Книга Active directory
.pdf148 Группы t |
Глава 4 |
ACL_New_Product_Modify вместе с р а з л и ч н ы м и |
г л о б а л ь н ы м и группами |
и пользователями из каждого региона. |
|
Как показано в примере, универсальные группы могут помочь в представ-; лении и консолидации групп, распределенных по доменам в лесу, а также определить правила, которые можно применять во всем лесу. Далее описаны характеристики универсальных групп.
• |
Репликация |
Универсальная группа определяется в одном домене леса, но |
|
реплицируется в глобальный каталог. (Подробнее о глобальном каталоге |
|
|
рассказывается в главе 10.) Объекты в глобальном каталоге доступны во |
|
|
всем лесу. |
|
• |
Членство |
Универсальная группа может быть членом другой универсаль- |
|
ной или локальной группы домена в лесу. Кроме того, универсальная группа |
|
|
может использоваться для управления ресурсами, например для назначения |
|
|
разрешений доступа во всем лесу. |
|
Членство в группах: обобщение
На сертификационном экзамене 70 - 640 и при решении повседневных задач администрирования нужно знать все характеристики членства д л я каждой области действия группы.
В табл. 4-1 описаны объекты, которые могут быть членами в области действия каждой группы.
Табл. 4-1. Область действия и члены группы
Область |
Члены группы из того же |
действия |
домена |
группы |
|
Локальная |
Пользователи, компью- |
|
теры, глобальные груп- |
|
пы, универсальные груп- |
|
пы, локальные группы в |
|
домене, локальные поль- |
|
зователи, определенные |
|
на том же компьютере, |
|
где определена локаль- |
|
ная группа |
Локальная |
Пользователи, компыо- |
в домене |
теры, глобальные груп- |
|
пы, универсальные груп- |
|
пы, локальные группы |
|
в домене |
Универсальная |
Пользователи, компью- |
|
теры, глобальные груп- |
|
пы и универсальные |
|
группы |
Глобальная |
Пользователи, ком- |
|
пьютеры, глобальные |
|
группы |
Члены группы из |
Члены группы |
другого домена в том |
из доверенного |
же лесу |
внешнего домена |
Пользователи, ком- |
Пользователи, ком- |
пьютеры, глобальные |
пьютеры, глобаль- |
группы и универсаль- |
ные группы |
ные группы |
|
Пользователи, ком- |
Пользователи, ком- |
пьютеры, глобальные |
пьютеры, глобаль- |
группы и универсаль- |
ные группы |
ные группы |
|
Пользователи, ком- |
Нет доступа |
пьютеры, глобальные |
|
группы и универсаль- |
|
ные группы |
Нет доступа |
Нет доступа |
Занятие 1 |
Создание групп и управление ими |
149 |
К о н т р о л ь н ый вопрос
•Какие типы объектов могут быть членами глобальной группы в домене?
Ответ на к о н т р о л ь н ы й вопрос
•Глобальные группы могут содержать только пользователей, компьютеры
идругие глобальные группы из того же домена.
Преобразование области действия и типа группы
Если после создания группы возникает необходимость модифицировать ее область действия или тип, откройте диалоговое окно Свойства (Properties) существующей группы. На вкладке Общие (General) будет указана существующая область действия и тип (рис. 4-3). Обычно для группы можно выбрать по меньшей мере еще одну область действия и тип.
;,. МЛ1
|
|
|
Объект |
|
j |
Безопасность |
j |
Pea* гор атрибутов |
|||||
|
|
|
Общие |
j Чпе*ы группь | |
Ч«е«гр>тг | |
Угрввляется |
|||||||
|
|
|
|
Фи^-енсооьт |
|
|
|
|
|
|
|||
|
|
|
группы ^paa-VWidows 2003) [^.^згссвые |
|
|
||||||||
|
|
Orv:«wf> |
|
j |
|
|
|
|
|
|
|
||
|
|
Зп почта' |
|
Г |
|
|
|
|
|
|
|
||
|
|
Г?- Область ав*ств»« группы |
|
|
|
|
|||||||
|
Ti-n группе |
|
|
||||||||||
|
|
j (• Гпэбапьпг* |
|
|
|
(*. бвэопэоость |
|
|
|||||
|
|
|
|
|
<~ fpflrw распространена |
||||||||
\ |
Универсальная |
... 1 |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
_ |
|
|
|
|
|
|
... .......... ... |
_ |
.... |
|
||||||
fl |
|
|
zi ' \ |
||||||||||
|
|
|
|
|
| |
QK |
| |
|
| |
"•-•••-• | |
|||
|
|
|
|
||||||||||
Рис. 4-3. |
|
Изменение области действия и типа группы |
|||||||||||
в диалоговом окне |
свойств |
|
|
|
|||||||||
Тип группы можно преобразовать, выбрав другой тип в секции Тип группы (Group Туре) на вкладке Общие (General). Однако при этом нужно проявлять осторожность. При преобразовании группы безопасности в группу распространения все ресурсы, разрешения доступа к которым назначены группе, больше не будут действовать. После преобразования группы безопасности в группу распространения пользователи, входящие в домен, больше не будут включать SID - идентификатор этой группы в свои маркеры безопасности доступа.
Область действия группы можно изменить одним из следующих способов:
•глобальную группу можно преобразовать в универсальную;
•локальную группу домена можно преобразовать в универсальную;
1 5 0 |
Группы t |
Глава 4 |
•универсальную группу можно преобразовать в глобальную;
•универсальную группу можно преобразовать в локальную группу домена.
Вы не можете напрямую преобразовать глобальную группу в локальную группу домена и локальную группу домена в глобальную. Однако сделать это можно, преобразовав вначале группу в универсальную, а затем универсальную — в требуемую область действия. Таким образом можно выполнять преобразования всех областей действия.
Однако помните, что область действия группы определяет типы объектов, которые могут быть членами группы. Если в группе уже есть члены или сама она входит в другую группу, изменение области действия может оказаться недоступным. Например, если глобальная группа входит в другую глобальную группу, вы не сможете преобразовать первую группу в универсальную, поскольку универсальная группа не может быть членом глобальной (отобразится сообщение об ошибке, показанное на рис. 4-4). Поэтому перед изменением области действия группы требуется откорректировать членство группы.
Рис. 4-4. Ошибка, которая возникает, когда членство группы не позволяет изменить ее область действия
Для изменения типа и области действия группы можно использовать команду Dsmod, описанную в главе 3:
dsmod group 0Н_группы -secgrp { yes | no ) -scope { 1 | g | и }
В качестве DN_zpynnu нужно указать отличительное имя модифицируемой группы. Следующие два параметра влияют на область действия и тип группы.
• Параметр -secgrp {yes | по } указывает тип группы: безопасность (yes) или распространение (по),
шПараметр -scope {11 g \ и } определяет область действия группы: локальная
вдомене (/), глобальная (g) или универсальная (и).
Управление членством в группе
Для добавления и удаления членов группы можно использовать несколько методов. Во-первых, вы можете открыть диалоговое окно Свойства (Properties) группы и перейти на вкладку Члены группы (Members). Для удаления члена группы выберите его и щелкните кнопку Удалить (Remove). Чтобы добавить член в группу, щелкните кнопку Добавить (Add). Откроется диалоговое окно Выбор: "Пользователи", "Контакты", "Компьютеры " или "Группы" (Select Users, Contacts, Computers, or Groups), показанное на рис. 4-5.
Занятие 1 |
|
Создание групп и управление ими |
1 5 1 |
|
|
Mix) |
|
ОАикт \ Sw^cHOCTb |
I F«i»Mci>eTi»^roe j |
|
|
о«щм Чл«.гита | |
«„„г,™ | |
j |
|
ЗВ Ш К Ш З Г EMfepwc -лп объекта (•Гфяьа'оввгепи", ТиггъСйЙ
^ С ^ В Ц Д - Г, |
вень'те >»ля |
|||
|
|
|
||
l^jrtoao com |
||||
|
||||
Be r« eJ^rwa « |
Л*в[RD?J) |
|||
|
|
|
||
|
|
|
!> Бгрйврв Haft Ытеу» |
|
|
|
|
f, Егсйвсв Мзс t*nc>d«nd |
|
Рис. 4-5. Добавление члена в группу
Далее приведены некоторые рекомендации.
I Вгтлв
c<rtcso«nvKa
eorto»cem/Ke
•В поле Введите имена выбираемых объектов (Enter The Object Name) диалогового окна Выбор (Select) можно ввести множество учетных записей, разделенных точкой с запятой . Например, на рис. 4-5 введены учетные
записи Продажи и Ф и н а н с ы , разделенные точкой с запятой.
•Вы можете ввести неполные имена учетных записей — полное имя вводить необязательно. Система Windows выполнит в Active Directory поиск учетных записей, которые начинаются с введенного имени. Если найдено лишь одно имя, система выберет его автоматически. Если же найдено множество имен, откроется диалоговое окно Найдено несколько имен (Multiple Names Found), где можно указать нужные объекты. Ввод неполных имен может сэкономить время, необходимое для добавления членов в группы, и помочь, если вы забудете точное имя члена.
•По умолчанию Windows выполняет поиск лишь тех пользователей и групп, которые соответствуют именам, введенным в диалоговое окно Выбор (Select). Чтобы добавить в группу компьютеры, щелкните кнопку Типы объектов (Object Types) и установите флажок Компьютеры (Computers).
•По умолчанию Windows выполняет поиск лишь групп домена. Чтобы добавить локальные учетные записи, в диалоговом окне Выбор (Select) щелкните кнопку Размещение (Locations).
• Если вы не можете найти член, который необходимо добавить в группу,
вдиалоговом окне Выбор (Select) щелкните кнопку Дополнительно (Advanced) . Откроется окно запросов с дополнительными опциями поиска
вActive Directory.
Добавить объект в группу можно также в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Д л я этого откройте диалоговое окно свойств объекта и перейдите на вкладку Член групп
152 |
Группы t |
Глава 4 |
(Member Of)- Щелкните кнопку Добавить (Add) и выберите группу. Вы также можете щелкнуть правой кнопкой мыши один или несколько выделенных объектов и применить команду Добавить в группу (Add То Group).
Атрибуты member и memberOf
При добавлении члена в группу изменяется атрибут member группы. Атрибут member многозначен. Каждый член представлен значением DN (отличительное имя) в группе. При перемещении или переименовании члена Active Directory автоматически обновляет атрибуты member групп, которым он принадлежит.
При добавлении члена в группу также косвенно о б н о в л я е т с я атрибут memberOf. Атрибут memberOf относится к особому типу атрибутов, который называется обратной ссылкой. Он обновляется в Active Directory, когда на объект ссылается атрибут прямой ссылки, например member. При добавлении члена в группу атрибут member всегда изменяется. Поэтому при использовании вкладки Член групп (Member Of) для добавления объекта в группу на самом деле изменяется атрибут member. Атрибут memberOf обновляется в Active Directory автоматически.
Быстрое изменение членства в группе
При добавлении пользователя в группу параметры членства вступают в силу не сразу. Членство в группах оценивается при входе пользователя (или запуске компьютера). Поэтому пользователю нужно выйти и вновь войти в систему, чтобы членство в группе было указано в маркере пользователя.
Кроме того, задержки может создавать репликация и з м е н е н и й членства в группах (репликация описана в главе 11). В частности, р е п л и к а ц и я замедляется, когда предприятие содержит несколько сайтов Active Directory. Применение изменений членства к пользователю можно ускорить, если внести изменение на контроллере домена в сайте пользователя . В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) щелкните правой кнопкой мыши домен и выберите команду Сменить контроллер домена (Change Domain Controller).
Разработка стратегии управления группами
Включая группы в другие группы (это называемое вложением), можно создавать иерархию групп, поддерживающих бизнес-роли и правила . И з у ч и в бизнесцели и технические характеристики групп, вы можете приступать к разработке стратегии управления группами.
Ранее на этом занятии мы говорили, какие типы объектов могут быть членами каждой группы. Теперь выясним, какие типы объектов д о л ж н ы быть членами каждой группы. В результате мы определим оптимальную методику вложения групп AGDLA.
•Учетные записи (Accounts), то есть пользователи и компьютеры, становятся членами...
•...глобальных групп (Global), представляющих бизнес-роли. Эти группы ролей (глобальные группы) могут быть членами...
Занятие 1 |
Создание групп и управление ими |
53 |
•...локальных групп в домене (Domain Local), которые представляют бизнесправила, например разрешение доступа чтения к конкретной коллекции папок. Такие группы правил (локальные группы в домене) добавляются в...
•...списки контроля доступа (Access control list), обеспечивающие уровень доступа, требуемый ролыо.
Влесу из множества доменов существуют также универсальные группы, которые занимают место между глобальными и локальными группами в домене. Глобальные группы из множества доменов будут членами одной универсальной группы. Эта универсальная группа является членом доменных локальных групп во множестве доменов. Именно такая методика называется AGDLA.
Эта оптимальная методика вложения групп отлично работает даже в сценариях с множеством доменов. Схема управления группами показана на рис. 4-6. Она отражает технические детали методики AGDLA; на этом рисунке также представлен бизнес-обзор управления на основе ролей и правил.
VПапка Продажи
Рис. 4-6. Реализация схемы управления группами
Рассмотрим следующий сценарий. Отдел продаж компании Contoso, Ltd. завершил ф и н а н с о в ы й год. Ф а й л ы данных о продажах за предыдущий год хранятся в папке Продажи . Руководителю отдела продаж требуется доступ чтения к папке Продажи . Кроме того, группе аудиторов из банка Woodgrove Bank — потенциального инвестора — также нужен доступ чтения к папке Продажи д л я аудита. Далее описаны шаги, которые нужно выполнить для обеспечения безопасности, требуемой в таком сценарии.
1. Определите д л я пользователей стандартные обязанности или другие биз- нес-характеристики, чтобы создать группы ролей в качестве глобальных групп безопасности.
154 Группы t Глава 4
Эту операцию следует выполнить отдельно в каждом домене. Сотрудники отдела продаж Contoso добавляются в группу роли Продажи. Аудиторы Woodgrove Bank добавляются в группу роли Аудиторы.
2-. Создайте группу, представляющую бизнес-правило д л я доступа чтения к папке Продажи.
Эта операция выполняется в домене, содержащем ресурс, к которому применяется правило. В данном случае им будет домен Contoso, в котором размещена папка Продажи. Группа правила создается как локальная группа
в домене.
3.В группу правила добавьте группы ролей, к которым будет применяться бизнес-правило.
Эти группы могут располагаться в любом домене леса или доверенном домене, как, например, Woodgrove Bank. Членом локальной группы в домене могут быть глобальные группы из внешних доверенных доменов, а также из любого домена в том же лесу.
4. Назначьте разрешения для реализации требуемого уровня доступа.
Вданном случае локальной группе в домене предоставляется доступ чтения (Allow Read).
Врезультате мы получаем единую точку управления, где определяются члены групп Продажи и Аудиторы. Помимо доступа чтения к папке Продажи эти роли, естественно, могут иметь и другие разрешения доступа. Папка Продажи может быть не просто папкой на одном сервере, а целой коллекцией папок на множестве серверов, к каждой из которых назначается доступ чтения для отдельной локальной группы в домене.
Практические занятия. Создание групп и управление ими
В предложенных далее упражнениях вы создадите группы, попрактикуетесь с назначением членства группы, а также преобразуете тип и область действия группы. Перед выполнением упражнения в домене contoso.com нужно создать следующие объекты:
«подразделение первого уровня Группы;
•подразделение первого уровня Кадры;
•объекты пользователей в подразделении Кадры д л я пользователей Л и н д ы Митчелл, Скотта Митчелла, Джеффа Форда, Майка Фитцмориса, Майка Дансеглио и Тони Крайнена.
Упражнение 1. Создание групп
Вэтом упражнении вы создадите группы с различными областями действия
итипами.
1.Войдите на машину SERVER01 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers). В дереве консоли выберите подразделение Группы.
2.Щелкните правой кнопкой мыши подразделение Группы, выберите опцию Создать (New) и примените команду Группа (Group) .
Занятие 1 |
Создание групп и управление ими |
155 |
3. В поле И м я группы (Group Name) введите имя Продажи.
4. Выберите д л я группы область действия Глобальная (Global) и тип Безопасность (Security). Щелкните ОК .
5. Щелкните правой кнопкой мыши группу Продажи' и примените команду Свойства (Properties).
6. Перейдите на вкладку Ч л е н ы группы (Members). 7. Щ е л к н и т е кнопку Добавить (Add).
8. Введите имена Джефф;Тони и щелкните ОК .
9. Щ е л к н и т е О К , чтобы закрыть диалоговое окно Свойства (Properties).
10.Повторите шаги 2 - 4 , чтобы создать две глобальные группы безопасности — Маркетинг и Консультанты.
11.Повторите шаги 2 - 4 , чтобы создать локальную группу безопасности домена ACL_Sales Folder _ Read .
12.Откройте свойства группы ACL_Sales_Folder_Read.
13.Перейдите на вкладку Ч л е н групп (Member Of).
14.Щ е л к н и т е кнопку Добавить (Add).
15. Введите имена Продажи; Маркетинг; Консультанты и щелкните ОК.
16.Щ е л к н и т е кнопку Добавить (Add).
17.Введите имя Линда и щелкните ОК .
18. Щ е л к н и т е О К, чтобы закрыть диалоговое окно Свойства (Properties).
19.Откройте диалоговое окно Свойства (Properties) группы Маркетинг.
20.Перейдите на вкладку Ч л е н групп (Member Of) и щелкните кнопку Добавить (Add) .
21. Введите и м я ACL_Sales Folder_Read и щелкните ОК.
Вы не можете добавить локальную группу домена в глобальную группу.
22.Отмените операции и закройте все диалоговые окна.
23.На диске С: создайте папку с именем Продажи.
24. Щ е л к н и т е правой к н о п к о й м ы ш и папку Продажи, примените команду Свойства (Properties) и перейдите на вкладку Безопасность (Security).
25.Щелкните кнопку Изменить (Edit), а затем щелкните кнопку Добавить (Add).
26.Щелкните кнопку Дополнительно (Advanced), а затем кнопку Поиск (Find Now) . С п о м о щ ь ю п р е ф и к с а имен групп, например префикса ACL_ для групп управления доступом к ресурсам, можно быстро найти и сгруппировать эти группы в начале списка.
27.Отмените операции во всех открытых диалоговых окнах.
28.Щелкните правой кнопкой м ы ш и подразделение Группы, выберите опцию Создать (New) и примените команду Группа (Group).
29. В поле И м я группы (Group Name) введите имя Служащие.
30.Выберите для группы область действия Локальная в домене (Domain Local) и тип Безопасность (Security). Щелкните ОК.
1 5 6 |
Группы t |
Глава 4 |
Упражнение 2. Преобразование области действия и типа группы
Вэтом упражнении вы преобразуете тип и область действия группы.
1.Щелкните правой кнопкой мыши группу Служащие и примените команду Свойства (Properties).
2.Назначьте тип группы Распространение (Distribution). 1
3.Щелкните кнопку Применить (Apply).
4. Щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties).
Резюме
•Существуют два типа групп: группы безопасности и группы распространения. Группе безопасности можно назначать разрешения доступа, а группа распространения используется в качестве списка рассылки электронной почты.
•Помимо локальных групп, которые поддерживаются только в локальной базе данных SAM на рядовом сервере домена, существуют еще три типа области действия групп: глобальная, локальная в домене и универсальная .
•Область действия группы влияет на ее репликацию, на т и п ы объектов, которые могут быть членами группы, и на возможность группы войти в состав другой группы или на решение таких задач управления, как назначение разрешений доступа группе.
•После создания группы можно преобразовать ее тип и область действия.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных на занятии 1. Эти вопросы есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант" ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. В новом проекте требуется, чтобы пользователи в вашем домене и,домене партнерской организации имели доступ к общей папке на вашем файло - вом сервере. Группу какого типа следует создать д л я управления доступом
кэтой общей папке?
A. Универсальную группу безопасности.
Б.Локальную группу безопасности в домене. B. Глобальную группу безопасности.
Г.Локальную группу распространения в домене.
2.Ваш домен содержит группу распространения с именем Обновление компании. Указанная группа используется для пересылки ее членам новостей компании по электронной почте. Вы решили позволить всем членам группы участвовать в подготовке информационного бюллетеня и создали для этого
Занятие 2 |
Автоматизация создания групп и контроля за ними |
-| 57 |
общую папку на файловом сервере. Что нужно сделать, чтобы разрешить членам группы доступ к этой общей папке?
A. Назначить д л я группы локальную область действия в домене. Б. Назначить для группы универсальную область действия.
B.Добавить группу распространения в группу Пользователи домена (Domain Users).
Г.Использовать команду Dsmod. с переключателем -secgrp yes.
3.В домене contoso.com вы создали глобальную группу безопасности с именем Корпоративные менеджеры. Какие члены могут быть включены в эту группу? (Укажите все варианты.)
A. Глобальная группа М е н е д ж е р ы по продажам в доверенном домене fabrikam.com партнерской компании.
Б. Глобальная группа Менеджеры по продажам в домене tailspintoys.com леса contoso.com.
B.Линда Митчелл, пользователь в домене tailpintoys.com леса contoso.com.
Г. Д ж е ф ф Форд, пользователь в доверенном домене fabrikam.com партнерской организации.
Д. М а й к Дансеглио, пользователь в домене contoso.com.
Е.Глобальная группа Администрация отдела продаж в домене contoso.com.
Ж. Л о к а л ь н а я группа Коммерческие директора в домене contoso.com.
3.Универсальная группа Менеджеры по продажам в Европе в лесу contoso.com.
Занятие 2. Автоматизация создания групп и контроля за ними
На занятии 1 мы рассмотрели создание группы, выбор области ее действия и типа группы, а т а к ж е настройку членства в группе с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) . Ч т о б ы создавать несколько групп одновременно или автоматизировать создание групп, следует использовать другие инструменты. В главе 3 описаны инструменты командной строки и автоматизации, включая CSVDE, LDIFDE, Dsadd, W i n d o w s PowerShell и VBScript. Такие инструменты можно применять также д л я автоматизации создания и управления объектами групп. На этом з а н я т и и мы рассмотрим управление жизненным циклом объектов групп с помощью инструментов командной строки и автоматизации.
Изучив материалы этого занятия, вы сможете:
S |
Создавать группы с помощью инструментов Dsadd, CSVDE и LDIFDE. |
S |
Модифицировать членство в группах посредством инструментов Dsmod, |
LDIFDE, Windows PowerShell и VBScript.
S Перечислить членов группы с помощью команды Dsget.
•Перемещать и удалять группы командами Dsmove и Dsrm.
Продолжительность занятия — около 45 мин.