2015-05-15
330
Группы пользователей созданы специально для того, чтобы более эффективно управлять доступом к ресурсам. Если назначать права доступа к каждому ресурсу для каждого отдельного пользователя, то, во-первых, это очень трудоемкая работа, и во-вторых, затрудняется отслеживание изменений в правах доступа при смене каким-либо пользователем своей должности в подразделении или переходе в другое подразделение.
Повторим материал из раздела 4. Для более эффективного управления доступом рекомендуется следующая схема организации предоставления доступа:
1. учетные записи пользователей (accounts) включаются в глобальные доменные группы (global groups) в соответствии со штатной структурой компании/организации и выполняемыми обязанностями;
2. глобальные группы включаются в доменные локальные группы или локальные группы на каком-либо сервере (domain local groups, local groups) в соответствии с требуемыми правами доступа для того или иного ресурса;
3. соответствующим локальным группам назначаются необходимые разрешения (permissions) к конкретным ресурсам.
|
|
|
Данная схема по первым буквам используемых объектов получила сокращенное название AGLP (A ccounts 
G lobal groups L ocal groups P ermissions). При такой схеме, если пользователь повышается или понижается в должности или переходит в другое подразделение, то нет необходимости просматривать все сетевые ресурсы, доступ к которым необходимо изменить для данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах, и права доступа к сетевым ресурсам для данного пользователя изменятся автоматически.
Добавим, что в основном режиме функционирования домена Active Directory (режимы "Windows 2000 основной" или "Windows 2003") с появлением вложенности групп и универсальных групп схема AGLP модифицируется в схему AGG…GULL…LP.
