Область действия группы
Любая группа (группа безопасности или группа распространения) характеризуется областью действия, определяющей диапазон в дереве доменов или лесе, к которому применяется группа. Граница области действия группы также определяется заданием режима работы домена, к которому она принадлежит. Есть три области действия группы: универсальная, глобальная и локальная доменная.
В следующей таблице описывается различие между областями действия каждой группы.
|
Область действия группы |
Группа может включать в качестве членов… |
Группе могут быть назначены разрешения в… |
Область действия группы можно преобразовать в… |
|
Универсальная |
|
Любой домен или лес |
|
|
Глобальная |
|
Разрешения члена могут быть назначены в любом домене |
Универсальная (так как она не является членом никакой другой глобальной группы) |
|
Локальная доменная |
|
Разрешения члена могут быть назначены только в домене, которому принадлежит родительская локальная группа домена |
Универсальная (так как нет других локальных групп домена в качестве членов) |
 Примечание |
|---|
| В дополнение к сведениям этой таблицы предполагается, что задан следующий режим работы домена: основной Windows 2000, Windows Server 2003 или промежуточный Windows Server 2003. Если режим работы домена — смешанный Windows 2000, группы безопасности с универсальной областью не могут быть созданы, хотя группы распространения с универсальной областью разрешены. |
Когда следует использовать группы с локальной доменной областью действия
Группы с локальной областью действия в пределах домена помогают управлять доступом к ресурсам одного домена. Например, чтобы предоставить пяти пользователям доступ к определенному принтеру, можно добавить все пять учетных записей в список разрешений принтера. Однако если позже потребуется предоставить этим пяти пользователям доступ к другому принтеру, необходимо снова указывать все пять учетных записей в списке разрешений нового принтера.
Можно упростить эту рутинную административную работу, создав группу с локальной областью действия в пределах домена и предоставив ей разрешение на доступ к принтеру. Добавьте пять учетных записей пользователей в группу с глобальной областью действия, а затем добавьте ее в группу с локальной областью действия в пределах домена. Когда потребуется предоставить этим пяти пользователям доступ к новому принтеру, предоставьте группе с локальной областью действия в пределах домена разрешение на доступ к этому принтеру. Все пользователи, входящие в состав группы с глобальной областью доступа, автоматически получат доступ к новому принтеру.
Когда следует использовать группы с глобальной областью действия
Группы с глобальной областью действия рекомендуется применять для управления теми объектами каталога, которые требуют ежедневной поддержки. Таковыми, например, являются учетные записи пользователей и компьютеров. Поскольку группы с глобальной областью действия не реплицируются за пределы своего домена, учетные записи, содержащиеся в таких группах, можно часто менять, не вызывая дополнительного трафика к глобальному каталогу, связанного с репликацией. Дополнительные сведения о группах и репликации см. в разделе Как работает репликация.
Хотя права и разрешения действуют только в пределах того домена, в котором они назначены, применение групп с глобальной областью действия равномерно в нескольких доменах позволяет объединять ссылки на учетные записи с одинаковым назначением. Это делает управление группами между доменами более простым и рациональным. Рассмотрим, например, сеть с двумя доменами — Europe и UnitedStates. Если в домене UnitedStates есть группа с глобальной областью действия GLAccounting, в домене Europe создайте группу GLAccounting (если в домене Europe отсутствует функция учета).
При задании разрешений на объекты каталога домена, которые реплицируются в глобальный каталог, настоятельно рекомендуется использовать глобальные группы или универсальные группы вместо локальных групп домена. Дополнительные сведения см. в разделе Репликация глобального каталога.
|
Примечание |
|---|
| Если режим работы домена — смешанный Windows 2000, члены групп с глобальной областью действия могут включать только учетные записи из того же домена. |
Когда следует использовать группы с универсальной областью действия
Назначайте универсальную область действия для групп, объединяющих домены. Для этого добавьте учетные записи в группы с глобальной областью действия, а затем вложите эти группы в группы с универсальной областью действия. При использовании такого подхода изменение членства в группах с глобальной областью действия не влияет на группы с универсальной областью действия.
Рассмотрим, например, сеть с двумя доменами, Europe и UnitedStates, в каждом из которых есть группа GLAccounting с глобальной областью действия. Создадим группу UAccounting с универсальной областью действия и включим в нее в качестве членов группы UnitedStates\GLAccounting и Europe\GLAccounting. Группа UAccounting теперь может свободно использоваться на предприятии. Любые изменения в членстве любой из групп GLAccounting не приведет к репликации группы UAccounting.
Не изменяйте членство в группах с универсальной областью действия, поскольку любое такое изменение приводит к репликации всех данных о членах этой группы в каждый глобальный каталог, находящийся в лесу. Дополнительные сведения об универсальных группах и о репликации см. в разделе Глобальные каталоги и сайты.
|
Примечание |
|---|
| Если режим работы домена — смешанный Windows 2000, невозможно создавать группы безопасности с универсальной областью действия. |
Изменение области действия группы
Когда создается новая группа, по умолчанию она настраивается как группа безопасности с глобальной областью действия, независимо от текущего режима работы домена. Хотя изменение области действия группы не разрешается в доменах со смешанным режимом Windows 2000, перечисленные ниже преобразования разрешены в доменах с режимами работы основной Windows 2000 или Windows Server 2003.
-
Из глобальной в универсальную.Такое преобразование допускается, только если изменяемая группа не является членом другой группы с глобальной областью действия.
-
Из локальной доменной в универсальную.Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую локальную группу домена.
-
Из универсальной в глобальную.Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую универсальную группу.
-
Из универсальной в локальную доменную.Для данной операции нет ограничений.
Дополнительные сведения см. в разделе Изменение области действия группы.
Группы на клиентских компьютерах и изолированные серверы
Некоторые свойства групп, например, универсальные группы, вложенность групп и различие между группами безопасности и группами распространения, поддерживаются только контроллерами доменов Active Directory и рядовыми серверами. Учетные записи групп на компьютерах с операционными системами Windows 2000 Professional, Windows XP Professional., Windows 2000 Server и на изолированных серверах Windows Server 2003 действуют так же, как в операционной системе Windows NT 4.0.
-
Локально на компьютере можно создавать только локальные группы.
-
Локальным группам, созданным на таком компьютере, можно присваивать разрешения только на этом компьютере.
Дополнительные сведения см. в разделе Локальные группы, используемые по умолчанию.
