Добавление учетных записей групп

Типы групп и их зависимость от сети

Тип нужной вам группы зависит от конфигурации сети. В доме­нах вы обычно будете работать с группами безопасности и рас­пространения, а в рабочих группах — в основном с локальными группами, которые относятся только к конкретным компьютерам.

Группы безопасности предназначены для управления правами доступа групп пользователей, а группы распространения служат как списки рассылки. Независимо от типа создаваемой группы принцип работы с пей зависит от области (scope), которая определяет границы действия этой группы. Существуют следующие области.

  • Локальные группы домена. Предназначены для выдачи разрешений в рамках одного домена. Их членами могут быть только учетные записи (как компьютеров, так и поль­зователей) и группы из домена, в котором они определены.
  • Глобальные группы. Предназначены для задания прав до­ступа к объектам в любом домене в дереве доменов или лесу. Их членами могут быть только учетные записи и груп­пы из домена, в котором они определены.
  • Универсальные группы. Предназначены для выдачи разреше­ний в пределах всего дерева доменов или леса. Их членами мо­гут быть учетные записи, глобальные группы и другие универ­сальные группы из любого домена в дереве доменов или лесу.

Создание групп в командной строке

Создавая группы, вы передаете команде DSADD GROUP составное имя (DN) группы. Простое имя, являющееся частью DN, задает отображаемое имя группы. Остальная часть DN указывает, где в Active Directory должна находиться группа, в том числе определяя контейнер, в котором будет создана груп­па, и соответствующий домен. По умолчанию создается гло­бальная группа безопасности. Например, вы можете создать глобальную группу безопасности Sales в OU «Sales» домена site1.com командой dsadd group "CN=Sales,OU=Sales,DC=site1,DC=com". В этом случае Sales считается как отобража­емым именем группы, так и именем учетной записи в SAM. Однако остальные свойства не будут заданы.

Имена групп не чувствительны к регистру букв и могут быть длиной до 64 символов. В большинстве случаев нужно указывать тин группы и область ее действия. Параметр -Secgrp позволяет задать тип группы — безопасности или рас­пространения:

  • введите -secgrp yes, чтобы создать группу безопасности;
  • введите -secgrp по, чтобы создать группу распространения.

Для указания области действия группы используйте пара­метр -Scope:

  • -scope 1 — создает локальную группу домена;
  • -scope g — создает глобальную группу;


2016  Командная строка Windows  
top Яндекс.Метрика