Группы предназначены для упрощения администрирования ресурсов домена. Используя группы, можно назначать разрешения, привилегии и другие права доступа группам, а для предоставления аналогичных прав пользователям включать их в соответствующие группы. Кроме того, Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые могут использоваться почтовыми серверами.
Типы и области действия групп.
Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые не предназначены для использования системой безопасности, а служат для объединения пользователей и контактов в группы, облегчающие коллективную рассылку сообщений.
По аналогии с Windows 2000, Windows Server 2003 поддерживает несколько типов групп, различающихся по области действия и видимости.
Тип группы
Область действия
Правила использования
Локальная
Компьютер -член домена, не контроллер домена
Используются для разграничения доступа к ресурсам, расположенным на компьютерах домена. Могут быть включены только в локальные группы на том же компьютере. В локальные группы могут быть включены пользователи, но не группы домена
Локальная в домене
Домен Active Directory
Используются для разграничения доступа к ресурсам в рамках домена и недоступны из других доменов. В локальные группы могут включаться локальные, глобальные и универсальные группы домена
Глобальная
Дерево доменов Active Directory
Используются для разграничения доступа к ресурсам в рамках доменов, объединенных доверительными отношениями (в Windows Server 2003 - в рамках дерева доменов) и доступны из всех доменов дерева. В глобальные группы могут включаться только глобальные группы и учетные записи из того же домена
Универсальная
Лес Active Directory
Впервые появились в Windows 2000 и предназначены для разграничения доступа в рамках всего леса Active Directory. Доступны в любом домене леса, могут включаться в любые группы домена. В универсальные группы могут включаться глобальные и универсальные группы домена. Для использования универсальных групп домен должен быть переведен в основной режим
Влияние типа и области действия группы на производительность сети.
При входе пользователя в сеть Windows Server 2003, контроллер домена определяет, каким группам принадлежит данный пользователь. Windows Server 2003 создает маркер доступа и назначает его пользователю. Маркер доступа содержит идентификатор безопасности учетной записи пользователя и идентификаторы безопасности всех групп безопасности, к которым принадлежит данный пользователь. Участие в группах может оказывать влияние на:
вход в систему;
репликацию групп с универсальной областью действия;
пропускную способность сети.
Вход в систему
Построение маркера доступа занимает время, таким образом, чем в большее число групп безопасности входит данный пользователь, тем больше времени требуется на построение маркера доступа для данного пользователя и входа в сеть. Это время зависит от пропускной способности сети, а также от параметров настройки контроллера домена, на котором выполняется процесс входа в сеть.
Иногда может понадобиться создать группу только для электронной почты, без использования ее для назначения прав и разрешений ее членам. Для увеличения производительности входа в сеть следует создавать подобные группы как группы распространения вместо групп безопасности. Так как группы распространения игнорируются при построении Windows Server 2003 маркера доступа пользователя при входе, это уменьшает размер маркера и время, затрачиваемое на его построение.
Репликация универсальных групп
Изменения данных, сохраненных в глобальном каталоге, реплицируются на каждый сервер глобального каталога в составе леса. Группы с универсальной областью действия и их члены содержатся в глобальном каталоге, чтобы информация о них была доступна в любом домене леса. Так как список членов группы является одним из атрибутов объекта группы, то при его изменении требуется репликация атрибута целиком на все серверы глобального каталога в лесе.
Группы с глобальной или доменной локальной областью действия также содержатся в глобальном каталоге. Однако в глобальном каталоге не хранится информация о членах этих групп. Это уменьшает размер глобального каталога и существенно уменьшает трафик репликации, необходимый для постоянного обновления глобального каталога. Можно повысить производительность сети путем использования групп с глобальной или доменной локальной областью действия для часто изменяемых объектов каталога.
Пропускная способность сети
Маркер доступа отправляется каждому компьютеру, к которому пользователь имеет доступ, таким образом, конечный компьютер может определить, имеет ли пользователь права или разрешения на данном компьютере, сравнивая все идентификаторы безопасности, содержащиеся в маркере, с разрешениями, установленными для всех ресурсов данного компьютера. Конечный компьютер также проверяет принадлежность идентификаторов безопасности, содержащихся в маркере доступа, к любым локальным группам.
Чем в большее число групп входит пользователь, тем больше будут его маркеры доступа. Если сеть имеет большое количество пользователей, влияние данных маркеров доступа большого размера на пропускную способность сети и производительность контроллера домена может быть существенным.
Например, некий домен содержит 500 общих файлов, каждый с соответствующим назначением для отдельной группы с доменной локальной областью действия, используемой для предоставления права доступа на чтение. Если большинство пользователей имеют доступ на чтение к большинству общих ресурсов, то к их маркеру доступа добавится около 500 идентификаторов безопасности групп. Передача таких маркеров и проверка прав доступа таких пользователей может существенно увеличить не только нагрузку на локальную сеть, но и на компьютеры, содержащие эти файлы.
Создание группы.
Чтобы создать новую группу, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Группа. Также можно в дереве выбрать интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя группы. Для совместимости с предыдущими версиями Windows оно генерируется автоматически, но вы можете изменить его по своему усмотрению.
Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.
Изменение свойств группы.
Чтобы просмотреть и изменить свойства группы, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить основные параметры группы.
В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Имя группы (пред-Windows 2000) вы можете изменить имя группы, используемое для совместимости с предыдущими версиями Windows. В поле Заметки введите произвольные комментарии относительно группы.
Кроме того, вы можете изменить тип группы и область ее действия. При изменении области действия группы действуют следующие ограничения:
область действия группы можно изменить, только если домен работает в основном режиме;
вы можете изменить область действия с глобальной на универсальную, если группа не является членом другой группы с глобальной областью действия;
вы можете изменить область действия с локальной доменной на универсальную, если группа не содержит в качестве члена другую группу с локальной областью действия.
Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у групп, являющихся списками рассылки Exchange - значение этого поля устанавливается Exchange-сервером автоматически.
На вкладке Члены группы вы можете указать учетные записи пользователей и группы, являющиеся членами группы.
Для добавления членов в группу щелкните кнопку Добавить. Для удаления выбранного члена группы - кнопку Удалить . Двойным щелчком вы можете открыть окно для просмотра свойств соответствующего объекта.
На вкладке Член групп вы можете изменить список групп, членом которых является группа.
На вкладке Управляется указывается пользователь, осуществляющий управление группой.