Планирование групп

Корректное планирование группы значительно облегчит администрирование и управление пользо­вателями рабочих станций. Опытные администраторы редко присваивают полномочия отдельным поль­зователям и предпочитают работать с группами. Например, вместо предоставления отдельным пользователям права на резервное копирование системы администратор создает группу Backup и включает в нее пользователей. Благодаря этому при изменениях в процессе резервного копирования достаточно будет модифицировать учетные данные группы. Кроме того, администратор получает удобный способ передачи сообщений всем пользователям, которые могут архивировать данные сети.

В Windows NT Server используются глобальные группы, охватывающие различные компью­теры сети. Они отличаются от локальных групп, создаваемых на Windows NT Workstation.

Присваивание пользователей группам позволяет также отслеживать, кому какие ресурсы необходи­мы. Например, пользователям, работающим с документами и текстами, необходим доступ к текстовым процессорам, файлам данных и разделяемому каталогу, содержащему документы и шаблоны вашей организации.

В Windows NT можно предоставить полномочия сразу всем пользователям, включив их в группу Users.

При создании групп для сети следует решить, какие пользователи к каким ресурсам будут обращать­ся. Определите, что общего в доступе отдельных пользователей. В идеальном случае можно присваивать права пользователям, включая их в соответствующие группы. Группы можно строить на основе следу­ющих критериев:

• Функциональные подразделения организации (отдел маркетинга и т.д.)

• Сетевые программы (обработка текста, графика и др.)

• События (званый вечер в компании)

• Сетевые ресурсы (лазерный принтер)

• Местоположение (комната 18)

• Индивидуальные функции (оператор резервного копирования и т.д.)

Если пользователь является членом нескольких групп, некоторые из них могут явным образом раз­решать доступ к ресурсу, а другие запрещать его. Запрет доступа отменяет разрешение.

Предположим, что новый пользователь является членом групп Finance и New Employees. В группе Finance ему разрешен доступ к каталогу с финансовой информацией, но для членов группы New Employees этот каталог закрыт. В результате такой пользователь не получит доступа к финансовым данным.

В случав конфликтов полномочий Windows NT всегда выбирает наиболее ограничивающие. Встроенные группы

В большинстве сетевых ОС предусмотрено несколько стандартных групп, назначение которых со­стоит в удобной организации пользователей и упрощении администрирования. Windows NT также со­здает при инсталляции стандартные группы пользователей, предоставляя удобные средства администрирования групп. Они могут покрывать все потребности, однако при большом числе пользр-вателей эти группы можно модифицировать и добавить свои собственные. К встроенным (стандартным) относятся следующие группы:

• Account Operators

• Administrators

• Backup Operators

• Domain Admins

• Domain Guests

• Domain Users

• Guests

• Print Operators

• Replicator

• Server Operators

• Users

Для присваивания глобальных полномочий или прав всем локальным пользователям можно также применять специальную группу под именем Everyone.

Группа Account Operotore Членам группы Account Operators (операторы учета) разрешено адми­нистрирование пользователей и групп. Они могут создавать и удалять учетные данные, а также модафицировать их параметры. Во многих организациях практикуется назначение одного "оператора учет­ных данных", которому поручается добавление новых пользователей и присваивание им некритичных полномочий. Возможности присваивания прав другим пользователям для членов группы Account Opera­tors ограничиваются в соответствии с политикой защиты домена.

Группа Administrators Пользователи группы Administrators (администраторы) имеют все права и полномочия на файлы и другие ресурсы на рабочей станции. По умолчанию автоматически создаются и включаются в группу Administrators пользователи Administrator и Initial User. Если рабочая станция входит в состав домена, в группу Administrators будут входить все администраторы домена.

Группа Backup Operators Члены группы Backup Operators (операторы архива) могут выполнять команды Backup и Restore, предусмотренные в NT для резервного копирования и восстановления из архива всех файлов на рабочей станции. Применять команды Backup и Restore для работы с собствен­ными файлами могут все пользователи, однако членам группы Backup Operators предоставляются права на все файлы рабочей станции (но только для выполнения команд Backup и Restore).

Группа Domain Adrmins Члены группы Domain Admins (администрация домена) обладают полномо­чиями администрирования домена. Пользователи этой группы автоматически включаются в группу Administrators каждого сервера или рабочей станции домена и имеют все полномочия, предоставленные ее членам.

Группа Domain Guests Пользователи, входящие в группу Domain Guests (гости домена), могут ре­гистрироваться в домене с нестрогой защитой. Данная группа предоставляет ограниченный доступ к сетевым ресурсам.

Группа Doinain Users Члены группы Domain Users (пользователи домена) являются пользователями домена с общими привилегиями. Они автоматически включаются в группы Users каждого сервера или рабочей станции домена и имеют все полномочия членов группы Users.

Группа Replicator Группа Replicator (репликатор) используется службой тиражирования (Replicator), которая автоматически синхронизирует файлы между рабочими станциями.

Группа Server Operators Члены группы Server Operators (операторы сервера) могут осуществлять администрирование серверов. Пользователям, входящим в эту группу, разрешается выполнять некото­рые административные функции на серверах домена, например конфигурирование устройств или мо­дификацию системных параметров.

Группа Users Члены данной группы имеют обычные права и полномочия пользователей. Группа Users (пользователи) предназначена для большинства пользователей, т.е. для тех, кто должен иметь доступ к рабочей станции, но не входит при этом в число администраторов системы или сети. Члены группы Users могут выполнять приложения, управлять файлами на рабочей станции, использовать ло­кальные и сетевые принтеры. Кроме того, им доступны такие операции, как создание и управление собственными группами, работа со своим профилем. Все создаваемые вами новые пользователи авто­матически включаются в группу Users.