Группы в AD DS
Категории групп в AD DS
Группы в AD DS работают в принципе тем же образом, каким работали в старых структурах, в Windows NT в частности, но имеют некоторые изменения в дизайне. Группы делятся на две категории по типу и по области действия. В AD DS существуют два типа групп: группы доступа и группы рассылки. Группы доступа используются для предоставления членам группы прав доступа к объектам. Группы рассылки служат не для предоставления прав доступа, а для отправки почтовых сообщений членам группы. По области действия группы делятся следующим образом.
- Локальные группы компьютера (machine local groups). Локальные группы компьютера, также называемые просто локальными группами, теоретически могут содержать членов из любого доверяемого местоположения. В группы этого типа могут включаться пользователи и группы из локального домена, а также из других доверяемых доменов и лесов. Важно отметить, что локальные группы позволяют получать доступ к ресурсам только той машины, на которой они находятся, а это существенно снижает возможности их использования.
- Локальные группы домена (domain local groups). Локальные группы домена во многом подобны локальным группам Windows NT и используются для администрирования ресурсов, содержащихся только в их собственном домене. Они могут содержать пользователей и группы из любых других доверяемых доменов. Чаще всего эти типы групп используются, чтобы предоставить доступ к ресурсам для групп, принадлежащих другим доменам.
- Глобальные группы (global groups). Глобальные группы противоположны локальным группам домена. Они могут содержать только пользователей домена, в котором существуют сами, но служат для предоставления доступа к ресурсам других доверяемых доменов. Эти типы групп наиболее удобны для назначения членства учетным записям пользователей, которые совместно выполняют сходные функции, например, из глобальной группы сбыта.
- Универсальные группы (universal groups). Универсальные группы могут содержать пользователей и группы из любых доменов леса и могут предоставлять доступ к любому ресурсу леса. Но наряду с дополнительными возможностями существуют и неприятные моменты. Во-первых, универсальные группы доступны только в доменах с функциональным уровнем Windows 2000 Native или выше. Во-вторых, все члены каждой универсальной группы хранятся в глобальном каталоге, что приводит к увеличению объема репликации. Следует отметить, что система репликации данных о членстве в универсальных группах была существенно упрощена и оптимизирована в Windows Server 2008 R2 за счет добавления возможности выполнения инкрементной репликации данных о членстве.
Рекомендуем для просмотра: