2015-08-21
1415
— это набор учетных записей пользователей компьютера. Локальные группы применяются для назначения разрешений доступа к ресурсам компьютера, на котором она создана. Локальные группы действуют лишь на том компьютере, где они созданы. Разрешения локальных групп предоставляют доступ лишь к локальным ресурсам системы. Создать локальные группы на контроллере домена нельзя, поскольку БД защиты сервера в этом случае заменяется БД Mandriva Directory Server.
Локальным группам разрешается содержать учетные записи пользователей компьютера, на котором создана группа. Локальные группы нельзя включить в другие группы.
Планирование глобальных и локальных групп домена
Прежде чем создавать группу, необходимо разработать соответствующую стратегию. При этом обычно используются глобальные и локальные группы домена. Есть несколько общих правил, которых рекомендуется придерживаться:
1. Следует объединять пользователей со схожими обязанностями в одну глобальную группу. Например, в бухгалтерии можно объединить учетные записи бухгалтеров в глобальную группу Accounting.
|
|
|
2. Следует определить, к каким ресурсам или труппам ресурсов обращаются сотрудники, и создать для этого ресурса локальную группу домена. Например, если в организации несколько цветных принтеров, можно создать локальную группу домена Color Printers.
3. Следует выявить все глобальные группы, обращающиеся к одним и тем же ресурсам, и включите эти группы в соответствующую локальную группу домена. Например, можно добавить глобальные группы Accounting, Sales и Management в локальную группу домена Color Printers.
4. Локальной группе домена следует назначить соответствующие разрешения; например группе Color Printers надо назначить разрешения на доступ к цветным принтерам.
Некоторые возможные ограничения других стратегий перечислены ниже:
1. Добавление учетных записей пользователей в локальные группы домена и назначение группам разрешений. Такая стратегия не позволяет предоставлять разрешения вне домена. Гибкость стратегии глобальных и локальных групп домена снижается с ростом сети.
2. Размещение учетных записей в глобальных группах и назначение им разрешений. При наличии нескольких доменов данная стратегия может усложнить администрирование. Если глобальным группам нескольких доменов нужны одинаковые разрешения, придется назначать их каждой группе в отдельности.
Планирование универсальных групп
Универсальные группы можно использовать для предоставления доступа к ресурсам нескольких доменов. В отличие от локальных доменных универсальным группам можно назначать разрешения на доступ к ресурсам любого домена сети. Например, если ответственным лицам требуется доступ ко всем принтерам сети, создается универсальная группа и ей назначаются разрешения на использование принтеров, подключенных к серверам печати всех доменов.
|
|
|
Универсальные группы рекомендуется применять, только если их состав постоянен. При редактировании состава универсальной группы в дереве доменов иногда возникает ненужный трафик между контроллерами доменов, поскольку такие изменения реплицируются на многие контроллеры доменов. Рекомендуется, объединив глобальные группы нескольких доменов в универсальную группу, присвоить ей разрешения на доступ к ресурсу. Таким образом, универсальная группа используется аналогично локальным группам домена для назначения разрешений доступа к ресурсам. В отличие от локальной группы, доменной универсальной группе можно назначать разрешения доступа к ресурсам других доменов.
