Группа (group) – это набор учетных записей пользователей. Группы упрощают администрирование, позволяя назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи. Пользователи могут быть членами нескольких групп. В результате назначения разрешения пользователям предоставляется доступ к определенным ресурсам и определяются права доступа. Если, например, нескольким пользователям требуется считать один файл, следует добавить их учетные записи в группу. Затем задать группе разрешение на считывание файла. Права дают возможность выполнять системные задачи, например, изменять системное время, архивировать или восстанавливать файлы, а также локально регистрироваться в системе. Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие группы. Добавляя компьютеры в группу, можно упростить предоставление доступа системной задаче одного компьютера к ресурсам другого.
Для внедрения групп в домене надо понимать типы групп, области действия групп и правила членства в группе. Эти знания помогут создавать группы, добавлять в них новых участников, изменять область действия группы и удалять их. В документации по Windows 2000 доменные группы называются просто группами, а остальные — локальными или встроенными. Вместе с тем термин группа часто используется в общем смысле и относится к любому типу групп, который можно реализовать в Windows 2000.
|
|
Иногда группы создаются в целях защиты, например, для назначения разрешений. В других случаях создание групп не связано с соображениями безопасности, и они используются, например, для отсылки сообщений электронной почты. Таким образом, в Windows 2000 Server существует два типа групп: безопасности и распространения. Тип группы определяет порядок ее использования. Группы обоих типов размещаются в хранилище Active Directory, что позволяет их применять в любом сегменте сети.
Локальная группа может включать учетные записи компьютера, на котором она находится. Ее рекомендуется применять для назначения разрешений доступа к ресурсам, расположенным на том же компьютере, что и группа. Windows 2000 создает локальные группы в локальной БД системы защиты. Локальные группы бывают доменными и изолированными.
Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами данного домена. Локальной группе домена можно предоставить разрешения доступа к любому ресурсу на контроллерах домена.
Изолированные локальные группы создаются на изолированных и рядовых серверах, а также на компьютерах с Windows 2000 Professional. И все же локальные группы можно использовать лишь на той машине, где были созданы. Это значит, что изолированные локальные группы не следует использовать на компьютерах домена. Такие группы не позволяют выполнять централизованное администрирование и не отображаются в хранилище Active Directory. Управление такими группами осуществляется отдельно на каждом компьютере. Изолированным локальным группам можно присваивать лишь разрешения доступа к ресурсам того компьютера, на котором находится группа.
|
|
Изолированные локальные группы могут включать локальные учетные записи пользователей компьютера, на котором находится группа. Такие группы не могут состоять в других группах.
Изолированные локальные группы позволяет создать оснастка Управление компьютером (Computer Management). Локальные группы создаются в папке Группы (Groups).
Чтобы создать локальную группу, необходимо раскрыть в дереве консоли папку Локальные пользователи и группы (Local Users And Groups) и щелкнуть подпапку Группы (Groups). Затем выбрать команду Создать группу (New Group). В открывшемся диалоговом окне ввести имя и описание группы.
В Windows 2000 существует четыре типа встроенных групп: глобальные, доменные локальные, изолированные локальные и системные. Встроенные группы обладают предопределенным набором членов и прав. Windows 2000 автоматически создает такие группы, чтобы не создавать группы вручную и назначать разрешения для часто используемых функций.
Встроенные глобальные группы позволяют объединять учетные записи общего типа. Windows 2000 по умолчанию добавляет членов в некоторые встроенные глобальные группы. Можно добавлять в них новых членов, чтобы предоставить им права и разрешения группы.
При создании домена Windows 2000 создает встроенные глобальные группы в хранилище Active Directory. Чтобы присвоить встроенной глобальной группе права, ее можно добавить в локальную группу домена или явно назначить ей нужные права и разрешения.
На всех изолированных и рядовых серверах и компьютерах с Windows 2000 Professional есть встроенные локальные группы. Они предоставляют разрешения на выполнение задач (восстановление и архивирование файлов, изменение системного времени, администрирование ресурсов системы и др.) на отдельном компьютере. Windows 2000 помещает встроенные локальные группы в папку Группы (Groups) оснастки Управление компьютером (Computer Management). Как и встроенные доменные локальные группы, удалить встроенные недоменные локальные группы нельзя.
Права, которыми обладают члены встроенных локальных групп, таковы:
• Пользователи (Users) – члены этой группы вправе обращаться лишь к тем ресурсам и выполнять лишь те задачи, на которые у них есть соответствующие разрешения. Члены группы не могут вносить постоянные изменения в конфигурацию рабочего стола. По умолчанию Windows 2000 добавляет в группу Пользователи все новые локальные учетные записи пользователей. Если рядовой сервер или компьютер с Windows 2000 Professional присоединяются к домену, Windows 2000 добавляет в локальную группу Пользователи глобальную группу Пользователи домена (Domain Users);
• Администраторы (Administrators) – члены этой группы вправе выполнять на компьютере любые административные задачи. Встроенная учетная запись Администратор компьютера по умолчанию является членом локальной группы Администраторы. Если рядовой сервер или компьютер с Windows 2000 Professional присоединяется к домену, Windows 2000 добавляет в локальную группу Администраторы глобальную группу Администраторы домена;
• Гости (Guests) – члены этой группы вправе обращаться лишь к тем ресурсам и выполнять лишь те задачи, на которые у них имеются разрешения. Члены группы не могут вносить постоянные изменения в конфигурацию рабочего стола. Встроенная учетная запись Гость компьютера по умолчанию является членом локальной группы Гости, при установке эта учетная запись отключается. Если рядовой сервер или компьютер с Windows 2000 Professional присоединяется к домену, доменные группы в эту группу не добавляются;
|
|
• Операторы архива (Backup Operators) – члены этой группы вправе архивировать и восстанавливать систему с помощью утилиты Windows Backup;
• Опытные пользователи (Power Users) – члены этой группы вправе создавать и изменять учетные записи пользователей компьютера, открывать доступ к ресурсам;
• Репликатор (Replicator) – члены этой группы вправе настраивать службы репликации файлов.
На всех компьютерах с Windows 2000 есть встроенные системные группы. Системные группы не имеют определенного списка членов, который можно было бы изменять: в разное время состав членов таких групп может различаться в зависимости от метода доступа пользователя к ресурсу или компьютеру. При администрировании системные группы недоступны, однако они отображаются при назначении прав и разрешений доступа к ресурсам. Состав системных групп в Windows 2000 основан на способе доступа к компьютеру, а не на том, какие пользователи работают с компьютером.
Выводы
Группа представляет собой набор учетных записей пользователей, контактов, компьютеров и других групп. В Windows 2000 два типа групп: безопасности и распространения. В Windows 2000 доступны только группы безопасности, применяемые для назначения разрешений и предоставления доступа к ресурсам. Приложения используют группы распространения как списки пользователей для осуществления функций, не связанных с системой защиты. Группы классифицируются не только по типам, но и по области действия. По этому признаку они делятся на глобальные, универсальные и доменные локальные. Локальные группы безопасности домена используются в основном для назначения разрешений доступа к ресурсам, а глобальные — для объединения пользователей с одинаковыми требованиями доступа к сети. Универсальные группы применяются для назначения разрешений доступа к ресурсам разных доменов. Область действия группы определяет состав ее членов. Правила членства указывают, кого может включать группа и в какие группы она может входить. Для создания групп служит оснастка Active Directory – пользователи и компьютеры. Кроме того, она позволяет администрировать группы: добавлять в них новых членов, изменять области ее действия и удалять ее. Для создания автономных локальных групп служит оснастка Управление компьютером.
|
|
Контрольные вопросы и задания
1. Дайте определение понятию «группа» и охарактеризуйте предоставляемые ею функциональные возможности в Windows 2000.
2. Что такое «разрешения» и «права» группы пользователей?
3. Какая оснастка позволяет создавать изолированные локальные группы пользователей?
4. Перечислите и охарактеризуйте типы встроенных групп, поддерживаемые в Windows 2000.
5. Какими правами обладают члены встроенных локальных групп?
6. Опишите функциональные особенности встроенных системных группы.