Типы , область действия и идентификаторы групп
В Microsoft Windows есть несколько разных типов групп, кроме того, с каждой группой сопоставляется уникальная область
действия. В доменах Active Directory предусмотрены:
- группы безопасности (security groups) — для управления доступом к сетевым ресурсам и для рассылки электронной почты;
- стандартные группы распространения (standard distribution groups) — имеют фиксированный состав членов и применяются только для рассылки электронной почты (использовать их для управления доступом к сетевым ресурсам нельзя);
- группы распространения на основе запроса (query-based distribution groups) — состав такой труппы определяется динамически на основе запроса LDAP, когда на ее адрес приходит сообщение. Они предназначены только для рассылки электронной почты.
По области действия группы безопасности и стандартные группы распространения делятся на локальные доменные (local domain), встроенные локальные (built-in local), глобальные (global) и универсальные (universal).
Примечание Локальные группы, доступные только на локальных компьютерах, здесь не обсуждаются. Группы распространения на основе запроса доступны только при работе Exchange в основном режиме.
- Локальные доменные группы применяются для назначения разрешений к ресурсам отдельного домена и могут содержать
элементы только из того домена, в котором определены. - Встроенные локальные группы также применяются для назначения разрешений к ресурсам отдельного домена. Для простоты их часто относят к локальным доменным группам.Отличие встроенных групп состоит в том, что их нельзя создавать и удалять.
- С помощью глобальных групп вы предоставляете разрешения на доступ к элементам любого домена из дерева или леса. Глобальная группа может содержать только элементы из того домена, в котором определена. Использовать предопределенные глобальные группы нельзя.
- Универсальная группа служит для предоставления разрешений на доступ к любым ресурсам дерева или леса. Универсальная группа может содержать члены из любого домена, входящего в дерево доменов или лес.
Совет Универсальные группы безопасности можно создавать только при работе Windows в основном режиме. Заметьте, что режим работы Windows отличается от режима работы Exchange Server 2003. Режим работы Windows обеспечивает или ограничивает совместимость с компьютерами под управлением версий Windows, предшествующих Windows 2000. Режим работы Exchange Server 2003 обеспечивает или ограничивает совместимость с серверами под управлением версий Exchange, предшествующих Exchange
2000. Подробнее о режимах работы и группах Windows — в книге «Microsoft Windows Server 2003. Справочник администратора» («Русская Редакция», 2004).
Ваши возможности при работе с группами безопасности и стандартными группами распространения в значительной степени определяется областью их действия (табл. 7-1). Помните, что членами группы могут быть и контакты.
Табл. 7-1. Области действия групп
Область действия Состав в основ номрежиме Windows Состав в смешан ном режиме Windows Применение
Локальная доменная группа Учетные записи, глобальные группы и универсаль Учетные записи и глобальные группы любого
Можно добавлять в другие локальные доменныеные группы любого домена;
локальные доменные группы только того же домена домена группы и назначать разрешения на доступ к ресурсам
только того же домена Глобальная группа Только учетные записи и глобальные группы того же домена Только учетные
записи того же домена Можно добавлять в другие группы и назначать разрешения на доступ к ресурсам любого домена
Универсальная группа Учетные записи любого домена, а также группы любого домена независимо от области действия
В смешанном режиме не используется Можно добавлять в другие группы и назначать разре шения на доступ к ресурсам любого
домена
При работе с группами распространения на основе запроса помните, что они доступны только при условии, что Exchange
работает в основном режиме и все серверы Exchange на предприятии работают под управлением Exchange 2000 с пакетом
обновлений SP3 или более поздней версии. У групп распространения на основе запроса нет конкретной, заранее определенной, области действия. Их членами могут быть как только элементы локального домена, так и пользователи и группы из
других доменов, деревьев доменов или лесов. Область действия группы определяется контейнером, с которым она сопоставляется при создании.
Если говорить точнее, то контейнер задает точку начала поиска. Запрос LDAP на основе заданных критериев отбирает получателей из данного контейнера и из вложенных в него элементов. Например, если с группой сопоставлен контейнер adatum.com, запрос применяется ко всем адресатам из данного домена. Если с группой сопоставлено организационное подразделение Engineering, запрос применяется ко всем получателям из данного подразделения из вложенных в него элементов.
Для управления группами, как и для управления учетными записями, Windows применяет уникальные идентификаторы безопасности (security identifiers, SIDs). Это означает, что если вы удалите группу и создадите ее заново, у нее будет другой SID, потому все права и привилегии старой группы будут утеряны.
Применение групп безопасности и стандартных групп распространения В Exchange Server 2003 изменены правила работы с группами.
Раньше для рассылки электронной почты разрешалось использовать только группы распространения. Теперь для этого можно применять как группы распространения, так и группы безопасности. Следовательно, вам необходимо заново продумать, как и когда использовать группы.
Чтобы не дублировать группы безопасности группами распространения, имеющими аналогичные состав, избирательно разрешите адресацию почты отдельным группам безопасности. Например, если у вас есть группа безопасности Marketing, не нужно создавать отдельную группу распространения MarketingDistList, достаточно разрешить Exchange посылать сообщения на адрес группы Marketing. Кроме того, имеет смысл разрешить получение почты некоторым встроенным и предопределенным группам:
- Account Operators (Операторы учета);
- Backup Operators (Операторы архива);
- Domain Admins (Администраторы домена);
- Domain Users (Пользователи домена);
- Print Operators (Операторы печати);
- Server Operators (Операторы сервера).
Разрешив работу с почтой существующей группе безопасности, дублирующую ее группу распространения можно удалить.
Применение глобальных, универсальных и локальных доменных групп Глобальные, универсальные и локальные доменные группы
существенно расширяют ваши возможности по организации доступа к сетевым ресурсам. Но подходите к их разработке со всем тщанием: назначение областей действия — упростить администрирование, но они же могут стать настоящим проклятием при плохом планировании. В идеале области действия и иерархия групп соответствуют структуре организации и отражают обязанности конкретных классов пользователей.
Далее перечислены рекомендации по оптимальному использованию глобальных, универсальных и локальных доменных групп.
- У локальной доменной группы наименьшая сфера охвата. Такие группы применяются для распространения электронной почты в пределах конкретного отдела или офиса, а также для упрощения доступа к ресурсам, например общим папкам и принтерам. Обычно членами локальных доменных групп становятся учетные записи пользователей, а также глобальные и универсальные группы.
- Глобальные группы применяются для упрощения рассылки электронной почты и управления учетными записями пользователей и компьютеров в конкретном домене. Что бы предоставить разрешение на доступ к какому-либо ресурсу, глобальную группу включают в состав локальной доменной группы.
- Универсальные группы обладают наибольшей сферой охвата. Такие группы применяют для объединения групп, имеющих разрешения на доступ к объектам нескольких доменов. Обычно для этого в универсальную группу в качестве членов включают глобальные группы.
Совет Если в вашей организации всего один домен, применять универсальные группы не стоит. Ограничьтесь локальными доменными и глобальными группами. Если в будущем у вас появится еще один домен, вы легко расширите иерархию групп универсальными группами.
Применение групп распространения на основе запроса Ничто не постоянно — время от времени сотрудники переходят в другие отделы, увольняются из компании или получают повышение. Вы потратите уйму времени, чтобы отразить эти изменения в составе стандартных групп распространения. Вот тут-то на сцене и появляются группы распространения на основе запросов. Членство в таких группах не является фиксированным; вам не придется вручную добавлять или удалять пользователей. Состав группы определяется в тот момент, когда на ее адрес приходит сообщение, на основе результатов LDAP-запроса к глобальному каталогу
организации.
Разумеется, этот способ эффективен только при условии, что запрос возвращает относительно небольшой список членов (не более 25). Если потенциальных получателей сотни и тысячи, распространение на основе запросов потребует значительного времени. Конечно, вы вправе перенести операции по обработке запросов с сервера глобального каталога на специальный дополнительный сервер, но и в этом случае на составление больших списков распространения может потребоваться несколько минут.
С одной группой распространения разрешается сопоставлять только один запрос. Чтобы организовать иерархию групп, создайте отдельные группы для каждого отдела организации, а затем включите их в единую стандартную группу распрост ранения или группу распространения на основе запроса, которая будет соответствовать уже всей организации.
Используя в запросе несколько параметров, помните, что они обычно объединяются с помощью логического операто ра AND (И). Например, включив в запрос два параметра — на выборку всех сотрудников отдела BizDev и всех сотрудников отдела Marketing, вы получите список сотрудников, которые числятся в отделе BizDev и в отделе Marketing.
Чтобы составить список сотрудников, которые числятся в отделе BizDev или в отделе Marketing, вам придется создать одну группу запрос для всех сотрудников отдела BizDev, другую — для всех сотрудников отдела Marketing и затем еще одну группу-запрос, включающую в качестве членов обе этих группы.