Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики



бет4/10
Дата07.02.2022
өлшемі0,66 Mb.
#83949
1   2   3   4   5   6   7   8   9   10
Байланысты:
Управление пользователями и группами

Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

  • Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

    Область действия групп



    • Локальные в домене
      могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса,
      используются — при назначении прав доступа только к ресурсам «своего» домена;

    • Глобальные
      могут содержать — только глобальные учетные записи пользователей «своего» домена,
      используются — при назначении прав доступа к ресурсам любого домена в лесе;

    • Универсальные
      могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса,
      используются — при назначении прав доступа к ресурсам любого домена в лесе.

    В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.


    Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

    Маркер доступа.


    При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа (Access Token), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

    Стратегия создания и использования групп.


    При создании и использовании групп следует придерживаться следующих правил:
    1) Включать глобальные учетные записи пользователей (Accounts) в глобальные группы (Global groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
    2) Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции (Local groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.
    3) Давать разрешения (Permissions) на доступ к ресурсам локальным группам.
    По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных (Universal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.

    Встроенные и динамически формируемые группы.


    Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системs или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.
    Перечислим наиболее часто используемые на практике встроенные и динамические группы.

    Встроенные локальные группы (на рабочей станции или простом сервере).



    Достарыңызбен бөлісу:
  • 1   2   3   4   5   6   7   8   9   10




    ©engime.org 2024
    әкімшілігінің қараңыз

        Басты бет