Разбиране Групи

Group - колекция от потребителски акаунти и компютри, контакти и други групи, които могат да бъдат управлявани като едно цяло. Потребители и компютри, които принадлежат към определена група се наричат ​​членове на групата.

Групи в Active Directory Domain Services (AD DS) - това каталозите на обекти, които са в областта и контейнер обекти разделения. AD DS формират набор от стандартни групи по време на инсталацията. Те също така ви позволява да създавате нови групи.

Групи AD DS могат да се използват за следните цели.

  • Опростете администрация чрез определяне на ресурсите на обща оценка на разрешения за достъп група, а не отделни потребители. При възлагане на разрешения за групи от всички негови членове имат същия достъп до ресурс.
  • Делегирането на управление чрез възлагане на потребителска група чрез използване на правата на групови правила. В бъдеще, можете да добавите група на нови членове; те ще получат същите права като групата.
  • Създаване на списъци за разпространение на електронна поща.

    Групи се характеризират с обхват и вид. Обхватът на приложение от група определя граници група в домейн или гора. Типът на групата определя възможността за използване на групи, за да се възложи на споделения ресурс (за групи сигурност) или разрешения само за списъци за разпространение на електронна поща (за групи за разпространение).

    Има и група, чиито членове не могат да бъдат променени или са гледали. Тези групи се наричат ​​специални. Те са в зависимост от обстоятелствата представляват различни потребители по различно време. Например, групата "Всички" - е специална група, която представлява всички настоящи потребители на мрежата, включително гости и потребители от други домейни.

    Следващите раздели съдържат допълнителна информация за групови сметки в Active Directory Services домейни.

    стандартна група

    По подразбиране групи, като група "Домейн администраторите" на, са групи за сигурност, които се създават автоматично, когато създадете Directory домейн Active. Тези предварително определени групи могат да бъдат използвани за контрол на достъп до споделени ресурси и да делегира конкретни административни роли на ниво домейн.

    Когато се добави към групата потребителят получава следните права:

    • всички права на потребителите, които са възложени на тази група;
  • всички разрешения са възложени на групата на споделени ресурси.

    По подразбиране групи са разположени в контейнери "Интегрирани" и "Потребители". По подразбиране групи в контейнера "вграден" имат обхвата на "Вграден локална мрежа". Техният обхват и вид не може да се променя. контейнери "Потребители" съдържа групи, които се определят в глобалната област, както и групите, дефинирани в местна област домейн. В рамките на тези групи от контейнери могат да бъдат преместени в други групи или единици в рамките на домейна към други области, но те не могат да се движат.

    обхват Group

    Групи се характеризират с обхват, който определя границите на групата за прилагане в областта или гора. Има три площ групи в локалния домейн, световната и универсални.

    Домейн местна група

    Домейн местни групи, които да помогнат за контрол на достъпа до ресурси в рамките на един домейн. Членовете на тези групи могат да бъдат:

    • сметки от всеки домейн;
  • глобални групи от всеки домейн;
  • Универсални групи от всеки домейн;
  • домейн местна група, но само в същия домейн като основния домейн местна група;
  • всяка комбинация от предходните параграфи.

    Например, за да се даде пет потребители достъп до конкретен принтер, можете да добавите към списъка на разрешенията за принтери пет потребителски акаунти. Въпреки това, ако в бъдеще тези пет потребителите ще трябва да предостави достъп до нов принтер, вие ще трябва да посочите всичките пет сметки в списъка с разрешения за новия принтер.

    С прост планиране, можете да се опрости тази рутинна административна задача, чрез създаване на група с площ действие "локален домейн" и да я задавате разрешение за достъп до принтера. Поставете пет профила на потребители на в група с глобален обхват и да го добавите към групата тръгва по "местен домейн." Когато искате да се даде достъп на пет потребителите към нов принтер, възложи на групата с обхвата на "локален домейн" разрешение за достъп до новия принтер. Всички членове на групата с глобален обхват автоматично получават достъп до нови принтера.

    Глобални групи

    Броят на членовете на глобалните групи могат да включват сметки от същия домейн като основен глобален групата и глобални групи от същия домейн като родител глобалната група. Членовете на тези групи могат да бъдат определени разрешения във всеки домейн в гората.

    Използвайте глобални групи за управление на директория обекти, които се нуждаят от ежедневна поддръжка; например, за да управлявате потребителски акаунти и компютри. Защото групи с глобален обхват не се репликират извън техните акаунти на домейна в такива групи могат да се променят често без да се създаде репликация трафик към глобалния каталог.

    Въпреки, че правата и разрешения са валидни само в рамките на домейна, в който са назначени, еднаквото прилагане на глобални групи в съответните области, позволява да се консолидира по сметката съотнесени с подобни задачи. Това опростява и рационализира управлението на група в различни домейни. Например, ако една мрежа с два домейна, Европа и UnitedStates, в областта UnitedStates, налице е глобална група GLAccounting, групата със същото име трябва да бъде в областта на Европа (ако е на домейн "Европа" съществува счетоводството).

    Тя е силно препоръчително да използвате глобални групи или универсални групи вместо домейни местно групи, когато се посочва разрешения домейни директория обекти, които са възпроизведени в глобалния каталог.