Създаване на групи в активния direcotry

Преди да създадете групи трябва да знаят какви са различните групи от видове. Тъй като DS структура, предназначена да подпомогне сложен и голям разпределение медии, Active Directory включва два вида домейни групи с три сфери във всяка от тях, както и местна група за сигурност. Видовете групи и техния обхват са разгледани по-подробно в следващите подраздели.

видове групи

На свой ред, група за разпространение първоначално използва приложения за електронна поща, и то не може да бъде основен за сигурност. С други думи, този тип група, не е предмет на защита. Тъй като тази група не може да се използва за целите на достъп до ресурси, това е най-често се използва при инсталиране на Microsoft Exchange Server, в случай, когато потребителите трябва да се комбинират в една група с цел изпращане на имейл до цяла група.

Обхват групи

Група обхват определя обхват, в който групата се прилага в областта. Освен факта, че групата може да съдържа потребители и компютри, те могат да бъдат членове на други групи, вижте ACL, филтри и обекти на груповите правила, и така нататък. Границата на обхвата на сферата на действие на групата може да се определя от работата на домейн функционално ниво. Основните характеристики обхват групи включват членство (определение за директори за сигурност, които могат да съдържат група) репликация (определението за репликация област група) и достъпност (определение група за местоположението, възможност за включване на това членство група, различна, като добави, че групата ACL списък) , Има четири области на действие групи: местни, локален домейн, световната и универсални. Нека разгледаме всеки един от тях:

В някои случаи, може да получите на необходимостта да се превърне един обхват на друг пред вас. Така например, се дължи на факта, че по подразбиране, когато създавате група, фокусът е върху глобалната група за сигурност, по погрешка, можете да го оставите без промяна, и да се създаде група. След създаването на групата, нейният обхват може да бъде променена в раздела Група диалоговия прозорец "General" имоти, един от следните методи на разположение:

  • Глобалната група универсален в случая, когато променлива група не е член на друга глобална група;
  • Местна група в областта на универсалното в случая, когато групата не съдържа друг домейн местна група като член;
  • Universal глобална група в случай, че групата не съдържа като член на друга универсална група;
  • Universal група в местната група в домейна.

Както можете да видите, глобална група просто не е възможно да се променят местна група на домейна. Въпреки това, трябва първо да конвертирате глобалната група в универсален, а след това се получи универсален група - местната група в домейна.

На пръв поглед всички тези области групи може да изглежда една и съща, но можете да видите един прост пример за по-добро разбиране на тяхната употреба. Да предположим, че има две области. В първия домейн (Domain А) е папката, която следва да се предостави достъп на служителите на двете области на продажбите. домейн А. Достъп до тази папка може да получи всички потребители, но и за по-рационално използване на което потребителите трябва да се предоставя достъп, можете да ги поставите в световната група за сигурност. Но глобалната група "Продажби" в областта нямат достъп до папката, в А. домейн Затова глобална група "Продажби" от домейна, които да бъдат включени в една универсална група, кажете "Достъп до домейни ресурси А". След това, в област А, трябва да се създаде местна група на домейна (например, "Достъп до поверителни материали"), тъй като универсална група не може да бъде член на глобална група. Сега трябва да се включи в групата "Достъп до класифицирана информация" глобална група "Продажби" от домейн и универсална група "Достъп до домейни ресурси А" домейн Б. Едва след това, членовете на групата "Продажби" от двете области ще има разрешение за използване на тайната документи, намиращи се в домейн.

Създаване на групи, използвайки модула «Active Directory - потребители и компютри"

Така че, както потребителски акаунти, да създавате групи, използващи най-лесният моментна функционалност «Active Directory -. Потребители и компютри" Този метод има графичен интерфейс, който ви позволява да правилно се създаде група от всякакъв вид и с всякакъв обхват дори начинаещите администратори, които са отворени по този модула в за първи път. За създаване на група чрез използване на това бързо връщане в, изпълнете следните стъпки:

Създаване на групи в активния direcotry

Фиг. 1. моментна «Active Directory - потребители и компютри" и създаване на нова група

Създаване на групи в активния direcotry

Фиг. 2. В диалоговия прозорец "Нов обект - Груп"

Създаване на групи от команден ред

Както и да създавате потребителски профили, можете да създавате групи с помощта на командния ред помощна програма Dsadd. След като определите името на командата трябва да се уточни модификатора на група. който е вид обект групи. След модификатор, уточни DN на самия обект и на свързаните с тях параметри. Синтаксисът на командата е както следва:

В тази команда допълнителни параметри са относително малко, защото всички от тях са описани по-долу:

-secgrp. Този параметър показва вида на групата: сигурност (да) или разпространението (не). Ако не е определено, стойността по подразбиране за този параметър се счита за да;

-обхват. Текущ параметър определя обхвата на групата. Наличните опции: локален домейн (л), световен (ж), или универсален (U). По подразбиране, както и с помощта на интерфейса на GUI, глобалния обхват се определя;

-samid. Този параметър определя използването на тази група от името SAM като уникален атрибут sAMAccountName група. Желателно е името и sAMAccountName група посочва идентични;

-опис. Този параметър е отговорен за кратко описание на групата;

-memberof. Този параметър определя една или повече групи, към които искате да добавите нов. Ако няколко групи, те трябва да се добави чрез междина;

-членове. С тази опция можете да добавите членове в групата. Държавите-членки следва да се посочи като DN-имена и разделени с интервал.

Фиг. 3. Създаване на групи Dsadd комунални съоръжения

Създаване на група с командите и CSVDE LDIFDE

Създаване на групи в активния direcotry

Фиг. 4. Представяне на CSV файл-

Синтаксисът на командата е както следва:

  • -аз. Параметър, който е отговорен за режима на внос. Ако не зададете тази опция, командата ще използва режимът на износ по подразбиране;
  • -е. Параметърът определя името на файла, който е предназначен за внос или износ;
  • -к. Параметър за продължаването на вноса, като прескочите всички възможни грешки;
  • -с. Вариант, с помощта, която можете да видите подробна информация;
  • -к. Параметър, отговорен за местоположението на регистрационния файл;
  • -ф. Параметър ви позволява да използвате режим Unicode.

Пример за използване на командата:

LDIFDE програма, която е описана в статията "Създаване на потребителски акаунти в Active Directory». внос и износ на файлове във формат на Lightweight Directory Access Protocol Data Interchange Format (LDIF) и се използват за създаване на групи. В този формат, като всеки ред представлява отделен набор от атрибути, следван от двоеточие и текущата стойност на самия атрибут. Както и като файл CSV, на първия ред трябва да бъде атрибут DN. Това е последвано от поредица changeType, което показва вида на операцията (добавяне, промяна или изтриване). Един пример за този файл:

Командният синтаксис е много проста:

  • -аз. Параметър, който е отговорен за режима на внос. Ако не зададете тази опция, командата ще използва режимът на износ по подразбиране;
  • -е. Параметърът определя името на файла, който е предназначен за внос или износ;
  • -к. Параметър за продължаването на вноса, като прескочите всички възможни грешки;
  • -с. Вариант, с помощта, която можете да видите подробна информация;
  • -к. Параметър, отговорен за местоположението на регистрационния файл;
  • -г. Параметър се посочва основата за търсене LDAP;
  • -е. Параметър за търсене LDAP филтър;
  • -стр. Тя представлява района или дълбочината на търсене;
  • -л. Той е предназначен да покаже списък атрибут, разделени със запетая, които да бъдат включени в износа на получените предмети;

Създаване на групи, използвайки PowerShell

Фиг. 5. Създаване на групи с Windows PowerShell

заключение

В тази статия сте научили за групи в Active Directory. Вие се научили как да се определи вида на групата и техния обхват. В допълнение, вие научихте как да създадете група с помощта на потребителския интерфейс, команден ред комунални услуги Dsadd, CSVDE и LDIFDE. Също сценария създаване на група, като се използва кратката команда New-на Adgroup Windows PowerShell шела е считана. В бъдеще статия, вие ще научите за планиране на групи, членство в контролна група, както и допълнителни атрибути на групови сметки.