ю т е р ы , гло-

бальные группы и другие л о к а л ь н ы е г р у п п ы в домене;

о пользователи, компьютеры и г л о б а л ь н ы е г р у п п ы из л ю б о г о д о м е н а

в лесу;

о универсальные группы, определенные в л ю б о м д о м е н е леса.

• Доступность Локальную группу в домене м о ж н о д о б а в и т ь в с п и с к и ACL

любого ресурса на любом рядовом компьютере домена. К р о м е того, локаль-

ная группа в домене может быть членом д р у г и х л о к а л ь н ы х г р у п п в д о м е н е

и даже локальных групп компьютеров.

Членство в локальной группе домена и д е н т и ч н о ч л е н с т в у в о б ы ч н ы х ло-

кальных группах, но репликация и доступность л о к а л ь н о й г р у п п ы д о м е н а

позволяет использовать ее в пределах всего домена. Поэтому л о к а л ь н у ю группу

домена удобно применять для определения п р а в и л у п р а в л е н и я д е я т е л ь н о с т ь ю

предприятия, например правил доступа, поскольку эту г р у п п у м о ж н о исполь-

зовать во всем домене и включать в нее члены лю бо го т и п а в н у т р и данного

домена, а также члены из доверенных доменов.

Занятие 1

Создание групп и управление ими

1 4 7

Глобальные группы

Глобальные г р у п п ы и з н а ч а л ь н о с л у ж а т д л я определения коллекций объектов

доменов на основе б и з н е с – п р а в и л . Группы ролей, например группы Продажи

и Маркетинг, у п о м я н у т ы е ранее, а т а к ж е роли компьютеров (например, Ноут-

буки отдела п р о д а ж ) , будут с о з д а н ы ка к глобальные группы. Далее описаны

х а р а к т е р и с т и к и г л о б а л ь н ы х групп.

• Р е п л и к а ц и я Г л о б а л ь н а я г р у п п а о п р е д е л я е т с я в контексте именования

домена. О б ъ е к т г р у п п ы , в к л ю ч а я атрибут member, реплицируется на все

к о н т р о л л е р ы в домене.

• Ч л е н с т в о Глобальная группа м о ж е т содержать пользователей, компьюте-

ры и д р у г и е г л о б а л ь н ы е г р у п п ы т о л ь к о из одного домена.

• Д о с т у п н о с т ь Г л о б а л ь н а я группа м о ж е т использоваться всеми членами

домена, а т а к ж е д р у г и м и д о м е н а м и в лесу и всеми внешними доверяющи-

ми д о м е н а м и . Г л о б а л ь н а я группа может быть членом любой локальной в

д о м е н е и л и у н и в е р с а л ь н о й г р у п п ы в домене и л и лесу. Она также может

в х о д и т ь в с о с т а в л ю б о й л о к а л ь н о й г р у п п ы в доверяющем домене. И на-

конец, г л о б а л ь н у ю г р у п п у м о ж н о д о б а в и т ь в списки ACL в домене, лесу

и д о в е р я ю щ и х д о м е н а х .

К а к в и д и м , ч л е н с т в о в г л о б а л ь н ы х г р у п п а х ограниченно (только поль-

зователи, к о м п ь ю т е р ы и г л о б а л ь н ы е г р у п п ы из одного домена), однако они

д о с т у п н ы в д о м е н е , л е с у и д о в е р я ю щ и х доменах. Их удобно применять для

о п р е д е л е н и я р о л е й , п о с к о л ь к у роли, ка к правило, представляют собой кол-

л е к ц и и о б ъ е к т о в из о д н о г о каталога.

У н и в е р с а л ь н ы е г р у п п ы

У н и в е р с а л ь н ы е г р у п п ы у д о б н о задействовать в лесах из множества доменов.

О н и п о з в о л я ю т о п р е д е л я т ь р о л и и управлять ресурсами, которые распределены

на н е с к о л ь к и х д о м е н а х . П о н я т ь п р и н ц и п универсальных групп проще всего на

примере. К о м п а н и я Trey Research имеет лес с тремя доменами – Americas, Asia

и Europe. К а ж д ы й д о м е н располагает учетными записями пользователей и гло-

бальной группой Р е г и о н а л ь н ы е менеджеры, включающей менеджеров данного

региона. К а к мы г о в о р и л и , г л о б а л ь н ы е группы могут содержать пользователей

т о л ь к о из одного домена. П о э т о м у б ы л а создана универсальная группа Реги-

о н а л ь н ы е м е н е д ж е р ы Trey Research, в которую в качестве членов добавлены

т р и г р у п п ы Р е г и о н а л ь н ы е м е н е д ж е р ы . Таким образом, группа Региональные

м е н е д ж е р ы Trey Research о п р е д е л я е т роль д л я всего леса. Пользователи добав-

л я ю т с я в одну из в л о ж е н н ы х групп Р е г и о н а л ь н ы е менеджеры и так становятся

ч л е н а м и г р у п п ы Р е г и о н а л ь н ы е м е н е д ж е р ы Trey Research.

К о м п а н и я Trey Research п л а н и р у е т реализовать новый продукт, д л я чего

потребуется обеспечить сотрудничество с регионами. Ресурсы проекта хранят-

ся на ф а й л о в ы х серверах в к а ж д о м домене. Д л я определения пользователей,

которые могут м о д и ф и ц и р о в а т ь ф а й л ы нового продукта, создана универсаль-

ная группа A C L _ N e w _ P r o d u c t _ M o d i f y . Этой группе назначается разрешение

изменения (Allow M o d i f y ) о б щ и х папок на каждом файловом сервере в каждом

домене. Группа Р е г и о н а л ь н ы е м е н е д ж е р ы Trey Research включена в группу

148 Группы t

Глава 4

ACL_New_Product_Modify вместе с р а з л и ч н ы м и г л о б а л ь н ы м и г р у п п а м и

и пользователями из каждого региона.

Как показано в примере, универсальные г р у п п ы могут п о м о ч ь в представ-;

лении и консолидации групп, распределенных по д о м е н а м в лесу, а т а к ж е оп-

ределить правила, которые можно п р и м е н я т ь во в с е м лесу. Д а л е е о п и с а н ы

характеристики универсальных групп.

• Репликация Универсальная группа определяется в одном д о м е н е леса, но

реплицируется в глобальный каталог. ( П о д р о б н е е о г л о б а л ь н о м каталоге

рассказывается в главе 10.) Объекты в г л о б а л ь н о м к а т а л о г е д о с т у п н ы во

всем лесу.

• Членство Универсальная группа может б ы т ь ч л е н о м д р у г о й у н и в е р с а л ь -

ной или локальной группы домена в лесу. Кроме того, у н и в е р с а л ь н а я группа

может использоваться для управления ресурсами, н а п р и м е р д л я н а з н а ч е н и я

разрешений доступа во всем лесу.

Членство в группах: обобщение

На сертификационном экзамене 7 0 – 6 4 0 и при р е ш е н и и п о в с е д н е в н ы х задач

администрирования нужно знать все х а р а к т е р и с т и к и ч л е н с т в а д л я к а ж д о й

области действия группы.

В табл. 4-1 описаны объекты, которые могут быть ч л е н а м и в о б л а с т и дейс-

твия каждой группы.

Табл. 4-1. Область действия и члены группы

Область

Члены группы из того же Члены группы из

Члены группы

действия

домена

другого домена в том

из доверенного

группы

же лесу

внешнего домена

Локальная Пользователи, компью-

Пользователи, ком-

Пользователи, ком-

теры, глобальные груп-

пьютеры, глобальные пьютеры, глобаль-

пы, универсальные груп– группы и универсаль– ные группы

пы, локальные группы в ные группы

домене, локальные поль-

зователи, определенные

на том же компьютере,

где определена локаль-

ная группа

Локальная Пользователи, компыо-

Пользователи, ком– Пользователи, ком-

в домене теры, глобальные груп-

пьютеры, глобальные пьютеры, глобаль-

пы, универсальные груп– группы и универсаль– ные группы

пы, локальные группы

ные группы

в домене

Универсальная Пользователи, компью-

Пользователи, ком-

Нет доступа

теры, глобальные груп-

пьютеры, глобальные

пы и универсальные

группы и универсаль-

группы

ные группы

Глобальная Пользователи, ком-

Нет доступа

Нет доступа

пьютеры, глобальные

группы

Занятие 1

Создание групп и управление ими

149

К о н т р о л ь н ы й в о п р о с

• Какие типы объектов могут быть членами глобальной группы в домене?

Ответ н а к о н т р о л ь н ы й в о п р о с

• Глобальные группы могут содержать только пользователей, компьютеры

и другие глобальные группы из того же домена.

Преобразование области действия и типа группы

Если п о с л е с о з д а н и я г р у п п ы в о з н и к а е т необходимость модифицировать е е

область д е й с т в и я и л и тип, о т к р о й т е д и а л о г о в о е окно Свойства (Properties)

с у щ е с т в у ю щ е й г р у п п ы . На в к л а д к е О б щ и е (General) будет указана существу-

ю щ а я о б л а с т ь д е й с т в и я и т и п (рис. 4-3). О б ы ч н о д л я группы можно выбрать

по м е н ь ш е й мере е щ е о д н у область д е й с т в и я и тип.

; ,. МЛ1

Объект j Безопасность j Pea* гор атрибутов

Общие j Чпе*ы группь | Ч«е«гр>тг | Угрввляется

Фи^-енсооьт

группы ^pa-VWidows 2003) [^.^згссвые

Orv:«wf> j

Зп почта' Г

Г?– Область ав*ств»« группы Ti-n группе

(*. бвэопэоость

j (• Гпэбапьпг*

<~ fpflrw распространена

Универсальная .. 1

_

fl ... .......... ... _ .... zi '

| QK | | "•-•••-• |

Рис. 4-3. Изменение области действия и типа группы

в диалоговом окне свойств

Т и п г р у п п ы м о ж н о преобразовать, выбрав другой тип в секции Тип группы

( G r o u p Туре) на в к л а д к е О б щ и е ( G e n e r a l ) . Од н а ко при этом нужно проявлять

осторожность. П р и п р е о б р а з о в а н и и г р у п п ы безопасности в группу распростра-

н е н и я все ресурсы, р а з р е ш е н и я доступа к ко т о р ым назначены группе, больше

не будут д ей ствова ть. П о с л е п р е о б р а з о в а н и я группы безопасности в группу

р а с п р о с т р а н е н и я п о л ь з о в а т е л и , в х о д я щ и е в домен, больше не будут включать

S I D – и д е н т и ф и к а т о р э т о й г р у п п ы в свои м а р к е р ы безопасности доступа.

О б л а с т ь д е й с т в и я г р у п п ы м о ж н о и з м е н и т ь одним из следующих способов:

• глобальную г р у п п у м о ж н о преобразовать в универсальную;

• л о к а л ь н у ю группу д о м е н а м о ж н о преобразовать в универсальную;

1 5 0 Группы t

Глава 4

• универсальную группу можно преобразовать в глобальную;

• универсальную группу можно преобразовать в локальную группу домена.

Вы не можете напрямую преобразовать глобальную группу в локальную

группу домена и локальную группу домена в глобальную. О д н а к о сделать

это можно, преобразовав вначале группу в универсальную, а затем универ-

сальную – в требуемую область действия. Таким образом можно выполнять

преобразования всех областей действия.

Однако помните, что область действия группы определяет типы объектов,

которые могут быть членами группы. Если в группе уже есть члены и л и сама

она входит в другую группу, изменение области д е й с т в и я может оказаться

недоступным. Например, если глобальная группа входит в другую глобаль-

ную группу, вы не сможете преобразовать первую группу в универсальную, по-

скольку универсальная группа не может быть членом глобальной (отобразится

сообщение об ошибке, показанное на рис. 4-4). Поэтому перед изменением

области действия группы требуется откорректировать членство группы.

Рис. 4-4. Ошибка, которая возникает, когда членство группы не позволяет изменить

ее область действия

Для изменения типа и области действия группы можно использовать ко-

манду Dsmod, описанную в главе 3:

dsmod group 0Н_группы -secgrp { yes | no ) -scope { 1 | g | и }

В качестве DN_zpynnu нужно указать отличительное и м я м о д и ф и ц и р у -

емой группы. Следующие два параметра влияют на область д е й с т в и я и тип

группы.

• Параметр -secgrp {yes | по } указывает тип группы: безопасность (yes) или

распространение (по),

ш Параметр -scope {1 1 g и } определяет область действия группы: локальная

в домене (/), глобальная (g) или универсальная (и).

Управление членством в группе

Для добавления и удаления членов группы можно использовать несколько

методов. Во-первых, вы можете открыть диалоговое окно Свойства (Properties)

группы и перейти на вкладку Члены группы (Members). Д л я удаления члена

группы выберите его и щелкните кнопку Удалить (Remove). Ч т о б ы добавить

член в группу, щелкните кнопку Добавить (Add). Откроется диалоговое окно

Выбор: "Пользователи", "Контакты", "Компьютеры " или "Группы" (Select Users,

Contacts, Computers, or Groups), показанное на рис. 4-5.

Занятие 1

Создание групп и управление ими

1 5 1

Mix)

ОАикт Sw^cHOCTb I F«i»Mci>eTi»^roe j

о«щм Чл«.гита | «„„г,™ | j

З В Ш К Ш З Г

EMfepwc -лп объекта

(•Гфяьа'оввгепи", ТиггъСйЙ

^ С ^ В Ц Д – Г,

вень'те >»ля

l^jrtoao com

Be r« eJ^rwa «

Л*в [RD?J)

I Вгтлв

!> Бгрйврв Haft Ытеу»

c

f, Егсйвсв Мзс t*nc>d«nd

eorto»cem/Ke

Рис. 4-5. Добавление члена в группу

Д а л е е п р и в е д е н ы н е к о т о р ы е р е к о м е н д а ц и и .

• В п о л е В в е д и т е и м е н а в ы б и р а е м ы х объектов ( E n t e r The Object Name) диа-

логового о к н а В ы б о р ( S e l e c t ) м о ж н о ввести множество учетных записей,

р а з д е л е н н ы х т о ч к о й с з а п я т о й . Н а п р и м е р , на рис. 4-5 введены учетные

з а п и с и П р о д а ж и и Ф и н а н с ы , р а з д е л е н н ы е точкой с запятой.

• Вы м о ж е т е ввести н е п о л н ы е имена учетных записей – полное имя вводить

н е о б я з а т е л ь н о . С и с т е м а W i n d o w s в ы п о л н и т в Active Directory поиск учет-

н ы х записей, к о т о р ы е н а ч и н а ю т с я с введенного имени. Если найдено лишь

одно им я, с и с т е м а в ы б е р е т его автоматически. Если же найдено множество

имен, о т к р о е т с я д и а л о г о в о е окно Н а й д е н о несколько имен (Multiple Names

F o u n d ) , где м о ж н о у к а з а т ь н у ж н ы е объекты. Ввод неполных имен может

с э к о н о м и т ь время, необходимое д л я добавления членов в группы, и помочь,

если в ы з а б у д е т е т о ч н о е и м я члена.

• По у м о л ч а н и ю W i n d o w s в ы п о л н я е т поиск л и ш ь тех пользователей и групп,

к о т о р ы е с о о т в е т с т в у ю т и м е н а м , введенным в диалоговое окно Выбор (Se-

lect). Ч т о б ы д о б а в и т ь в г р у п п у компьютеры, щелкните кнопку Типы объ-

ектов ( O b j e c t Types) и у с т а н о в и т е ф л а ж о к Компьютеры (Computers).

• По у м о л ч а н и ю W i n d o w s в ы п о л н я е т поиск л и ш ь групп домена. Чтобы до-

бавить л о к а л ь н ы е у ч е т н ы е записи, в диалоговом окне Выбор (Select) щел-

к н и т е к н о п к у Р а з м е щ е н и е (Locations).

• Е с л и вы не м о ж е т е н а й т и член, к о т о р ы й необходимо добавить в группу,

в д и а л о г о в о м о к н е В ы б о р (Select) щ е л к н и т е кнопку Дополнительно (Ad-

v a n c e d ) . О т к р о е т с я о к н о з а п р о с о в с д о п о л н и т е л ь н ы м и о п ц и я м и поиска

в Active Directory.

Д о б а в и т ь объект в группу м о ж н о также в оснастке Active Directory – поль-

з о в а т е л и и к о м п ь ю т е р ы (Active D i r e c t o r y Users And Computers). Д л я этого

откройте диалоговое окно свойств объекта и перейдите на вкладку Член групп

152 Группы t

Глава 4

(Member Of)– Щелкните кнопку Добавить ( A d d ) и в ы б е р и т е группу. Вы так-

же можете щелкнуть правой кнопкой м ы ш и один и л и н е с к о л ь к о в ы д е л е н н ы х

объектов и применить команду Добавить в группу (Add То G r o u p ) .

Атрибуты member и memberOf

При добавлении члена в группу изменяется атрибут member группы. Атрибут

member многозначен. Каждый член представлен з н а ч е н и е м DN (отличительное

имя) в группе. При перемещении или п е р е и м е н о в а н и и члена Active Directory

автоматически обновляет атрибуты member групп, к о т о р ы м он п р и н а д л е ж и т .

При добавлении члена в группу т а к ж е к о с в е н н о о б н о в л я е т с я а т р и б у т

memberOf. Атрибут memberOf относится к особому т и п у а т р и б у т о в , который

называется обратной ссылкой. Он о б н о в л я е т с я в A c t i v e D i r e c t o r y , когда на

объект ссылается атрибут прямой ссылки, н а п р и м е р member. П р и д о б а в л е н и и

члена в группу атрибут member всегда изменяется. П о э т о м у п р и и с п о л ь з о в а н и и

вкладки Член групп (Member Of) для д о б а в л е н и я объекта в г р у п п у на самом

деле изменяется атрибут member. Атрибут memberOf о б н о в л я е т с я в Active Di-

rectory автоматически.

Быстрое изменение членства в группе

При добавлении пользователя в группу параметры ч л е н с т в а в с т у п а ю т в с и л у

не сразу. Членство в группах оценивается при входе п о л ь з о в а т е л я ( и л и запуске

компьютера). Поэтому пользователю нужно в ы й т и и в н о в ь в о й т и в систему,

чтобы членство в группе было указано в маркере п о л ь з о в а т е л я .

Кроме того, задержки может создавать р е п л и к а ц и я и з м е н е н и й ч л е н с т в а

в группах (репликация описана в главе 11). В частности, р е п л и к а ц и я замед-

ляется, когда предприятие содержит несколько с а й т о в Active Directory. П р и -

менение изменений членства к пользователю м о ж н о у с к о р и т ь , е с л и в н е с т и

изменение на контроллере домена в сайте п о л ь з о в а т е л я . В о с н а с т к е A c t i v e

Directory – пользователи и компьютеры (Active D i r e c t o r y U s e r s And C o m -

puters) щелкните правой кнопкой мыши домен и в ы б е р и т е к о м а н д у С м е н и т ь

контроллер домена (Change Domain Controller).

Разработка стратегии управления группами

Включая группы в другие группы (это называемое вложением), м о ж н о создавать

иерархию групп, поддерживающих бизнес-роли и п р а в и л а . И з у ч и в б и з н е с -

цели и технические характеристики групп, вы можете п р и с т у п а т ь к разработке

стратегии управления группами.

Ранее на этом занятии мы говорили, какие т и п ы о б ъ е к т о в могут б ы т ь чле-

нами каждой группы. Теперь выясним, к а к и е т и п ы о б ъ е к т о в д о л ж н ы б ы т ь

членами каждой группы. В результате мы определим о п т и м а л ь н у ю м е т о д и к у

вложения групп AGDLA.

• Учетные записи (Accounts), то есть пользователи и компьютеры, становятся

членами...

• ...глобальных групп (Global), п р е д с т а в л я ю щ и х б и з н е с – р о л и . Э т и г р у п п ы

ролей (глобальные группы) могут быть членами...

Занятие 1

Создание групп и управление ими 53

• ...локальных групп в домене ( D o m a i n Local), которые представляют бизнес-

правила, н а п р и м е р р а з р е ш е н и е доступа чтения к конкретной коллекции па-

пок. Т а к и е г р у п п ы п р а в и л ( л о к а л ь н ы е г р у п п ы в домене) добавляются в...

• ...списки к о н т р о л я доступа (Access control list), обеспечивающие уровень

доступа, т р е б у е м ы й р о л ы о .

В лесу из м н о ж е с т в а д о м е н о в существуют также универсальные группы,

которые занимают место между глобальными и локальными группами в домене.

Глобальные г р у п п ы из множества доменов будут членами одной универсальной

группы. Эта у н и в е р с а л ь н а я группа я в л я е т с я членом доменных локальных групп

во м н о ж е с т в е д о м е н о в . И м е н н о т а к а я методика называется AGDLA.

Эта о п т и м а л ь н а я методика в л о ж е н и я групп отлично работает даже в сцена-

риях с м н о ж е с т в о м д о м е н о в . С х е м а у п р а в л е н и я группами показана на рис. 4-6.

О н а о т р а ж а е т т е х н и ч е с к и е д е т а л и м е т о д и к и AGDLA; на этом рисунке также

представлен б и з н е с – о б з о р у п р а в л е н и я на основе ролей и правил.

V Папка Продажи

Рис. 4-6. Реализация схемы управления группами

Р а с с м о т р и м с л е д у ю щ и й с ц е н а р и й . О т д е л продаж компании Contoso, Ltd.

з а в е р ш и л ф и н а н с о в ы й год. Ф а й л ы д а н н ы х о п р о д а ж а х за п р е д ы д у щ и й год

х р а н я т с я в п а п к е П р о д а ж и . Р у к о в о д и т е л ю отдела продаж требуется доступ

ч т е н и я к п а п к е П р о д а ж и . К р о м е того, г р у п п е аудиторов из банка Woodgrove

Bank – п о т е н ц и а л ь н о г о и н в е с т о р а – т а к ж е нужен доступ чтения к папке Про-

д а ж и д л я аудита. Д а л е е о п и с а н ы шаги, к о т о р ы е нужно в ы п о л н и т ь д л я обеспе-

ч е н и я безопасности, т р е б у е м о й в т а к о м сценарии.

1. О п р е д е л и т е д л я п о л ь з о в а т е л е й с т а н д а р т н ы е обязанности или другие биз-

н е с – х а р а к т е р и с т и к и , ч т о б ы создать г р у п п ы р о л е й в качестве глобальных

групп безопасности.

154 Группы t

Глава 4

Эту операцию следует выполнить отдельно в к а ж д о м домене. С о т р у д н и к и

отдела продаж Contoso добавляются в группу р о л и П р о д а ж и . Аудиторы

Woodgrove Bank добавляются в группу р о л и Аудиторы.

2-. Создайте группу, представляющую б и з н е с – п р а в и л о д л я д о с т у п а ч т е н и я

к папке Продажи.

Эта операция выполняется в домене, с о д е р ж а щ е м ресурс, к к о т о р о м у при-

меняется правило. В данном случае им будет д о м е н C o n t o s o , в к о т о р о м

размещена папка Продажи. Группа правила создается как л о к а л ь н а я группа

в домене.

3. В группу правила добавьте группы ролей, к к о т о р ы м будет п р и м е н я т ь с я

бизнес-правило.

Эти группы могут располагаться в любом д о м е н е леса и л и д о в е р е н н о м до-

мене, как, например, Woodgrove Bank. Ч л е н о м л о к а л ь н о й г р у п п ы в д о м е н е

могут быть глобальные группы из внешних д о в е р е н н ы х д о м е н о в , а т а к ж е

из любого домена в том же лесу.

4. Назначьте разрешения для реализации требуемого у р о в н я д о с т у п а .

В данном случае локальной группе в домене п р е д о с т а в л я е т с я д о с т у п чтения

(Allow Read).

В результате мы получаем единую точку у п р а в л е н и я , где о п р е д е л я ю т с я

члены групп Продажи и Аудиторы. П о м и м о доступа ч т е н и я к п а п к е П р о д а -

жи эти роли, естественно, могут иметь и другие р а з р е ш е н и я д о с т у п а . П а п к а

Продажи может быть не просто папкой на одном сервере, а ц е л о й к о л л е к ц и е й

папок на множестве серверов, к каждой из которых н а з н а ч а е т с я д о с т у п ч т е н и я

для отдельной локальной группы в домене.

Практические занятия. Создание групп и управление ими

В предложенных далее упражнениях вы создадите г р у п п ы , п о п р а к т и к у е т е с ь

с назначением членства группы, а также преобразуете т и п и о б л а с т ь д е й с т в и я

группы. Перед выполнением упражнения в д о м е н е c o n t o s o . c o m н у ж н о создать

следующие объекты:

« подразделение первого уровня Группы;

• подразделение первого уровня Кадры;

• объекты пользователей в подразделении К а д р ы д л я п о л ь з о в а т е л е й Л и н д ы

Митчелл, Скотта Митчелла, Д ж е ф ф а Ф о р д а , М а й к а Ф и т ц м о р и с а , М а й к а

Дансеглио и Тони Крайнена.

Упражнение 1. Создание групп

В этом упражнении вы создадите группы с р а з л и ч н ы м и о б л а с т я м и д е й с т в и я

и типами.

1. Войдите на машину SERVER01 как а д м и н и с т р а т о р и о т к р о й т е оснастку

Active Directory – пользователи и компьютеры (Active Di re c to r y Users And

Computers). В дереве консоли выберите п о д р а з д е л е н и е Группы.

2. Щелкните правой кнопкой мыши подразделение Группы, в ы б е р и т е о п ц и ю

Создать (New) и примените команду Группа ( G r o u p ) .

Занятие 1

Создание групп и управление ими

155

3. В поле И м я г р у п п ы ( G r o u p N a m e ) введите и м я Продажи.

4. В ы б е р и т е д л я г р у п п ы область д е й с т в и я Глобальная (Global) и тип Безо-

пасность ( S e c u r i t y ) . Щ е л к н и т е О К .

5. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и группу Продажи' и примените команду

С в о й с т в а ( P r o p e r t i e s ) .

6. П е р е й д и т е на в к л а д к у Ч л е н ы г р у п п ы (Members).

7. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

8. Введите и м е н а Джефф;Тони и щ е л к н и т е О К .

9. Щ е л к н и т е О К , чтобы з а к р ы т ь диалоговое окно Свойства (Properties).

10. П о в т о р и т е ш а г и 2 – 4 , ч т о б ы создать две глобальные группы безопаснос-

ти – М а р к е т и н г и К о н с у л ь т а н т ы .

11. П о в т о р и т е ш а г и 2 – 4 , чтобы создать локальную группу безопасности домена

A C L _ S a l e s F o l d e r _ R e a d .

12. О т к р о й т е с в о й с т в а г р у п п ы A C L _ S a l e s _ F o l d e r _ R e a d .

13. П е р е й д и т е на в к л а д к у Ч л е н групп ( M e m b e r Of).

14. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

15. В в е д и т е и м е н а Продажи; Маркетинг; Консультанты и щелкните ОК.

16. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

17. В в е д и т е и м я Линда и щ е л к н и т е О К .

18. Щ е л к н и т е О К, ч т о б ы з а к р ы т ь д и а л о г о в о е окно Свойства (Properties).

19. О т к р о й т е д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) группы Маркетинг.

20. П е р е й д и т е на в к л а д к у Ч л е н г р у п п ( M e m b e r O f ) и щелкните кнопку Доба-

в и т ь ( A d d ) .

21. В в е д и т е и м я ACL_Sales Folder_Read и щ е л к н и т е О К .

Вы не м о ж е т е д о б а в и т ь л о к а л ь н у ю группу домена в глобальную группу.

22. О т м е н и т е о п е р а ц и и и з а к р о й т е все д и а л о г о в ы е окна.

23. На д и с к е С: с о з д а й т е п а п к у с и м е н е м Продажи.

24. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Продажи, п р и м е н и т е команду

С в о й с т в а ( P r o p e r t i e s ) и п е р е й д и т е на вкладку Безопасность (Security).

25. Щ е л к н и т е к н о п к у И з м е н и т ь (Edit), а затем щелкните кнопку Добавить (Add).

26. Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н о (Advanced), а затем кнопку Поиск (Find

N o w ) . С п о м о щ ь ю п р е ф и к с а и м е н групп, н а п р и м е р п р е ф и к с а ACL_ д л я

групп у п р а в л е н и я д о с т у п о м к ресурсам, можно быстро найти и сгруппи-

ровать эти г р у п п ы в н а ч а л е списка.

27. О т м е н и т е о п е р а ц и и во всех о т к р ы т ы х диалоговых окнах.

28. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и подразделение Группы, выберите опцию

Создать ( N e w ) и п р и м е н и т е к о м а н д у Группа ( G r o u p ) .

29. В п о л е И м я г р у п п ы ( G r o u p N a m e ) введите и м я Служащие.

30. Выберите д л я г р у п п ы область д е й с т в и я Л о к а л ь н а я в домене (Domain Local)

и т и п Б е з о п а с н о с т ь ( S e c u r i t y ) . Щ е л к н и т е О К .

1 5 6 Группы t

Глава 4

Упражнение 2. Преобразование области действия и т и п а г р у п п ы

В этом упражнении вы преобразуете тип и область д е й с т в и я г р у п п ы .

1. Щелкните правой кнопкой мыши группу С л у ж а щ и е и п р и м е н и т е к о м а н д у

Свойства (Properties).

2. Назначьте тип группы Распространение ( D i s t r i b u t i o n ) . 1

3. Щелкните кнопку Применить (Apply).

4. Щелкните ОК, чтобы закрыть диалоговое окно С в о й с т в а ( P r o p e r t i e s ) .

Резюме

• Существуют два типа групп: группы безопасности и г р у п п ы р а с п р о с т р а н е -

ния. Группе безопасности можно назначать р а з р е ш е н и я доступа, а группа

распространения используется в качестве списка р а с с ы л к и э л е к т р о н н о й

почты.

• Помимо локальных групп, которые поддерживаются т о л ь к о в л о к а л ь н о й

базе данных SAM на рядовом сервере домена, с у щ е с т в у ю т еще т р и т и п а

области действия групп: глобальная, л о к а л ь н а я в д о м е н е и у н и в е р с а л ь н а я .

• Область действия группы влияет на ее р е п л и к а ц и ю , на т и п ы о б ъ е к т о в , ко-

торые могут быть членами группы, и на возможность г р у п п ы в о й т и в состав

другой группы или на решение таких задач у п р а в л е н и я , к а к н а з н а ч е н и е

разрешений доступа группе.

• После создания группы можно преобразовать ее т и п и о б л а с т ь д е й с т в и я .

Закрепление материала

Следующие вопросы можно использовать д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х

на занятии 1. Эти вопросы есть на сопроводительном к о м п а к т – д и с к е .

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант" ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. В новом проекте требуется, чтобы пользователи в в а ш е м д о м е н е и , д о м е н е

партнерской организации имели доступ к о б щ е й папке на в а ш е м ф а й л о -

вом сервере. Группу какого типа следует создать д л я у п р а в л е н и я д о с т у п о м

к этой общей папке?

A. Универсальную группу безопасности.

Б. Локальную группу безопасности в домене.

B. Глобальную группу безопасности.

Г. Локальную группу распространения в домене.

2. Ваш домен содержит группу распространения с именем О б н о в л е н и е компа-

нии. Указанная группа используется д л я п е р е с ы л к и ее ч л е н а м новостей

компании по электронной почте. Вы решили позволить всем членам группы

участвовать в подготовке информационного бюллетеня и создали д л я этого

Занятие 2

Автоматизация создания групп и контроля за ними -| 57

о б щ у ю п а п к у на ф а й л о в о м сервере. Ч т о н у ж н о сделать, чтобы разрешить

ч л е н а м г р у п п ы доступ к этой общей папке?

A. Н а з н а ч и т ь д л я г р у п п ы л о к а л ь н у ю область действия в домене.

Б. Н а з н а ч и т ь д л я г р у п п ы у н и в е р с а л ь н у ю область действия.

B. Д о б а в и т ь группу р а с п р о с т р а н е н и я в группу Пользователи домена (Do-

main Users).

Г. И с п о л ь з о в а т ь к о м а н д у Dsmod. с переключателем -secgrp yes.

3. В д о м е н е contoso.com вы создали глобальную группу безопасности с име-

нем К о р п о р а т и в н ы е м е н е д ж е р ы . К а к и е члены могут быть включены в эту

г р у п п у ? ( У к а ж и т е все в а р и а н т ы . )

A. Г л о б а л ь н а я г р у п п а М е н е д ж е р ы по п р о д а ж а м в доверенном д о м е н е

f a b r i k a m . c o m п а р т н е р с к о й к о м п а н и и .

Б. Г л о б а л ь н а я г р у п п а М е н е д ж е р ы по продажам в домене tailspintoys.com


    Ваша оценка произведения:

Популярные книги за неделю