Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 16 (всего у книги 91 страниц)
домена;
о универсальные группы, определенные в л ю б о м д о м е н е леса.
• Доступность Локальная группа р а с п о л а г а е т о б л а с т ь ю д е й с т в и я л и ш ь
на уровне компьютера. Ее можно использовать в с п и с к а х ACL т о л ь к о на
локальном компьютере. Локальная группа не м о ж е т б ы т ь ч л е н о м д р у г и х
групп.
Локальные группы в домене
Локальные группы в домене изначально и с п о л ь з у ю т с я д л я у п р а в л е н и я раз-
решениями доступа к ресурсам. Например, г р у п п а A C L _ S a l e s F o l d e r _ R e a d ,
описанная ранее на этом занятии, должна быть создана к а к л о к а л ь н а я группа
в домене. Далее перечислены характеристики л о к а л ь н ы х г р у п п в домене.
• Репликация Локальная группа в домене о п р е д е л я е т с я в к о н т е к с т е име-
нования домена. Объект группы и его членство ( а т р и б у т membership) реп-
лицируются на каждый контроллер в домене.
• Членство В локальную группу в домене могут в х о д и т ь с л е д у ю щ и е члены:
о все принципалы безопасности домена: п о л ь з о в а т е л и , к о м п ь ю т е р ы , гло-
бальные группы и другие л о к а л ь н ы е г р у п п ы в домене;
о пользователи, компьютеры и г л о б а л ь н ы е г р у п п ы из л ю б о г о д о м е н а
в лесу;
о универсальные группы, определенные в л ю б о м д о м е н е леса.
• Доступность Локальную группу в домене м о ж н о д о б а в и т ь в с п и с к и ACL
любого ресурса на любом рядовом компьютере домена. К р о м е того, локаль-
ная группа в домене может быть членом д р у г и х л о к а л ь н ы х г р у п п в д о м е н е
и даже локальных групп компьютеров.
Членство в локальной группе домена и д е н т и ч н о ч л е н с т в у в о б ы ч н ы х ло-
кальных группах, но репликация и доступность л о к а л ь н о й г р у п п ы д о м е н а
позволяет использовать ее в пределах всего домена. Поэтому л о к а л ь н у ю группу
домена удобно применять для определения п р а в и л у п р а в л е н и я д е я т е л ь н о с т ь ю
предприятия, например правил доступа, поскольку эту г р у п п у м о ж н о исполь-
зовать во всем домене и включать в нее члены лю бо го т и п а в н у т р и данного
домена, а также члены из доверенных доменов.
Занятие 1
Создание групп и управление ими
1 4 7
Глобальные группы
Глобальные г р у п п ы и з н а ч а л ь н о с л у ж а т д л я определения коллекций объектов
доменов на основе б и з н е с – п р а в и л . Группы ролей, например группы Продажи
и Маркетинг, у п о м я н у т ы е ранее, а т а к ж е роли компьютеров (например, Ноут-
буки отдела п р о д а ж ) , будут с о з д а н ы ка к глобальные группы. Далее описаны
х а р а к т е р и с т и к и г л о б а л ь н ы х групп.
• Р е п л и к а ц и я Г л о б а л ь н а я г р у п п а о п р е д е л я е т с я в контексте именования
домена. О б ъ е к т г р у п п ы , в к л ю ч а я атрибут member, реплицируется на все
к о н т р о л л е р ы в домене.
• Ч л е н с т в о Глобальная группа м о ж е т содержать пользователей, компьюте-
ры и д р у г и е г л о б а л ь н ы е г р у п п ы т о л ь к о из одного домена.
• Д о с т у п н о с т ь Г л о б а л ь н а я группа м о ж е т использоваться всеми членами
домена, а т а к ж е д р у г и м и д о м е н а м и в лесу и всеми внешними доверяющи-
ми д о м е н а м и . Г л о б а л ь н а я группа может быть членом любой локальной в
д о м е н е и л и у н и в е р с а л ь н о й г р у п п ы в домене и л и лесу. Она также может
в х о д и т ь в с о с т а в л ю б о й л о к а л ь н о й г р у п п ы в доверяющем домене. И на-
конец, г л о б а л ь н у ю г р у п п у м о ж н о д о б а в и т ь в списки ACL в домене, лесу
и д о в е р я ю щ и х д о м е н а х .
К а к в и д и м , ч л е н с т в о в г л о б а л ь н ы х г р у п п а х ограниченно (только поль-
зователи, к о м п ь ю т е р ы и г л о б а л ь н ы е г р у п п ы из одного домена), однако они
д о с т у п н ы в д о м е н е , л е с у и д о в е р я ю щ и х доменах. Их удобно применять для
о п р е д е л е н и я р о л е й , п о с к о л ь к у роли, ка к правило, представляют собой кол-
л е к ц и и о б ъ е к т о в из о д н о г о каталога.
У н и в е р с а л ь н ы е г р у п п ы
У н и в е р с а л ь н ы е г р у п п ы у д о б н о задействовать в лесах из множества доменов.
О н и п о з в о л я ю т о п р е д е л я т ь р о л и и управлять ресурсами, которые распределены
на н е с к о л ь к и х д о м е н а х . П о н я т ь п р и н ц и п универсальных групп проще всего на
примере. К о м п а н и я Trey Research имеет лес с тремя доменами – Americas, Asia
и Europe. К а ж д ы й д о м е н располагает учетными записями пользователей и гло-
бальной группой Р е г и о н а л ь н ы е менеджеры, включающей менеджеров данного
региона. К а к мы г о в о р и л и , г л о б а л ь н ы е группы могут содержать пользователей
т о л ь к о из одного домена. П о э т о м у б ы л а создана универсальная группа Реги-
о н а л ь н ы е м е н е д ж е р ы Trey Research, в которую в качестве членов добавлены
т р и г р у п п ы Р е г и о н а л ь н ы е м е н е д ж е р ы . Таким образом, группа Региональные
м е н е д ж е р ы Trey Research о п р е д е л я е т роль д л я всего леса. Пользователи добав-
л я ю т с я в одну из в л о ж е н н ы х групп Р е г и о н а л ь н ы е менеджеры и так становятся
ч л е н а м и г р у п п ы Р е г и о н а л ь н ы е м е н е д ж е р ы Trey Research.
К о м п а н и я Trey Research п л а н и р у е т реализовать новый продукт, д л я чего
потребуется обеспечить сотрудничество с регионами. Ресурсы проекта хранят-
ся на ф а й л о в ы х серверах в к а ж д о м домене. Д л я определения пользователей,
которые могут м о д и ф и ц и р о в а т ь ф а й л ы нового продукта, создана универсаль-
ная группа A C L _ N e w _ P r o d u c t _ M o d i f y . Этой группе назначается разрешение
изменения (Allow M o d i f y ) о б щ и х папок на каждом файловом сервере в каждом
домене. Группа Р е г и о н а л ь н ы е м е н е д ж е р ы Trey Research включена в группу
148 Группы t
Глава 4
ACL_New_Product_Modify вместе с р а з л и ч н ы м и г л о б а л ь н ы м и г р у п п а м и
и пользователями из каждого региона.
Как показано в примере, универсальные г р у п п ы могут п о м о ч ь в представ-;
лении и консолидации групп, распределенных по д о м е н а м в лесу, а т а к ж е оп-
ределить правила, которые можно п р и м е н я т ь во в с е м лесу. Д а л е е о п и с а н ы
характеристики универсальных групп.
• Репликация Универсальная группа определяется в одном д о м е н е леса, но
реплицируется в глобальный каталог. ( П о д р о б н е е о г л о б а л ь н о м каталоге
рассказывается в главе 10.) Объекты в г л о б а л ь н о м к а т а л о г е д о с т у п н ы во
всем лесу.
• Членство Универсальная группа может б ы т ь ч л е н о м д р у г о й у н и в е р с а л ь -
ной или локальной группы домена в лесу. Кроме того, у н и в е р с а л ь н а я группа
может использоваться для управления ресурсами, н а п р и м е р д л я н а з н а ч е н и я
разрешений доступа во всем лесу.
Членство в группах: обобщение
На сертификационном экзамене 7 0 – 6 4 0 и при р е ш е н и и п о в с е д н е в н ы х задач
администрирования нужно знать все х а р а к т е р и с т и к и ч л е н с т в а д л я к а ж д о й
области действия группы.
В табл. 4-1 описаны объекты, которые могут быть ч л е н а м и в о б л а с т и дейс-
твия каждой группы.
Табл. 4-1. Область действия и члены группы
Область
Члены группы из того же Члены группы из
Члены группы
действия
домена
другого домена в том
из доверенного
группы
же лесу
внешнего домена
Локальная Пользователи, компью-
Пользователи, ком-
Пользователи, ком-
теры, глобальные груп-
пьютеры, глобальные пьютеры, глобаль-
пы, универсальные груп– группы и универсаль– ные группы
пы, локальные группы в ные группы
домене, локальные поль-
зователи, определенные
на том же компьютере,
где определена локаль-
ная группа
Локальная Пользователи, компыо-
Пользователи, ком– Пользователи, ком-
в домене теры, глобальные груп-
пьютеры, глобальные пьютеры, глобаль-
пы, универсальные груп– группы и универсаль– ные группы
пы, локальные группы
ные группы
в домене
Универсальная Пользователи, компью-
Пользователи, ком-
Нет доступа
теры, глобальные груп-
пьютеры, глобальные
пы и универсальные
группы и универсаль-
группы
ные группы
Глобальная Пользователи, ком-
Нет доступа
Нет доступа
пьютеры, глобальные
группы
Занятие 1
Создание групп и управление ими
149
К о н т р о л ь н ы й в о п р о с
• Какие типы объектов могут быть членами глобальной группы в домене?
Ответ н а к о н т р о л ь н ы й в о п р о с
• Глобальные группы могут содержать только пользователей, компьютеры
и другие глобальные группы из того же домена.
Преобразование области действия и типа группы
Если п о с л е с о з д а н и я г р у п п ы в о з н и к а е т необходимость модифицировать е е
область д е й с т в и я и л и тип, о т к р о й т е д и а л о г о в о е окно Свойства (Properties)
с у щ е с т в у ю щ е й г р у п п ы . На в к л а д к е О б щ и е (General) будет указана существу-
ю щ а я о б л а с т ь д е й с т в и я и т и п (рис. 4-3). О б ы ч н о д л я группы можно выбрать
по м е н ь ш е й мере е щ е о д н у область д е й с т в и я и тип.
; ,. МЛ1
Объект j Безопасность j Pea* гор атрибутов
Общие j Чпе*ы группь | Ч«е«гр>тг | Угрввляется
Фи^-енсооьт
группы ^pa-VWidows 2003) [^.^згссвые
Orv:«wf> j
Зп почта' Г
Г?– Область ав*ств»« группы Ti-n группе
(*. бвэопэоость
j (• Гпэбапьпг*
<~ fpflrw распространена
Универсальная .. 1
_
fl ... .......... ... _ .... zi '
| QK | | "•-•••-• |
Рис. 4-3. Изменение области действия и типа группы
в диалоговом окне свойств
Т и п г р у п п ы м о ж н о преобразовать, выбрав другой тип в секции Тип группы
( G r o u p Туре) на в к л а д к е О б щ и е ( G e n e r a l ) . Од н а ко при этом нужно проявлять
осторожность. П р и п р е о б р а з о в а н и и г р у п п ы безопасности в группу распростра-
н е н и я все ресурсы, р а з р е ш е н и я доступа к ко т о р ым назначены группе, больше
не будут д ей ствова ть. П о с л е п р е о б р а з о в а н и я группы безопасности в группу
р а с п р о с т р а н е н и я п о л ь з о в а т е л и , в х о д я щ и е в домен, больше не будут включать
S I D – и д е н т и ф и к а т о р э т о й г р у п п ы в свои м а р к е р ы безопасности доступа.
О б л а с т ь д е й с т в и я г р у п п ы м о ж н о и з м е н и т ь одним из следующих способов:
• глобальную г р у п п у м о ж н о преобразовать в универсальную;
• л о к а л ь н у ю группу д о м е н а м о ж н о преобразовать в универсальную;
1 5 0 Группы t
Глава 4
• универсальную группу можно преобразовать в глобальную;
• универсальную группу можно преобразовать в локальную группу домена.
Вы не можете напрямую преобразовать глобальную группу в локальную
группу домена и локальную группу домена в глобальную. О д н а к о сделать
это можно, преобразовав вначале группу в универсальную, а затем универ-
сальную – в требуемую область действия. Таким образом можно выполнять
преобразования всех областей действия.
Однако помните, что область действия группы определяет типы объектов,
которые могут быть членами группы. Если в группе уже есть члены и л и сама
она входит в другую группу, изменение области д е й с т в и я может оказаться
недоступным. Например, если глобальная группа входит в другую глобаль-
ную группу, вы не сможете преобразовать первую группу в универсальную, по-
скольку универсальная группа не может быть членом глобальной (отобразится
сообщение об ошибке, показанное на рис. 4-4). Поэтому перед изменением
области действия группы требуется откорректировать членство группы.
Рис. 4-4. Ошибка, которая возникает, когда членство группы не позволяет изменить
ее область действия
Для изменения типа и области действия группы можно использовать ко-
манду Dsmod, описанную в главе 3:
dsmod group 0Н_группы -secgrp { yes | no ) -scope { 1 | g | и }
В качестве DN_zpynnu нужно указать отличительное и м я м о д и ф и ц и р у -
емой группы. Следующие два параметра влияют на область д е й с т в и я и тип
группы.
• Параметр -secgrp {yes | по } указывает тип группы: безопасность (yes) или
распространение (по),
ш Параметр -scope {1 1 g и } определяет область действия группы: локальная
в домене (/), глобальная (g) или универсальная (и).
Управление членством в группе
Для добавления и удаления членов группы можно использовать несколько
методов. Во-первых, вы можете открыть диалоговое окно Свойства (Properties)
группы и перейти на вкладку Члены группы (Members). Д л я удаления члена
группы выберите его и щелкните кнопку Удалить (Remove). Ч т о б ы добавить
член в группу, щелкните кнопку Добавить (Add). Откроется диалоговое окно
Выбор: "Пользователи", "Контакты", "Компьютеры " или "Группы" (Select Users,
Contacts, Computers, or Groups), показанное на рис. 4-5.
Занятие 1
Создание групп и управление ими
1 5 1
Mix)
ОАикт Sw^cHOCTb I F«i»Mci>eTi»^roe j
о«щм Чл«.гита | «„„г,™ | j
З В Ш К Ш З Г
EMfepwc -лп объекта
(•Гфяьа'оввгепи", ТиггъСйЙ
^ С ^ В Ц Д – Г,
вень'те >»ля
l^jrtoao com
Be r« eJ^rwa «
Л*в [RD?J)
I Вгтлв
!> Бгрйврв Haft Ытеу»
c
f, Егсйвсв Мзс t*nc>d«nd
eorto»cem/Ke
Рис. 4-5. Добавление члена в группу
Д а л е е п р и в е д е н ы н е к о т о р ы е р е к о м е н д а ц и и .
• В п о л е В в е д и т е и м е н а в ы б и р а е м ы х объектов ( E n t e r The Object Name) диа-
логового о к н а В ы б о р ( S e l e c t ) м о ж н о ввести множество учетных записей,
р а з д е л е н н ы х т о ч к о й с з а п я т о й . Н а п р и м е р , на рис. 4-5 введены учетные
з а п и с и П р о д а ж и и Ф и н а н с ы , р а з д е л е н н ы е точкой с запятой.
• Вы м о ж е т е ввести н е п о л н ы е имена учетных записей – полное имя вводить
н е о б я з а т е л ь н о . С и с т е м а W i n d o w s в ы п о л н и т в Active Directory поиск учет-
н ы х записей, к о т о р ы е н а ч и н а ю т с я с введенного имени. Если найдено лишь
одно им я, с и с т е м а в ы б е р е т его автоматически. Если же найдено множество
имен, о т к р о е т с я д и а л о г о в о е окно Н а й д е н о несколько имен (Multiple Names
F o u n d ) , где м о ж н о у к а з а т ь н у ж н ы е объекты. Ввод неполных имен может
с э к о н о м и т ь время, необходимое д л я добавления членов в группы, и помочь,
если в ы з а б у д е т е т о ч н о е и м я члена.
• По у м о л ч а н и ю W i n d o w s в ы п о л н я е т поиск л и ш ь тех пользователей и групп,
к о т о р ы е с о о т в е т с т в у ю т и м е н а м , введенным в диалоговое окно Выбор (Se-
lect). Ч т о б ы д о б а в и т ь в г р у п п у компьютеры, щелкните кнопку Типы объ-
ектов ( O b j e c t Types) и у с т а н о в и т е ф л а ж о к Компьютеры (Computers).
• По у м о л ч а н и ю W i n d o w s в ы п о л н я е т поиск л и ш ь групп домена. Чтобы до-
бавить л о к а л ь н ы е у ч е т н ы е записи, в диалоговом окне Выбор (Select) щел-
к н и т е к н о п к у Р а з м е щ е н и е (Locations).
• Е с л и вы не м о ж е т е н а й т и член, к о т о р ы й необходимо добавить в группу,
в д и а л о г о в о м о к н е В ы б о р (Select) щ е л к н и т е кнопку Дополнительно (Ad-
v a n c e d ) . О т к р о е т с я о к н о з а п р о с о в с д о п о л н и т е л ь н ы м и о п ц и я м и поиска
в Active Directory.
Д о б а в и т ь объект в группу м о ж н о также в оснастке Active Directory – поль-
з о в а т е л и и к о м п ь ю т е р ы (Active D i r e c t o r y Users And Computers). Д л я этого
откройте диалоговое окно свойств объекта и перейдите на вкладку Член групп
152 Группы t
Глава 4
(Member Of)– Щелкните кнопку Добавить ( A d d ) и в ы б е р и т е группу. Вы так-
же можете щелкнуть правой кнопкой м ы ш и один и л и н е с к о л ь к о в ы д е л е н н ы х
объектов и применить команду Добавить в группу (Add То G r o u p ) .
Атрибуты member и memberOf
При добавлении члена в группу изменяется атрибут member группы. Атрибут
member многозначен. Каждый член представлен з н а ч е н и е м DN (отличительное
имя) в группе. При перемещении или п е р е и м е н о в а н и и члена Active Directory
автоматически обновляет атрибуты member групп, к о т о р ы м он п р и н а д л е ж и т .
При добавлении члена в группу т а к ж е к о с в е н н о о б н о в л я е т с я а т р и б у т
memberOf. Атрибут memberOf относится к особому т и п у а т р и б у т о в , который
называется обратной ссылкой. Он о б н о в л я е т с я в A c t i v e D i r e c t o r y , когда на
объект ссылается атрибут прямой ссылки, н а п р и м е р member. П р и д о б а в л е н и и
члена в группу атрибут member всегда изменяется. П о э т о м у п р и и с п о л ь з о в а н и и
вкладки Член групп (Member Of) для д о б а в л е н и я объекта в г р у п п у на самом
деле изменяется атрибут member. Атрибут memberOf о б н о в л я е т с я в Active Di-
rectory автоматически.
Быстрое изменение членства в группе
При добавлении пользователя в группу параметры ч л е н с т в а в с т у п а ю т в с и л у
не сразу. Членство в группах оценивается при входе п о л ь з о в а т е л я ( и л и запуске
компьютера). Поэтому пользователю нужно в ы й т и и в н о в ь в о й т и в систему,
чтобы членство в группе было указано в маркере п о л ь з о в а т е л я .
Кроме того, задержки может создавать р е п л и к а ц и я и з м е н е н и й ч л е н с т в а
в группах (репликация описана в главе 11). В частности, р е п л и к а ц и я замед-
ляется, когда предприятие содержит несколько с а й т о в Active Directory. П р и -
менение изменений членства к пользователю м о ж н о у с к о р и т ь , е с л и в н е с т и
изменение на контроллере домена в сайте п о л ь з о в а т е л я . В о с н а с т к е A c t i v e
Directory – пользователи и компьютеры (Active D i r e c t o r y U s e r s And C o m -
puters) щелкните правой кнопкой мыши домен и в ы б е р и т е к о м а н д у С м е н и т ь
контроллер домена (Change Domain Controller).
Разработка стратегии управления группами
Включая группы в другие группы (это называемое вложением), м о ж н о создавать
иерархию групп, поддерживающих бизнес-роли и п р а в и л а . И з у ч и в б и з н е с -
цели и технические характеристики групп, вы можете п р и с т у п а т ь к разработке
стратегии управления группами.
Ранее на этом занятии мы говорили, какие т и п ы о б ъ е к т о в могут б ы т ь чле-
нами каждой группы. Теперь выясним, к а к и е т и п ы о б ъ е к т о в д о л ж н ы б ы т ь
членами каждой группы. В результате мы определим о п т и м а л ь н у ю м е т о д и к у
вложения групп AGDLA.
• Учетные записи (Accounts), то есть пользователи и компьютеры, становятся
членами...
• ...глобальных групп (Global), п р е д с т а в л я ю щ и х б и з н е с – р о л и . Э т и г р у п п ы
ролей (глобальные группы) могут быть членами...
Занятие 1
Создание групп и управление ими 53
• ...локальных групп в домене ( D o m a i n Local), которые представляют бизнес-
правила, н а п р и м е р р а з р е ш е н и е доступа чтения к конкретной коллекции па-
пок. Т а к и е г р у п п ы п р а в и л ( л о к а л ь н ы е г р у п п ы в домене) добавляются в...
• ...списки к о н т р о л я доступа (Access control list), обеспечивающие уровень
доступа, т р е б у е м ы й р о л ы о .
В лесу из м н о ж е с т в а д о м е н о в существуют также универсальные группы,
которые занимают место между глобальными и локальными группами в домене.
Глобальные г р у п п ы из множества доменов будут членами одной универсальной
группы. Эта у н и в е р с а л ь н а я группа я в л я е т с я членом доменных локальных групп
во м н о ж е с т в е д о м е н о в . И м е н н о т а к а я методика называется AGDLA.
Эта о п т и м а л ь н а я методика в л о ж е н и я групп отлично работает даже в сцена-
риях с м н о ж е с т в о м д о м е н о в . С х е м а у п р а в л е н и я группами показана на рис. 4-6.
О н а о т р а ж а е т т е х н и ч е с к и е д е т а л и м е т о д и к и AGDLA; на этом рисунке также
представлен б и з н е с – о б з о р у п р а в л е н и я на основе ролей и правил.
V Папка Продажи
Рис. 4-6. Реализация схемы управления группами
Р а с с м о т р и м с л е д у ю щ и й с ц е н а р и й . О т д е л продаж компании Contoso, Ltd.
з а в е р ш и л ф и н а н с о в ы й год. Ф а й л ы д а н н ы х о п р о д а ж а х за п р е д ы д у щ и й год
х р а н я т с я в п а п к е П р о д а ж и . Р у к о в о д и т е л ю отдела продаж требуется доступ
ч т е н и я к п а п к е П р о д а ж и . К р о м е того, г р у п п е аудиторов из банка Woodgrove
Bank – п о т е н ц и а л ь н о г о и н в е с т о р а – т а к ж е нужен доступ чтения к папке Про-
д а ж и д л я аудита. Д а л е е о п и с а н ы шаги, к о т о р ы е нужно в ы п о л н и т ь д л я обеспе-
ч е н и я безопасности, т р е б у е м о й в т а к о м сценарии.
1. О п р е д е л и т е д л я п о л ь з о в а т е л е й с т а н д а р т н ы е обязанности или другие биз-
н е с – х а р а к т е р и с т и к и , ч т о б ы создать г р у п п ы р о л е й в качестве глобальных
групп безопасности.
154 Группы t
Глава 4
Эту операцию следует выполнить отдельно в к а ж д о м домене. С о т р у д н и к и
отдела продаж Contoso добавляются в группу р о л и П р о д а ж и . Аудиторы
Woodgrove Bank добавляются в группу р о л и Аудиторы.
2-. Создайте группу, представляющую б и з н е с – п р а в и л о д л я д о с т у п а ч т е н и я
к папке Продажи.
Эта операция выполняется в домене, с о д е р ж а щ е м ресурс, к к о т о р о м у при-
меняется правило. В данном случае им будет д о м е н C o n t o s o , в к о т о р о м
размещена папка Продажи. Группа правила создается как л о к а л ь н а я группа
в домене.
3. В группу правила добавьте группы ролей, к к о т о р ы м будет п р и м е н я т ь с я
бизнес-правило.
Эти группы могут располагаться в любом д о м е н е леса и л и д о в е р е н н о м до-
мене, как, например, Woodgrove Bank. Ч л е н о м л о к а л ь н о й г р у п п ы в д о м е н е
могут быть глобальные группы из внешних д о в е р е н н ы х д о м е н о в , а т а к ж е
из любого домена в том же лесу.
4. Назначьте разрешения для реализации требуемого у р о в н я д о с т у п а .
В данном случае локальной группе в домене п р е д о с т а в л я е т с я д о с т у п чтения
(Allow Read).
В результате мы получаем единую точку у п р а в л е н и я , где о п р е д е л я ю т с я
члены групп Продажи и Аудиторы. П о м и м о доступа ч т е н и я к п а п к е П р о д а -
жи эти роли, естественно, могут иметь и другие р а з р е ш е н и я д о с т у п а . П а п к а
Продажи может быть не просто папкой на одном сервере, а ц е л о й к о л л е к ц и е й
папок на множестве серверов, к каждой из которых н а з н а ч а е т с я д о с т у п ч т е н и я
для отдельной локальной группы в домене.
Практические занятия. Создание групп и управление ими
В предложенных далее упражнениях вы создадите г р у п п ы , п о п р а к т и к у е т е с ь
с назначением членства группы, а также преобразуете т и п и о б л а с т ь д е й с т в и я
группы. Перед выполнением упражнения в д о м е н е c o n t o s o . c o m н у ж н о создать
следующие объекты:
« подразделение первого уровня Группы;
• подразделение первого уровня Кадры;
• объекты пользователей в подразделении К а д р ы д л я п о л ь з о в а т е л е й Л и н д ы
Митчелл, Скотта Митчелла, Д ж е ф ф а Ф о р д а , М а й к а Ф и т ц м о р и с а , М а й к а
Дансеглио и Тони Крайнена.
Упражнение 1. Создание групп
В этом упражнении вы создадите группы с р а з л и ч н ы м и о б л а с т я м и д е й с т в и я
и типами.
1. Войдите на машину SERVER01 как а д м и н и с т р а т о р и о т к р о й т е оснастку
Active Directory – пользователи и компьютеры (Active Di re c to r y Users And
Computers). В дереве консоли выберите п о д р а з д е л е н и е Группы.
2. Щелкните правой кнопкой мыши подразделение Группы, в ы б е р и т е о п ц и ю
Создать (New) и примените команду Группа ( G r o u p ) .
Занятие 1
Создание групп и управление ими
155
3. В поле И м я г р у п п ы ( G r o u p N a m e ) введите и м я Продажи.
4. В ы б е р и т е д л я г р у п п ы область д е й с т в и я Глобальная (Global) и тип Безо-
пасность ( S e c u r i t y ) . Щ е л к н и т е О К .
5. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и группу Продажи' и примените команду
С в о й с т в а ( P r o p e r t i e s ) .
6. П е р е й д и т е на в к л а д к у Ч л е н ы г р у п п ы (Members).
7. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
8. Введите и м е н а Джефф;Тони и щ е л к н и т е О К .
9. Щ е л к н и т е О К , чтобы з а к р ы т ь диалоговое окно Свойства (Properties).
10. П о в т о р и т е ш а г и 2 – 4 , ч т о б ы создать две глобальные группы безопаснос-
ти – М а р к е т и н г и К о н с у л ь т а н т ы .
11. П о в т о р и т е ш а г и 2 – 4 , чтобы создать локальную группу безопасности домена
A C L _ S a l e s F o l d e r _ R e a d .
12. О т к р о й т е с в о й с т в а г р у п п ы A C L _ S a l e s _ F o l d e r _ R e a d .
13. П е р е й д и т е на в к л а д к у Ч л е н групп ( M e m b e r Of).
14. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
15. В в е д и т е и м е н а Продажи; Маркетинг; Консультанты и щелкните ОК.
16. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
17. В в е д и т е и м я Линда и щ е л к н и т е О К .
18. Щ е л к н и т е О К, ч т о б ы з а к р ы т ь д и а л о г о в о е окно Свойства (Properties).
19. О т к р о й т е д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r t i e s ) группы Маркетинг.
20. П е р е й д и т е на в к л а д к у Ч л е н г р у п п ( M e m b e r O f ) и щелкните кнопку Доба-
в и т ь ( A d d ) .
21. В в е д и т е и м я ACL_Sales Folder_Read и щ е л к н и т е О К .
Вы не м о ж е т е д о б а в и т ь л о к а л ь н у ю группу домена в глобальную группу.
22. О т м е н и т е о п е р а ц и и и з а к р о й т е все д и а л о г о в ы е окна.
23. На д и с к е С: с о з д а й т е п а п к у с и м е н е м Продажи.
24. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у Продажи, п р и м е н и т е команду
С в о й с т в а ( P r o p e r t i e s ) и п е р е й д и т е на вкладку Безопасность (Security).
25. Щ е л к н и т е к н о п к у И з м е н и т ь (Edit), а затем щелкните кнопку Добавить (Add).
26. Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н о (Advanced), а затем кнопку Поиск (Find
N o w ) . С п о м о щ ь ю п р е ф и к с а и м е н групп, н а п р и м е р п р е ф и к с а ACL_ д л я
групп у п р а в л е н и я д о с т у п о м к ресурсам, можно быстро найти и сгруппи-
ровать эти г р у п п ы в н а ч а л е списка.
27. О т м е н и т е о п е р а ц и и во всех о т к р ы т ы х диалоговых окнах.
28. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и подразделение Группы, выберите опцию
Создать ( N e w ) и п р и м е н и т е к о м а н д у Группа ( G r o u p ) .
29. В п о л е И м я г р у п п ы ( G r o u p N a m e ) введите и м я Служащие.
30. Выберите д л я г р у п п ы область д е й с т в и я Л о к а л ь н а я в домене (Domain Local)
и т и п Б е з о п а с н о с т ь ( S e c u r i t y ) . Щ е л к н и т е О К .
1 5 6 Группы t
Глава 4
Упражнение 2. Преобразование области действия и т и п а г р у п п ы
В этом упражнении вы преобразуете тип и область д е й с т в и я г р у п п ы .
1. Щелкните правой кнопкой мыши группу С л у ж а щ и е и п р и м е н и т е к о м а н д у
Свойства (Properties).
2. Назначьте тип группы Распространение ( D i s t r i b u t i o n ) . 1
3. Щелкните кнопку Применить (Apply).
4. Щелкните ОК, чтобы закрыть диалоговое окно С в о й с т в а ( P r o p e r t i e s ) .
Резюме
• Существуют два типа групп: группы безопасности и г р у п п ы р а с п р о с т р а н е -
ния. Группе безопасности можно назначать р а з р е ш е н и я доступа, а группа
распространения используется в качестве списка р а с с ы л к и э л е к т р о н н о й
почты.
• Помимо локальных групп, которые поддерживаются т о л ь к о в л о к а л ь н о й
базе данных SAM на рядовом сервере домена, с у щ е с т в у ю т еще т р и т и п а
области действия групп: глобальная, л о к а л ь н а я в д о м е н е и у н и в е р с а л ь н а я .
• Область действия группы влияет на ее р е п л и к а ц и ю , на т и п ы о б ъ е к т о в , ко-
торые могут быть членами группы, и на возможность г р у п п ы в о й т и в состав
другой группы или на решение таких задач у п р а в л е н и я , к а к н а з н а ч е н и е
разрешений доступа группе.
• После создания группы можно преобразовать ее т и п и о б л а с т ь д е й с т в и я .
Закрепление материала
Следующие вопросы можно использовать д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
на занятии 1. Эти вопросы есть на сопроводительном к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант" ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. В новом проекте требуется, чтобы пользователи в в а ш е м д о м е н е и , д о м е н е
партнерской организации имели доступ к о б щ е й папке на в а ш е м ф а й л о -
вом сервере. Группу какого типа следует создать д л я у п р а в л е н и я д о с т у п о м
к этой общей папке?
A. Универсальную группу безопасности.
Б. Локальную группу безопасности в домене.
B. Глобальную группу безопасности.
Г. Локальную группу распространения в домене.
2. Ваш домен содержит группу распространения с именем О б н о в л е н и е компа-
нии. Указанная группа используется д л я п е р е с ы л к и ее ч л е н а м новостей
компании по электронной почте. Вы решили позволить всем членам группы
участвовать в подготовке информационного бюллетеня и создали д л я этого
Занятие 2
Автоматизация создания групп и контроля за ними -| 57
о б щ у ю п а п к у на ф а й л о в о м сервере. Ч т о н у ж н о сделать, чтобы разрешить
ч л е н а м г р у п п ы доступ к этой общей папке?
A. Н а з н а ч и т ь д л я г р у п п ы л о к а л ь н у ю область действия в домене.
Б. Н а з н а ч и т ь д л я г р у п п ы у н и в е р с а л ь н у ю область действия.
B. Д о б а в и т ь группу р а с п р о с т р а н е н и я в группу Пользователи домена (Do-
main Users).
Г. И с п о л ь з о в а т ь к о м а н д у Dsmod. с переключателем -secgrp yes.
3. В д о м е н е contoso.com вы создали глобальную группу безопасности с име-
нем К о р п о р а т и в н ы е м е н е д ж е р ы . К а к и е члены могут быть включены в эту
г р у п п у ? ( У к а ж и т е все в а р и а н т ы . )
A. Г л о б а л ь н а я г р у п п а М е н е д ж е р ы по п р о д а ж а м в доверенном д о м е н е
f a b r i k a m . c o m п а р т н е р с к о й к о м п а н и и .
Б. Г л о б а л ь н а я г р у п п а М е н е д ж е р ы по продажам в домене tailspintoys.com
