Управление учетными записями групп
Консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers) является основным средством, которое вы будете использовать для управления объектами (пользователями, группами и компьютерами) в домене. При создании групп вы будете указывать область действия, тип и состав. Также с помошью этой консоли вы сможете изменить состав существующих групп.
Создание группы безопасности
Обычно группы создают из консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers), ярлык которой расположен в группе программ Администрирование (Administrative Tools). В окне консоли щелкните правой кнопкой в правой панели контейнера, где вы хотите создать группу, и выберите Создать (New)\Гpyппа (Group). Затем определите тип и область действия создаваемой группы.
Чаще всего вы будете создавать группы безопасности, поскольку им можно назначать разрешения в ACL. В домене смешанного или промежуточного режима группа безопасности может быть только глобальной или локальной группой домена. В таком домене нельзя создать группу безопасности с универсальной областью действия (рис.1).
Впрочем, локальную группу домена, глобальную или универсальную группу в доменах смешанного или промежуточного режима можно создать в виде группы распространения. Группы безопасности в таком домене могут иметь локальную доменную или глобальную область действия.
Рис.1. Группы безопасности в доменах смешанного или промежуточного режима
Изменение состава группы
Добавление или удаление членов группы также выполняется из консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Щелкните правой кнопкой любую группу и выберите Свойства (Properties). На рис. 2 показано окно свойств для глобальной группы безопасности Sales.
Рис. 2. Окно свойств группы безопасности Sales
В табл. 3 описаны вкладки этого окна свойств для настройки членства.
Табл.3. Настройка членства
Вкладка |
Назначение |
Члены группы (Members) |
Добавление, удаление и отображение списка участников безопасности — членов этого контейнера |
Член групп (Member Of) |
Добавление, удаление и отображение перечня контейнеров, членом которых является данный контейнер |
Поиск доменных групп, к которым относится пользователь
Служба каталогов Active Directory предоставляет гибкий и удобный механизм вложения групп.
Глобальные группы могут быть вложены в другие глобальные, универсальные группы или локальные группы домена.
Универсальные группы могут участвовать в других универсальных группах или локальных группах домена.
Локальные группы домена могут участвовать в других локальных группах домена.
Вместе с тем, такая гибкость повышает сложность, и без соответствующих инструментов было бы трудно точно определить, к каким группам принадлежит пользователь (прямо или косвенно). К счастью, в Windows Server 2003 есть команда DSGET, которая решает эту проблему. Из командной строки исполните следующую команду:
dsget user DN_пользователя -memberof [- expand]
Параметр -memberof возвращает значение атрибута MemberOf и позволяет увидеть, к каким группам явно принадлежит пользователь. Добавив параметр -expand, можно провести рекурсивный поиск в группах и получить исчерпывающий список всех групп в домене, к которым принадлежит пользователь.