Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4629 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белгородский государственный национальный исследовательский университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Лаб5_ОССО.doc
Скачиваний:
17
Добавлен:
22.08.2019
Размер:
113.66 Кб
Скачать
►Содержание►

Преобразование групп

Область действия группы определяется в момент ее создания. Однако в домене основного режима Windows 2000 или режима Windows Server 2003 локальные группы домена и глобальные группы можно преобразовать в универсальные, если исходные группы не участвуют в других группах с той же областью действия. Например, глобальную группу, входящую в состав другой глобальной группы, нельзя преобразовать в универсальную. Варианты использования доменных групп Windows Server 2003 в качестве участников безопасности приведены в табл. 1 (тип: группа безопасности).

Табл. 1. Область действия групп и допустимые объекты

Область действия группы

Допустимые объекты

Домен основного режима Windows 2000 или режима Windows Server 2003

Локальная группа домена

Учетные записи компьютеров, пользователи, глобальные группы и универсальные группы из любого леса или доверенного домена. Локальные группы домена из того же домена. Вложенные локальные группы домена из того же домена

Глобальные группы

Пользователи, компьютеры и глобальные группы из того же домена. Вложенные глобальные группы (из того же домена), локальные группы домена или универсальные группы

Универсальные группы

Универсальные группы, глобальные группы, пользователи и компьютеры из любого домена в лесу. Вложенные глобальные группы, локальные группы домена или универсальные группы

Домен смешанного режима Windows 2000 или промежуточного режима Windows Server 2003

Локальная группа домена

Учетные записи компьютеров, пользователи, глобальные группы из любого домена. Не могут быть вложенными

Глобальные группы

Только пользователи и компьютеры из того же домена. Не могут быть вложенными

Универсальные группы

Недоступны

Специальные группы

Существует также несколько специальных групп (special identity), которые управляются самой ОС. Их нельзя создать, удалить или изменить их состав. Специальные группы не отображаются в консоли Active Directory пользователи и компьютеры (Active Directory Users And Computers) и другими средствами управления компьютером, однако им можно назначить разрешения в ACL ресурса. Некоторые специальные группы Windows Server 2003 (их также называют особыми) перечислены в табл.2.

Табл. 2. Специальные группы и их представление

Специальная группа

Представление

Все (Everyone)

Представляет всех пользователей сети, в том числе вошедших под гостевой учетной записью, а также пользователей из других доменов. Каждый раз при входе в систему пользователь автоматически добавляется в группу Все (Everyone)

Сеть (Network)

Представляет пользователей, которые в настоящий момент обращаются к данному ресурсу по сети (в отличие от тех, кто обращается к ресурсу локально). При любом обращении к данному ресурсу по сети пользователь автоматически добавляется в группу Сеть ( Network )

Интерактивные (Interactive)

Представляет всех пользователей, которые локально обращаются к ресурсу (в отличие от тех, что обращаются к ресурсу по сети). При любом обращении к данному ресурсу пользователь автоматически добавляется в группу Интерактивные (Interactive)

Анонимный вход (Anonymous Logon)

В эту группу зачисляются те, кто использует сетевые ресурсы, не пройдя проверку подлинности

Прошедшие проверку (Authenticated Users)

В эту группу входят все пользователи, которые прошли проверку подлинности при входе в сеть, предоставив действительную учетную запись. При назначении разрешений можно вместо Все ( Everyone ) использовать группу Прошедшие проверку ( Authenticated Users ), чтобы избежать анонимного доступа к ресурсам

Создатель-владелец (Creator Owner)

В эту группу зачисляется пользователь, который создал ресурс или получил право владения им. Например, если пользователь создал ресурс, но Администратор (Administrator) получил право владения им, в группе Создатель-владелец (Creator Owner) будет указан Администратор

Удаленный доступ (Dialup)

В группу Удаленный доступ ( Dialup ) зачисляют всех, кто подключен к сети через коммутируемое соединение

Внимание! Этим группам можно назначить разрешения на сетевые ресурсы, однако соблюдайте при этом осторожность. Члены этих групп могут не всегда проходить проверку подлинности в домене. Например, если вы предоставите все права на общий ресурс группе Все ( Everyone ), пользователи, подключающиеся из других доменов, также получат доступ к этому ресурсу.

Задание 1: Создание и изменение группы

В этом задании вы измените тип группы и ее область действия.

  1. В консоли Active Directory — пользователи и компьютеры раскройте контейнер Users и создайте в нем глобальную группу распространения Agents.

  2. Щелкните правой кнопкой группу Agents и выберите Свойства (Properties). Можете ли вы изменить область действия и тип этой группы? Почему? Если вы не можете изменить тип и область действия группы, ваш домен работает в смешанном режиме Windows 2000 или в промежуточном режиме Windows Server 2003. Чтобы изменить тип или область действия группы, необходимо перевести домен в основной режим Windows 2000 или в режим Windows Server 2003.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности