Основные области действия групп
В AD DS для групп поддерживается четыре основных области действия (scope). Каждая из этих областей служит своим целям, но все они предназначены просто для облегчения администрирования и обеспечения возможности просмотра крупных групп либо выполнения в отношении них какие-то действий одновременно. Согласно областям действия группы делятся на:
- локальные группы компьютера;
- локальные группы домена;
- глобальные группы;
- универсальные группы.
Область действия групп может оказаться одним из самых запутанных аспектов AD DS. Однако в случае соблюдения при создании и назначении членов групп определенных критериев она становится более понятной.
Локальные группы компьютера
Локальными группами компьютера (machine local groups) называются группы, которые встраиваются в операционную систему и могут применяться только к тем объектам, которые являются локальными для компьютера, где они существуют. Другими словами, к таким группам относятся стандартные локальные группы вроде Power Users, Administrators и т.д.
Локальные группы домена
Термином локальные группы домена (domain local groups), каковой вначале может показаться противоречивым, обозначаются группы доменного уровня, которые могут применяться для установления прав доступа к ресурсам домена, где они находятся. По сути, локальные группы домена представляют собой усовершенствованную версию предшествующих локальных групп из Windows NT.
Глобальные группы
Глобальные группы (global groups) являются своего рода реинкарнацией старых глобальных групп, которые предлагались в Windows NT, но обладают немного другими характеристиками. В этих группах могут содержаться объекты следующих типов:
- учетные записи пользователей;
- глобальные группы из их собственного домена.
Универсальные группы
Концепция универсальных групп (universal groups) впервые появилась в Windows 2000 Server и по-прежнему остается такой же полезной и в Windows Server 2008 R2. Универсальные группы действительно являются универсальными. Они могут содержать объекты из любого доверяемого домена и могут использоваться для применения прав доступа к любому ресурсу домена.