Разные пользователи должны иметь разные права по отношению к компьютерной системе. Если в организации всего несколько сотрудников, то администратору не представляет особого труда индивидуально распределить нужные разрешения и запреты. Хотя и в этом случае возникают проблемы, например, при переходе сотрудника на другую должность администратор должен вспомнить, какие права были даны ранее, "снять" их и назначить новые, но принципиальной необходимости использования каких-либо объединений, групп пользователей не возникает. Иная ситуация в средней организации. Назначить права доступа к папке для нескольких десятков сотрудников — достаточно трудоемкая работа. В этом случае удобно распределять права не индивидуально, а по группам пользователей, в результате чего управление системой существенно облегчается. Поскольку книга посвящена, в первую очередь, работе в составе компьютерной сети, уделим особое внимание именно группам, создаваемым в доменах Windows. Исторически сложилось так, что существует несколько типов групп. Связано это в основном с необходимостью совместимости различных версий операционных систем. Во-первых, есть группы, которым, как и пользователям, присваивается идентификатор безопасности. Это означает, что вы можете назначать права доступа, основываясь не на индивидуальном членстве, а сразу всей группе пользователей. И есть группы, которые не имеют такого SID. Например, Distribution Group. Объясняется это наличием групповых операций, для которых не нужно контролировать параметры безопасности. Например, создание группы пользователей для распространения программного обеспечения или группы для централизованной рассылки почты. Отсутствие SID не мешает в этом случае правильному функционированию программ, но существенно снижает нагрузку операционной системы. Во-вторых, группы могут различаться по области действия. Например, существуют локальные группы, глобальные и универсальные. В-третьих, группы могут иметь постоянных членов (каждый пользователь назначается в соответствующую группу администратором) или основываться на выборке пользователей по каким-либо правилам. Например, можно создать группу, в которую будут включаться пользователи с записью в их свойствах, что они работают в "отделе 22". Изменилось соответствующее поле в свойствах пользователя — и при очередных операциях с данной группой система произведет выборку пользователей, "увидит" новых членов группы и выполнит необходимые действия. Обратите внимание, что такие группы с динамическим членством не имеют SID т. е. не могут быть использованы для контроля прав доступа.
В Windows пользователь "получает" список групп, в которых он состоит, при входе в систему. Поэтому если администратор сменил у пользователя членство в группах, то это изменение начнет действовать только после нового входа в систему. Если пользователь должен быстро получить доступ к ресурсам, ему следует завершить работу в системе (log off) и сразу же вновь войти в нее (log on).
Возможные члены групп. Области применения групп
Универсальные группы появились с приходом Windows 2000. В смешанном режиме допустимы были только группы Distribution Group, при переходе в основной режим стало возможным создавать и универсальные группы безопасности. Универсальные группы могут включать учетные записи (и другие группы) из любого домена предприятия и могут быть использованы для назначения прав также в любом домене предприятия. Глобальные группы могут включать другие группы и учетные записи только из того домена, в котором они были созданы. Но группа может быть использована при назначении прав доступа в любом домене. Локальные группы могут включать объекты как из текущего домена, так и из других доменов. Но они могут быть использованы для назначения прав только в текущем домене. В группы можно включать как учетные записи пользователей и компьютеров, так и другие группы. Однако возможность вложения зависит от типа группы и области ее действия.
Группа
Включает объекты
Допустимые вложения групп
Локальная
Пользователи
Универсальные и глобальные группы любого домена
Локальная безопасности
Пользователи
Глобальные группы
Глобальная
Пользователи
Глобальные группы этого же домена
Глобальная безопасности
Глобальная группа
Нет
Универсальная
Пользователи и компьютеры
Универсальные и глобальные группы любого домена
Если пользователь является членом универсальной группы, то при входе его в сеть необходимые права должны быть проверены с сервера глобального каталога, а не с любого контроллера домена. Для ускорения операций проверки, начиная с Windows Server 2003, введена возможность кэширования членства универсальных групп. Включение кэширования осуществляется через оснастку управления сайтом: необходимо выделить соответствующий сайт и в правом окне оснастки открыть свойства NTDS Settings. После чего установить соответствующий параметр в значение "включено" и отредактировать расписание кэширования (в случае необходимости).
Преобразования групп
Начиная с Windows 2000 с режима native mode, администраторы могут изменять типы групп, а именно преобразовывать группу безопасности в Distribution Group, и наоборот. Возможна также смена области действия группы с универсальной на доменную. Наиболее полные возможности преобразования существуют в режимах сервера для Windows 2000 или Windows Server 2003. Обратите только внимание, что наличие вложенных групп в некоторых случаях может препятствовать преобразованию типа родительской группы.
