Определение групп AD DS
Концепция групп
Идея групп существует в мире Microsoft гораздо дольше, чем OU. Как и концепция OU, концепция групп предназначена для логической организации пользователей в легко идентифицируемые структуры. Однако между функционированием групп и OU имеются серьезные отличия, которые перечислены ниже.
- Возможность просмотра пользователями данных о членстве в группах. Если информацию о членстве в OU могут просматривать только администраторы с помощью специальных средств администрирования, то информацию о членстве в группах могут просматривать все пользователи, которые принимают участие в работе домена. Например, пользователи, назначающие параметры безопасности локальному общему ресурсу, могут применять разрешения к группам доступа, которые были созданы на уровне домена.
- Возможность членства в нескольких группах. Структура OU похожа на структуру папок в файловой системе. Другими словами, файл в любой момент времени может находиться только в одной папке или OU. Что же касается членства в группах, то тут подобных ограничений нет: пользователь может становиться членом любой группы или нескольких групп, и его членство в той или иной группе может изменяться в любой момент.
- Возможность применения групп в качестве основных объектов доступа. Каждая группа доступа в AD DS обладает уникальным идентификатором безопасности (Security ID — SID), который назначается ей при ее создании. У организационных единиц никаких ассоциируемых с ними записей контроля доступа (Access Control Entry — АСЕ) нет, и потому они не могут применяться для обеспечения безопасности на уровне объектов. Это отличие является одним из самых важных, поскольку группы доступа позволяют пользователям разрешать или запрещать доступ к ресурсам на основании членства в группах. Следует, однако, обратить внимание на то, что исключением среди них являются группы рассылки, которые тоже не могут применяться для обеспечения безопасности.
- Возможность включения для групп функции разрешения работы с почтой. Посредством групп рассылки и (в последних версиях Microsoft Exchange) групп доступа с возможностью работы с электронной почтой пользователи могут отправлять одно почтовое сообщение группе и тем самым распространять его среди всех членов этой группы. В таком случае группы сами превращаются в списки рассылки, в то же время оставаясь доступными для обеспечения безопасности.
Рекомендуем для просмотра: