Преобразование групп
Область действия группы определяется в момент ее создания. Однако в домене основного режима Windows 2000 или режима Windows Server 2003 локальные группы домена и глобальные группы можно преобразовать в универсальные, если исходные группы не участвуют в других группах с той же областью действия. Например, глобальную группу, входящую в состав другой глобальной группы, нельзя преобразовать в универсальную. Варианты использования доменных групп Windows Server 2003 в качестве участников безопасности приведены в табл. 1 (тип: группа безопасности).
Табл. 1. Область действия групп и допустимые объекты
Область действия группы |
Допустимые объекты |
Домен основного режима Windows 2000 или режима Windows Server 2003 |
|
Локальная группа домена |
Учетные записи компьютеров, пользователи, глобальные группы и универсальные группы из любого леса или доверенного домена. Локальные группы домена из того же домена. Вложенные локальные группы домена из того же домена |
Глобальные группы |
Пользователи, компьютеры и глобальные группы из того же домена. Вложенные глобальные группы (из того же домена), локальные группы домена или универсальные группы |
Универсальные группы |
Универсальные группы, глобальные группы, пользователи и компьютеры из любого домена в лесу. Вложенные глобальные группы, локальные группы домена или универсальные группы |
Домен смешанного режима Windows 2000 или промежуточного режима Windows Server 2003 |
|
Локальная группа домена |
Учетные записи компьютеров, пользователи, глобальные группы из любого домена. Не могут быть вложенными |
Глобальные группы |
Только пользователи и компьютеры из того же домена. Не могут быть вложенными |
Универсальные группы |
Недоступны |
Специальные группы
Существует также несколько специальных групп (special identity), которые управляются самой ОС. Их нельзя создать, удалить или изменить их состав. Специальные группы не отображаются в консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и другими средствами управления компьютером, однако им можно назначить разрешения в ACL ресурса. Некоторые специальные группы Windows Server 2003 (их также называют особыми) перечислены в табл.2.
Табл. 2. Специальные группы и их представление
Специальная группа |
Представление |
Все (Everyone) |
Представляет всех пользователей сети, в том числе вошедших под гостевой учетной записью, а также пользователей из других доменов. Каждый раз при входе в систему пользователь автоматически добавляется в группу Все (Everyone) |
Сеть (Network) |
Представляет пользователей, которые в настоящий момент обращаются к данному ресурсу по сети (в отличие от тех, кто обращается к ресурсу локально). При любом обращении к данному ресурсу по сети пользователь автоматически добавляется в группу Сеть ( Network ) |
Интерактивные (Interactive) |
Представляет всех пользователей, которые локально обращаются к ресурсу (в отличие от тех, что обращаются к ресурсу по сети). При любом обращении к данному ресурсу пользователь автоматически добавляется в группу Интерактивные (Interactive) |
Анонимный вход (Anonymous Logon) |
В эту группу зачисляются те, кто использует сетевые ресурсы, не пройдя проверку подлинности |
Прошедшие проверку (Authenticated Users) |
В эту группу входят все пользователи, которые прошли проверку подлинности при входе в сеть, предоставив действительную учетную запись. При назначении разрешений можно вместо Все ( Everyone ) использовать группу Прошедшие проверку ( Authenticated Users ), чтобы избежать анонимного доступа к ресурсам |
Создатель-владелец (Creator Owner) |
В эту группу зачисляется пользователь, который создал ресурс или получил право владения им. Например, если пользователь создал ресурс, но Администратор (Administrator) получил право владения им, в группе Создатель-владелец (Creator Owner) будет указан Администратор |
Удаленный доступ (Dialup) |
В группу Удаленный доступ ( Dialup ) зачисляют всех, кто подключен к сети через коммутируемое соединение |
Внимание! Этим группам можно назначить разрешения на сетевые ресурсы, однако соблюдайте при этом осторожность. Члены этих групп могут не всегда проходить проверку подлинности в домене. Например, если вы предоставите все права на общий ресурс группе Все ( Everyone ), пользователи, подключающиеся из других доменов, также получат доступ к этому ресурсу.
Задание 1: Создание и изменение группы
В этом задании вы измените тип группы и ее область действия.
В консоли Active Directory — пользователи и компьютеры раскройте контейнер Users и создайте в нем глобальную группу распространения Agents.
Щелкните правой кнопкой группу Agents и выберите Свойства (Properties). Можете ли вы изменить область действия и тип этой группы? Почему? Если вы не можете изменить тип и область действия группы, ваш домен работает в смешанном режиме Windows 2000 или в промежуточном режиме Windows Server 2003. Чтобы изменить тип или область действия группы, необходимо перевести домен в основной режим Windows 2000 или в режим Windows Server 2003.