Концепция групп

Идея групп существует в мире Microsoft гораздо дольше, чем OU. Как и концепция OU, концепция групп предназначена для логической организации пользователей в легко иден­тифицируемые структуры. Однако между функционированием групп и OU имеются серьез­ные отличия, которые перечислены ниже.

• Возможность просмотра пользователями данных о членстве в группах. Если ин­формацию о членстве в OU могут просматривать только администраторы с помощью специальных средств администрирования, то информацию о членстве в группах мо­гут просматривать все пользователи, которые принимают участие в работе домена. Например, пользователи, назначающие параметры безопасности локальному общему ресурсу, могут применять разрешения к группам доступа, которые были созданы на уровне домена.
• Возможность членства в нескольких группах. Структура OU похожа на структуру папок в файловой системе. Другими словами, файл в любой момент времени может находиться только в одной папке или OU. Что же касается членства в группах, то тут подобных ограничений нет: пользователь может становиться членом любой группы или нескольких групп, и его членство в той или иной группе может изменяться в любой момент.
• Возможность применения групп в качестве основных объектов доступа. Каждая группа доступа в AD DS обладает уникальным идентификатором безопасности (Security ID — SID), который назначается ей при ее создании. У организационных единиц никаких ассоциируемых с ними записей контроля доступа (Access Control Entry — АСЕ) нет, и потому они не могут применяться для обеспечения безопасности на уровне объектов. Это отличие является одним из самых важных, поскольку груп­пы доступа позволяют пользователям разрешать или запрещать доступ к ресурсам на основании членства в группах. Следует, однако, обратить внимание на то, что исклю­чением среди них являются группы рассылки, которые тоже не могут применяться для обеспечения безопасности.
• Возможность включения для групп функции разрешения работы с почтой. Посредством групп рассылки и (в последних версиях Microsoft Exchange) групп досту­па с возможностью работы с электронной почтой пользователи могут отправлять одно почтовое сообщение группе и тем самым распространять его среди всех членов этой группы. В таком случае группы сами превращаются в списки рассылки, в то же время оставаясь доступными для обеспечения безопасности.