Область действия группы Active Directory - Об ОС Windows - Системное администрирование - Каталог статей - Архив документации и мануалов для админов

Понедельник, 05.12.2016, 16:34
Приветствую Вас Гость | RSS
Мой сайт
Главная
Регистрация
Вход
Форма входа

Меню сайта

Категории раздела
Об ОС Windows [137]
В категории размещаются статьи, касающщиеся операционных систем от Microsoft.
Об ОС *Nix [198]
В данной категории собраны статьи об ОС семейства Unix/Linux/FreeBSD/...
Справочные материалы [351]
Справка по всему разделу.
Виртуализация и Облака [46]
Networks & Routing [86]
DataBases [22]

Наш опрос
Оцените мой сайт
Всего ответов: 193

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Главная » Статьи » Системное администрирование » Об ОС Windows

Область действия группы Active Directory

Область действия группы

10 из 12 оценили этот материал как полезный - Оценить эту тему

Обновлено: Март 2007 г.

Назначение: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Область действия группы

Любая группа (группа безопасности или группа распространения) характеризуется областью действия, определяющей диапазон в дереве доменов или лесе, к которому применяется группа. Граница области действия группы также определяется заданием режима работы домена, к которому она принадлежит. Есть три области действия группы: универсальная, глобальная и локальная доменная.

В следующей таблице описывается различие между областями действия каждой группы.

 

Область действия группы

Группа может включать в качестве членов…

Группе могут быть назначены разрешения в…

Область действия группы можно преобразовать в…

Универсальная

  • Учетные записи из любого домена леса, к которому принадлежит данная универсальная группа

  • Глобальные группы из любого домена леса, к которому принадлежит данная универсальная группа

  • Универсальные группы из любого домена леса, к которому принадлежит данная универсальная группа

Любой домен или лес

  • Локальная доменная

  • Глобальная (так как нет других универсальных групп в качестве членов)

Глобальная

  • Учетные записи из того же домена, что и родительская глобальная группа

  • Глобальные группы из того же домена, что и родительская глобальная группа

Разрешения члена могут быть назначены в любом домене

Универсальная (так как она не является членом никакой другой глобальной группы)

Локальная доменная

  • Учетные записи из любого домена

  • Глобальные группы из любого домена

  • Универсальные группы из любого домена

  • Локальные группы домена, но только из того же домена, что и родительская локальная группа домена

Разрешения члена могут быть назначены только в домене, которому принадлежит родительская локальная группа домена

Универсальная (так как нет других локальных групп домена в качестве членов)

noteПримечание
В дополнение к сведениям этой таблицы предполагается, что задан следующий режим работы домена: основной Windows 2000, Windows Server 2003 или промежуточный Windows Server 2003. Если режим работы домена — смешанный Windows 2000, группы безопасности с универсальной областью не могут быть созданы, хотя группы распространения с универсальной областью разрешены.

Когда следует использовать группы с локальной доменной областью действия

Группы с локальной областью действия в пределах домена помогают управлять доступом к ресурсам одного домена. Например, чтобы предоставить пяти пользователям доступ к определенному принтеру, можно добавить все пять учетных записей в список разрешений принтера. Однако если позже потребуется предоставить этим пяти пользователям доступ к другому принтеру, необходимо снова указывать все пять учетных записей в списке разрешений нового принтера.

Можно упростить эту рутинную административную работу, создав группу с локальной областью действия в пределах домена и предоставив ей разрешение на доступ к принтеру. Добавьте пять учетных записей пользователей в группу с глобальной областью действия, а затем добавьте ее в группу с локальной областью действия в пределах домена. Когда потребуется предоставить этим пяти пользователям доступ к новому принтеру, предоставьте группе с локальной областью действия в пределах домена разрешение на доступ к этому принтеру. Все пользователи, входящие в состав группы с глобальной областью доступа, автоматически получат доступ к новому принтеру.

Когда следует использовать группы с глобальной областью действия

Группы с глобальной областью действия рекомендуется применять для управления теми объектами каталога, которые требуют ежедневной поддержки. Таковыми, например, являются учетные записи пользователей и компьютеров. Поскольку группы с глобальной областью действия не реплицируются за пределы своего домена, учетные записи, содержащиеся в таких группах, можно часто менять, не вызывая дополнительного трафика к глобальному каталогу, связанного с репликацией. Дополнительные сведения о группах и репликации см. в разделе Как работает репликация.

Хотя права и разрешения действуют только в пределах того домена, в котором они назначены, применение групп с глобальной областью действия равномерно в нескольких доменах позволяет объединять ссылки на учетные записи с одинаковым назначением. Это делает управление группами между доменами более простым и рациональным. Рассмотрим, например, сеть с двумя доменами — Europe и UnitedStates. Если в домене UnitedStates есть группа с глобальной областью действия GLAccounting, в домене Europe создайте группу GLAccounting (если в домене Europe отсутствует функция учета).

При задании разрешений на объекты каталога домена, которые реплицируются в глобальный каталог, настоятельно рекомендуется использовать глобальные группы или универсальные группы вместо локальных групп домена. Дополнительные сведения см. в разделе Репликация глобального каталога.

noteПримечание
Если режим работы домена — смешанный Windows 2000, члены групп с глобальной областью действия могут включать только учетные записи из того же домена.

Когда следует использовать группы с универсальной областью действия

Назначайте универсальную область действия для групп, объединяющих домены. Для этого добавьте учетные записи в группы с глобальной областью действия, а затем вложите эти группы в группы с универсальной областью действия. При использовании такого подхода изменение членства в группах с глобальной областью действия не влияет на группы с универсальной областью действия.

Рассмотрим, например, сеть с двумя доменами, Europe и UnitedStates, в каждом из которых есть группа GLAccounting с глобальной областью действия. Создадим группу UAccounting с универсальной областью действия и включим в нее в качестве членов группы UnitedStates\GLAccounting и Europe\GLAccounting. Группа UAccounting теперь может свободно использоваться на предприятии. Любые изменения в членстве любой из групп GLAccounting не приведет к репликации группы UAccounting.

Не изменяйте членство в группах с универсальной областью действия, поскольку любое такое изменение приводит к репликации всех данных о членах этой группы в каждый глобальный каталог, находящийся в лесу. Дополнительные сведения об универсальных группах и о репликации см. в разделе Глобальные каталоги и сайты.

noteПримечание
Если режим работы домена — смешанный Windows 2000, невозможно создавать группы безопасности с универсальной областью действия.

Изменение области действия группы

Когда создается новая группа, по умолчанию она настраивается как группа безопасности с глобальной областью действия, независимо от текущего режима работы домена. Хотя изменение области действия группы не разрешается в доменах со смешанным режимом Windows 2000, перечисленные ниже преобразования разрешены в доменах с режимами работы основной Windows 2000 или Windows Server 2003.

  • Из глобальной в универсальную.Такое преобразование допускается, только если изменяемая группа не является членом другой группы с глобальной областью действия.

  • Из локальной доменной в универсальную.Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую локальную группу домена.

  • Из универсальной в глобальную.Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую универсальную группу.

  • Из универсальной в локальную доменную.Для данной операции нет ограничений.

Дополнительные сведения см. в разделе Изменение области действия группы.

Группы на клиентских компьютерах и изолированные серверы

Некоторые свойства групп, например, универсальные группы, вложенность групп и различие между группами безопасности и группами распространения, поддерживаются только контроллерами доменов Active Directory и рядовыми серверами. Учетные записи групп на компьютерах с операционными системами Windows 2000 Professional, Windows XP Professional., Windows 2000 Server и на изолированных серверах Windows Server 2003 действуют так же, как в операционной системе Windows NT 4.0.

  • Локально на компьютере можно создавать только локальные группы.

  • Локальным группам, созданным на таком компьютере, можно присваивать разрешения только на этом компьютере.

Дополнительные сведения см. в разделе Локальные группы, используемые по умолчанию.



Источник: http://technet.microsoft.com/ru-ru/library/cc755692%28v=ws.10%29.aspx
Категория: Об ОС Windows | Добавил: admin (29.05.2013)
Просмотров: 5680 | Рейтинг: 0.0/0
Всего комментариев: 0
Имя *:
Email *:
Код *:
Поиск

Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz


  • Copyright MyCorp © 2016