Книга Active directory
.pdf158 Группы t Глава 4
Создание групп с помощью команды Dsadd
С помощью команды Dsadd, описанной в главе 3, можно добавлять объекты в Active Directory. Для добавления объекта в. группу нужно ввести команду dsadd group DN_zpynmt, где в качестве DN_zpynnu следует указать отличительное имя группы, например "CN - Finance Managers,OU, =Groups,DC=contoso, DC="com". Если отличительное имя содержит пробелы, заключите его в кавычки. Например, чтобы создать новую глобальную группу безопасности с именем Маркетинг в подразделении Группы домена contoso.com, введите следующую команду:
dsadd group "CN=MapKeTHHr,OU=rpynnH1OC=contoso,DC=com" -samid Маркетинг -secgrp yes -scope g
Параметр DNjtpynnbi можно также указать следующим образом:
• Поместив в конвейер список DN - имен из другой к о м а н д ы , н а п р и м е р
Dsquery.
« Вводя каждое DN-имя в командную строку с пробелом в качестве разделителя.
•Оставив параметр DN пустым и вводя по одному D N - и м е н и в консоль командной строки. После ввода каждого имени нужно нажимать клавишу
Enter, а после ввода последнего DN-имени — нажать клавиши Ctrl+Z . Поскольку в командной строке можно указать несколько DN - имен, разде-
ленных пробелами, команда Dsadd позволяет генерировать множество групп одновременно. Команда Dsadd также может конфигурировать атрибуты создаваемых групп с помощью следующих опциональных параметров.
•Параметр -secgrp {yes | по } указывает тип группы: безопасность (yes) или распространение (по).
•Параметр -scope {l\g\u} определяет область действия группы: локальная
в домене (/), глобальная (g) или универсальная (и).
«Параметр -samid Имя указывает атрибут sAMAccountName группы. Если он не задан, используется имя группы из DN. Рекомендуется назначать
одно имя для sAMAccountName и группы и не использовать этот параметр в команде Dsadd.
• |
Параметр -desc Описание конфигурирует описание группы, |
|
• |
Параметр |
-members DN_nneua добавляет члены в группу. Ч л е н ы назнача- |
|
ются указанием DN-имен в списке с разделительными пробелами. |
|
• |
Параметр |
-memberof DN_zpynmi назначает новую группу членом одной |
|
или нескольких существующих групп. Группы назначаются путем указания |
|
|
DN-имен в списке с разделительными пробелами. |
|
Импорт групп с помощью команды CSVDE
В главе 3 также описан инструмент CSVDE, который импортирует данные из файлов .csv. Этот инструмент может и экспортировать д а н н ы е в ф а й л .csv. В следующем примере показан файл .csv, который создает группу Маркетинг
Занятие 2 |
Автоматизация создания групп и контроля за ними |
-| 57 |
и включает в нее двух первоначальных пользователей — Линду Митчелл и Скотта Митчелла:
objectClass, sAMAccountName,DN,member group,Маркетинг,"СМ=Наркетинг,Ои=Группы,DC=contoso,DC=com", "С^Линда Митчелл, СШ=Кадры, DC=contoso, DC=com; C N = C K O T T Митчвлл,
Ои=Кадры, DC=contoso,DC=com"
Объекты, перечисленные в атрибуте member, должны уже существовать в службе каталогов. В столбце member их DN-имена разделены точкой с запятой.
Этот ф а й л можно импортировать в Active Directory посредством команды: csvde - i - f "Имя_файла" [ - k ]
Параметр -i указывает режим импорта. Без этого параметра команда CSVDE использует режим экспорта. Параметр - / в в о д и т с я перед именем файла, а параметр -k предписывает выполнять обработку даже при возникновении ошибок.
СОВЕТ К ЭКЗАМЕНУ
Инструмент CSVDE можно использовать для создания объектов, но модифицировать существующие объекты с его помощью нельзя. Инструмент CSVDE нельзя использовать для импорта членов в существующие группы.
Управление группами с помощью команды LDIFDE
Инструмент LDIFDE, описанный в главе 3, импортирует и экспортирует файлы в формате L D I F (Lightweight Directory Access Protocol Data Interchange Format). Текстовые ф а й л ы L D I F содержат операции, которые указаны блоками строк, разделенных пустой строкой. Каждая операция начинается с атрибута DN объекта, к о т о р ы й я в л я е т с я субъектом операции. Следующая строка changeType указывает тип операции: add, modify или delete.
Приведенный н и ж е ф а й л L D I F создает две группы с именами Финансы и Анализ в подразделении Группы домена contoso.com:
ON: CN=«HHaHCbi,OU=rpynnbi,DC=contoso, DC=com changeType: add
CN: Финансы
description: Пользователи финансового отдела objectClass: group
sAMAccountName: Финансы
DN: CN=Aнaлиз, СШ=Группы,DC=contoso,DC=com changeType: add
CN: Анализ
description: Пользователи отдела анализа objectClass: group
sAMAccountName: Анализ
По существующим соглашениям, ф а й л следует сохранить с расширением
.ldf, например Groups.ldf. Д л я импорта групп в каталог выполните такую команду Ldifde.exe:
ldifde - i - f groups.ldf
160 |
Группы t |
Глава 4 |
Модификация членства в группе посредством к о м а н д ы LDIFDE
Инструмент LDIFDE можно также применять для модификации существующих объектов в Active Directory, назначая операции, в строке changeType которых указан тип modify. Чтобы добавить два члена в группу Финансы, можно использовать следующий файл LDIF:
fln: СН=Финансы, 01)=Группы, DC=contoso, DC=com changetype: modify
add: member
member: CN=3np«n Стоарт,OU=Kaflpu,dc=contoso,dc=com member: CN=MaiiK Фитцморис,011=Кадры,dc=contoso,dc=com
В строке changeType указан тнп modify, после чего определена операция изменения: добавление (add) объектов в атрибут member. Затем каждый новый член следует в отдельной строке, которая начинается с имени атрибута member. Операция изменения завершается строкой, содержащей одно д л и н н о е тире. Если вместо третьей строки ввести
delete: menber
два указанных члена будут удалены из группы:
Извлечение данных о членстве в группе с помощью команды Dsget
Команды Dsmod и Dsget, описанные в главе 3, можно использовать д л я управления членством объектов в группах. В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) нет опции д л я перечисления всех членов группы, включая в л о ж е н н ы е члены . Вы можете просмотреть лишь список непосредственных членов группы на вкладке Ч л е н ы группы (Members) диалогового окна свойств группы. В этой оснастке также нельзя просмотреть все группы, к которым принадлежит пользователь, включая вложенные группы. Вы можете просмотреть лишь данные непосредственного членства на вкладке Член групп (Member Of) диалогового окна свойств пользователя или компьютера.
Используя следующий синтаксис, посредством команды Dsget можно из-
. влечь полный список членов группы, включая вложенные члены: dsget group "0Н_группы" -members [-expand]
Опция expand извлекает члены вложенных групп.
Аналогично, команду Dsget можно применять д л я и з в л е ч е н и я полного списка групп, к которым принадлежит пользователь или компьютер, указав опцию expand-.
dsget user "ОН_пользователя" -memberof [-expand] dsget computer "ОН_котьмера" -memberof [-expand]
Опция memberof возвращает значение атрибута memberOf пользователя или компьютера, отображая группы, к которым объект принадлежит непосредственно. При добавлении опции expand в этих группах будет выполнен рекурсивный поиск и будет извлечен список всех групп в домене, к которым принадлежит пользователь.
Занятие 2 Автоматизация создания групп и контроля за ними -| 57
Изменение членства в группе с помощью команды Dsmod
Команда Dsmod применялась на занятии 1 для модификации области действия и типа группы. Далее приведен базовый синтаксис этой команды:
dsmod group "0Н_группы" [options]
С помощью таких опций, как samid и desc, можно модифицировать атрибуты sAMAccountName и description объекта. Однако еще удобнее опции, позволяющие модифицировать членство в группе:
• опция -addmbr "DNjweua " добавляет члены в группу;
•опция -rmmbr 'ЪЫ_члена" удаляет член из группы.
Как и в случае со всеми командами DS, параметр DN_4nena представляет отличительное имя еще одного объекта Active Directory (если это имя содержит пробелы, его нужно заключить в кавычки). В команде можно указать множество DN-имен, разделенных пробелами. Например, чтобы добавить пользователя Майка Дансеглио в группу Анализ, можно использовать команду Dsmod: dsmod group "С^Анализ,011=Группы,DC=contoso,pC=com"
-addmbr "СЫ=Найк Дансеглио,СШ=Кадры,DC=contoso,DC=com"
Команду Dsget можно использовать в комбинации с командой Dsmod для копирования данных членства группы. В следующем примере команда Dsget используется д л я извлечения информации обо всех членах группы Продажи, а затем, путем помещения полученного списка в конвейер команды Dsmod, эти пользователи добавляются в группу Маркетинг:
dsget group "СМ=Продажи,Ои=Группы,DC=contoso,DC=com" -members | dsmod group "CN=MapKe™Hr,OU=rpynnbi,DC=contoso,DC=com" -addmbr
Перемещение и переименование групп
спомощью команды Dsmove
Спомощью команды Dsmove, также описанной в главе 3, можно переместить или переименовать объект в домене. Эту команду нельзя использовать для перемещения объектов из одного домена в другой: Далее приведен базовый синтаксис этой команды:
dsmove 0Ы_объекта [-newname Новое_имя] [-newparent ОИ_конечного_подразделения]
Вместо параметра DN_o6beuma нужно указать отличительное имя объекта. Д л я переименования объекта'укажите его новое имя в параметре newname. Чтобы переместить объект в новое место, укажите отличительное имя конечного контейнера в параметре newparent.
Например, чтобы назначить группе Маркетинг новое имя Отдел рекламы, введите следующую команду:
dsmove "С^Маркетинг, Ои=Группы, DC=contoso, DC=com" |
|
-newname "Отдел рекламы" |
: |
Чтобы затем переместить эту группу в подразделение Маркетинг, введите такую команду:
dsmove "СМ=0тдел рекламы, СШ=Группы,DC=contoso,DC=com" -newparent "ОЦ=Маркетинг,DC=contoso,DC=com"
1 6 2 |
Группы t |
|
Глава 4 |
ПРИМЕЧАНИЕ |
Перемещение и переименование групп |
|
|
Группу можно переместить или переименовать также в оснастке Active |
Directo- |
||
r y - |
пользователи и компьютеры (Active Directory Users And Computers), щелкнув |
||
группу право Л кнопкой мышн н выбрав в контекстном меню команду Переместить (Move) или Переименовать (Rename).
Удаление групп с помощью команды Dsrm
С помощью команды Dsrm можно удалить группу и любой объект Active Direc- tor)'- Далее приведен базовый синтаксис команды Dsrm:
as г» ок.обшт» |
[-subtree [-exclude]] [-noproapt] [ - с ] |
В качестве параметра йМ_обьекта следует указать отличительное имя объекта. Если не указать параметр noprompt, команда предложит подтверждать удаление каждого объекта. Переключатель -с запускает команду Dsrm в режиме операций, в котором выводятся сообщения об ошибках, однако при этом команда продолжает обработку дополнительных объектов. Без переключателя —с обработка остановится при первой ошибке.
Чтобы удалить группу Отдел рекламы, введите следующую команду: dsn "СК'О'деп реклам*.ОИ'Маркетииг, DOcontoso, DOcon"
Удалить группу можно также в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers), щелкнув группу правой кнопкой мыши и применив команду Удалить (Delete).
ПРИМЕЧАНИЕ Последствия удаления группы
При удалении группы удаляется точка управления и организации. Поэтому убедитесь, что в среде нет разрешений доступа или других ресурсов, ссылающихся на эту группу. Удаление группы представляет собой серьезную операцию с возможными последствиями. Перед удалением группы рекомендуется записать данные о членстве в ней н в течение некоторого периода времени удалить все члены группы, чтобы проверить, потеряют ли эти члены (оставшиеся в других группах) доступ к какимлибо ресурсам. Если что-то пойдет не так, добавьте удаленные члены заново. Если доступ всех членов останется неизменным, можете удалить группу.
Управление членством в группе
с помощью Windows PowerShell и VBScript
На сертификационном экзамене вряд ли потребуется знать все тонкости управления членством в группах, поэтому их углубленное описание не включено в это руководство.
Тем не менее основы знать не помешает. В VBScript и Windows PowerShell существует несколько способов манипулирования членством в группах (атрибутом member), однако чаще всего используется следующая э ф ф е к т и в н а я методика.
Определите атрибут aDSPath члена. Атрибут aDSPath представляют в формате LDAP ://<DNjae>ia>.
2- Подключитесь к группе.
Занятие 2 |
Автоматизация создания групп и контроля за ними -| 57 |
3. И с п о л ь з у й т е |
метод Add или Remove объекта группы, указав параметр |
aDSPath. |
|
Далее показан пример сценария Windows PowerShell, который добавляет пользователя М а й к а Дансеглио в группу Анализ:
JMemberADSPath = "LDAP://CN=HaiiK Дансеглио,OU=Kaflpbi,DC=contoso,DC=com" JobjGroup = [ADSI]"LDAP://СМ=Анализ,Ои=Группы,DC=contoso,DC=com"
JobjGroup, Add ($MemDerADSPath)
Аналогичный сценарий VBScript выглядит следующим образом:
HemberADSPath = "LDAP://CN=MaiiK Дансеглио,OU=Kaflpu,DC=contoso,DC=com" Set ObjGroup = GetObject("LDAP: //СИ=Анализ, Ои=Группы, DC=contoso, DC=com") objGroup.Add MemberADSPath
Ч т о б ы у д а л и т ь ч л е н ы группы, вместо Add используйте метод Remove. В остальном сценарий не меняется.
Практические занятия. Автоматизация создания и контроля групп
В п р е д л о ж е н н ы х далее у п р а ж н е н и я х вы используете команды DS, CSVDE и LDIFDE д л я решения задач управления группами. Перед выполнением упражнений в домене contoso.com нужно создать следующие объекты:
•подразделение первого уровня Группы;
•подразделение первого уровня Кадры;
•объекты в подразделении Кадры для пользователей Линды Митчелл, Скотта Митчелла, Д ж е ф ф а Форда, Майка Фитцмориса, Майка Дансеглио, Эприл Стюарт и Тони Крайнена.
Кроме того, удалите все группы с именами Финансы и Бухгалтерия.
Упражнение 1. Создание группы с помощью команды Dsadd
В этом упражнении вы создадите группу посредством команды Dsadd. Используя эту команду, можно создать группу и даже назначить членство в этой группе.
1. Войдите на машину S E R V E R 0 1 как администратор.
2. О т к р о й т е окно |
командной строки, введите приведенную ниже команду |
в одной строке. |
Затем нажмите клавишу Enter. |
dsadd group "CN=®HHaHca,OU=rpynnu,DC=contoso,DC=com" -samid Финансы -secgrp yes -scope g
3.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и убедитесь, что группа успешно создана. Если во время выполнения шага 2 эта оснастка была открыта, обновите представление.
Упражнение 2. Импорт групп с помощью команды CSVDE
1. Войдите на машину S E R V E R 0 1 как администратор.
2.Откройте программу Блокнот (Notepad) и введите следующие строки (каждый абзац нужно ввести в отдельную строку текста без знаков абзаца):
•objectClass.sAMAccountName,DN,member
164 |
Группы t |
Глава 4 |
•group, Бухгалтерия, "СН=Бухгалтерия, ОИ=Группы, DC=contoso, DC=com",
"СМ=Линда Митчелл, 011=Кадры, DC=contoso, DC=com; C N = C K O T T Митчелл,
01)=Кадры, DC=contoso, DC=com"
3. Сохраните этот файл в папке Д о к у м е н т ы ( D o c u m e n t s ) под именем "Importgroups.csv", заключенным в кавычки, чтобы программа Блокнот не добавила расширение .txt.
4.Откройте окно командной строки и введите следующую команду: csvde -i -f "%userprofile%\importgroups.csv"
5.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и убедитесь, что группа успешно создана. Если во время выполнения шага 4 эта оснастка была открыта, обновите представление.
Упражнение 3. Модификация членства в группе с п о м о щ ь ю к о м а н д ы LDIFDE
Инструмент CSVDE не может модифицировать членство в существующих группах, зато такие изменения можно вносить с помощью команды LDIFDE. В этом упражнении вы используете инструмент LDIFDE д л я м о д и ф и к а ц и и членства в группе Бухгалтерия, импортированной в упражнении 2.
1. Откройте программу Блокнот (Notepad) и введите следующие строки:
dn: CN=ByxranTepKH,OU=rpynnbi,DC=contoso,DC=com |
j |
|
changetype: modify |
j |
|
add: member |
j |
|
member: СМ=Эприл Стюарт,ои=Кадры,dc=contoso,dc=com |
|
|
member: CN=MaiiK ®HTUMopHC,OU=Kaflpu,dc=contoso,dc=com |
f |
|
|
|
i |
|
|
S |
dn: CN=ByxranTepHa,OU=rpynnu,DC=contoso,DC=com |
iE |
|
I |
||
changetype: modify |
^ |
|
delete: |
member |
| |
member: |
СМ=Линда Митчелл,OU=KaflpH,dc=contoso,dc=com |
• \j |
Обязательно вставляйте тире после каждого блока и пустую строку между Ь двумя блоками строк. |
2.Сохраните файл в папке Документы (Documents) под именем "Membership- J change.ldf", заключенным в кавычки, чтобы программа Блокнот не добавила •
|
расширение .txt. |
f |
3. |
Откройте окно командной строки. |
;; |
4. |
Введите следующую команду и нажмите клавишу Enter. |
J, |
|
Idifde -i -f "%userprofile%\documents\membershipchange.ldf" |
|
5.Откройте оснастку Active Directory — пользователи и компьютеры (Activet Directory Users And Computers) и убедитесь в изменении членства в группе f»'
Бухгалтерия в соответствии с инструкциями файла LDIF. Теперь группа
должна включать членов Эприл Стюарт, Майка Ф и т ц м о р и с а и |
Скотта^ |
Митчелла |
— ^ |
Занятие 2 |
Автоматизация создания групп и контроля за ними -| 57 |
Упражнение 4. Модификация членства в группе командой Dsmod
Вэтом упражнении с помощью команды Dsmod вы добавите группу и пользователя в группу Финансы.
1.Откройте окно командной строки.
2.Введите следующую команду для изменения членства в группе Финансы:
dsmod group "CN=®MHaHcu,OU=rpynnbi,DC=contoso1DC=com" -addmbr "CN=Tom Крайней, Ои=Кадры, DC=contoso! ОС=сот'.'"С^=Бухгалтерия, 011=Группы, DC=contoso,DC=com"
3.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) убедитесь, что группа Финансы теперь содержит пользователя Тони Крайнена и группу Бухгалтерия.
Упражнение 5. Подтверждение членства в группе с помощью команды Dsget
Посредством оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) оценить членство в группе сложно, зато просто сделать это при помощи команды Dsget. В этом упражнении вы просмотрите все данные о членстве в группе и членстве пользователя в группах.
1.Откройте окно командной строки.
2.Перечислите непосредственных членов группы Бухгалтерия, набрав следующую команду и нажав клавишу Enter:
dsget group "CN=Byx^TepMq,OU=rpynnu,DC=contoso,DC=com" -members
3.Перечислите непосредственных членов группы Финансы, набрав следующую команду и нажав клавишу Enter:
dsget group "CN=®MHaHCbi,OU=rpynnbi,DC=contoso,DC=com" -members
4. Извлеките полный список членов группы Финансы, набрав следующую •команду и нажав клавишу Enter:
dsget group "CN=®HHaHCbi,OU=rpynnu,DC=contoso,DC=com" -members -expand
5.Перечислите группы, непосредственным членом которых является пользователь Скотт Митчелл, набрав следующую команду и нажав клавишу Enter:
dsget user "CN=CKOTT Митчелл,ОИ=Кадры,DC=contoso,DC=com" -memberof
6.Перечислите все группы, членом которых непосредственно или в составе других групп является пользователь Скотт Митчелл, набрав следующую команду и нажав клавишу Enter:
dsget user "CN=CKOTT Митчёлл,:Ои=Кадры, DC=contoso, DC=com" -memberof -expand
Резюме
•Группы можно создавать с помощью команд Dsadd, CSVDE и LDIFDE.
•Командами LDIFDE и Dsmod можно модифицировать членство в сущест-
вующих группах. |
. |
• Посредством команды Dsget можно извлечь полный список всех членов группы, а также полный список групп, к которым принадлежит пользователь, включая вложенные группы.
1 6 6 |
Группы t |
Глава 4 |
Закрепление материала
Следующие вопросы можно использовать д л я проверки знаний, полученных на занятии 2. Эти вопросы есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1.Какую из следующих команд можно использовать д л я удаления членов из группы? (Укажите все варианты.)
A.Remove-Item.
Б. Dsrm.
B. Dsmod. Г. LDIFDE.
Д.CSVDE.
2.Вы используете команду Dsmod для добавления локальной группы А домена в глобальную группу Б. При выполнении команды возникают ошибки. Какая команда поможет решить проблему, чтобы группу А можно было добавить в группу Б? (Укажите все варианты.)
A. Dsrm.exe.
Б.Dsmod.exe.
B.Dsquery.exe.
Г.Dsget.exe.
3.Ваш руководитель потребовал список всех пользователей, принадлежащих
кгруппе Специальный проект, в том числе членов групп, включенных в группу Специальный проект. Какую из следующих команд можно использовать для извлечения такого списка?
A. Get-Members. Б. Dsquery.exe.
B. LDIFDE.
Г.Dsget.exe.
Занятие 3. Администрирование групп
на предприятии
На занятиях 1 и 2 вы подготовились к решению ежедневных задач администрирования групп в Active Directory. Мы обсудили, как создавать, модифицировать и удалять группы с помощью различных инструментов и процедур. ,
На этом занятии мы рассмотрим использование атрибутов групп, применяемых для документирования групп, делегирования . управления членством в них другим администраторам, а также отключение некоторых групп Active Directory и Windows по умолчанию.
Занятие 3 |
Администрирование групп на предприятии 190 |
|
Изучив материал этого занятия, вы сможете:
/Документировать назначение группы с помощью атрибутов группы.
/Предотвратить случайное удаление группы.
/Делегировать управление членством в группе.
/Создать теневую группу.
•Определять группы домена по умолчанию и управлять ими.
/ Назначать разрешения доступа особым объектам идентификации.
Продолжительность занятия — около 45 мин.
рекомендуемые методики группирования атрибутов
Создать группу в Active Directory не составляет труда. Намного сложнее гарантировать корректное использование группы. Управление группой и ее применение можно подкорректировать, указав ее назначение, чтобы администраторы знали, как и когда использовать эту группу.. Существует несколько рекомендуемых методик, которые вряд ли будут включены в сертификационный экзамен, но помогут вам в администрировании групп предприятия.
• |
У с т а н о в л е н и е и в ы п о л н е н и е соглашения строгого именования Реко- |
|
мендуемое соглашение об именовании описано на занятии 1. Следование |
|
стандартам именования групп повысит эффективность работы админист- |
|
раторов. П р е ф и к с д л я указания назначения группы и согласованный раз- |
|
делитель между префиксом и описательной частью имени группы поможет |
|
правильно выбрать группу для определенной цели. Например, префикс |
|
А Р Р можно использовать д л я назначения групп, управляющих приложе- |
|
ниями, а с п о м о щ ь ю префикса ACL можно идентифицировать группы, |
|
которым назначены разрешения доступа к спискам контроля доступа ACL |
|
(Access Control List). Благодаря этим префиксам легче понять назначение |
|
групп с т а к и м и именами, как APP _ Accounting и ACL_Accounting_Read, |
|
или отыскать эти группы. Первая группа используется для управления |
|
развертыванием бухгалтерского программного обеспечения, а вторая предр- |
|
ставляет доступ чтения к спискам ACL папки Accounting. Префиксы также |
|
позволяют группировать имена групп в пользовательском интерфейсе, как |
|
показано в примере на рис. 4-7. Чтобы отыскать группу, с помощью которой |
|
назначаются разрешения доступа к папке, вы можете ввести в диалоговое |
|
окно Выбор (Select) префикс ACL_ и щелкнуть ОК. Откроется диалоговое |
|
окно Найдено несколько имен (Multiple Names Found) со списком имен |
|
групп с префиксом ACL_, в котором можно сразу выбрать группу для уп- |
|
равления доступом к ресурсу. |
• |
Указание назначения группы с помощью атрибута description Для указа- |
|
ния цели группы можно применять атрибут описания description..Поскольку |
|
в панель сведений оснастки Active Directory — пользователи и компьютеры |
|
(Active Directory Users and Computers) по умолчанию включен столбец |
|
Описание (Description), администраторы сразу смогут определить в нем |
|
назначение группы. |