Типы групп и их зависимость от сети
Тип нужной вам группы зависит от конфигурации сети. В доменах вы обычно будете работать с группами безопасности и распространения, а в рабочих группах — в основном с локальными группами, которые относятся только к конкретным компьютерам.
Группы безопасности предназначены для управления правами доступа групп пользователей, а группы распространения служат как списки рассылки. Независимо от типа создаваемой группы принцип работы с пей зависит от области (scope), которая определяет границы действия этой группы. Существуют следующие области.
- Локальные группы домена. Предназначены для выдачи разрешений в рамках одного домена. Их членами могут быть только учетные записи (как компьютеров, так и пользователей) и группы из домена, в котором они определены.
- Глобальные группы. Предназначены для задания прав доступа к объектам в любом домене в дереве доменов или лесу. Их членами могут быть только учетные записи и группы из домена, в котором они определены.
- Универсальные группы. Предназначены для выдачи разрешений в пределах всего дерева доменов или леса. Их членами могут быть учетные записи, глобальные группы и другие универсальные группы из любого домена в дереве доменов или лесу.
Создание групп в командной строке
Создавая группы, вы передаете команде DSADD GROUP составное имя (DN) группы. Простое имя, являющееся частью DN, задает отображаемое имя группы. Остальная часть DN указывает, где в Active Directory должна находиться группа, в том числе определяя контейнер, в котором будет создана группа, и соответствующий домен. По умолчанию создается глобальная группа безопасности. Например, вы можете создать глобальную группу безопасности Sales в OU «Sales» домена site1.com командой dsadd group "CN=Sales,OU=Sales,DC=site1,DC=com". В этом случае Sales считается как отображаемым именем группы, так и именем учетной записи в SAM. Однако остальные свойства не будут заданы.
Имена групп не чувствительны к регистру букв и могут быть длиной до 64 символов. В большинстве случаев нужно указывать тин группы и область ее действия. Параметр -Secgrp позволяет задать тип группы — безопасности или распространения:
- введите -secgrp yes, чтобы создать группу безопасности;
- введите -secgrp по, чтобы создать группу распространения.
Для указания области действия группы используйте параметр -Scope:
- -scope 1 — создает локальную группу домена;
- -scope g — создает глобальную группу;