Преобразование группы безопасности
Иногда после создания группы нужно изменить ее тип или область (действия). Это не так-то просто, как кажется поначалу, потому что множество правил препятствует произвольным изменениям, которые могут повлиять на доступ к ресурсам в рамках всей организации. Во-первых, тип группы или область нельзя изменять при использовании функционального уровня (режима) Mixed в Windows 2000 или Interim в Windows Server 2003. В режиме Native в Windows 2000 или Windows Server 2003 действуют следующие правила.
- Локальные группы домена Область может быть преобразована в универсальную, если в них не входят другие группы с локальной областью.
- Глобальные группы Область может быть преобразована в универсальную, если эти группы не входят в другие группы с глобальной областью.
- Универсальные группы Область может быть преобразована в любую другую. Учтите, что в глобальные группы не могут входить универсальные и что локальные группы могут быть членами только других локальных групп.
С этими ограничениями вы можете использовать команду DSMOD GROUP с параметром -Secgrp, чтобы преобразовать:
- группу распространения в группу безопасности (-secgrp yes);
- группу безопасности в группу распространения (-secgrp по). Рассмотрим пару примеров.
Преобразование группы безопасности Engineering в группу распространения:
- dsquery group -name Engineering | dsmod group =secgrp no
Преобразование группы распространения AIIMarketing в группу безопасности:
- dsmod group "CN=AllMarketing,OU=Marketing,DC=domain1,DC=com" =secgrp yes
Вы также можете использовать команду DSMOD GROUP с параметром -Scope, чтобы установить область как:
- локальную для домена;
- глобальную;
- универсальную. Рассмотрим пару примеров.
Установить область группы Marketing как локальную для домена:
- dsquery group -name Marketing | dsmod group -domain1
Установить область группы Sales как глобальную:
- dsmod group "CN=Sales,CN=Users,DC=domain1l,DC=com" -domain1 g