Где создаются глобальные группы
Глобальные группы всегда создаются на главном контроллере домена, к которому относятся учетные записи. Например, глобальные группы домена Домен1 создаются на его главном контроллере, а глобальные группы домена Домен2 — на главном контроллере домена Домен2.
Глобальную группу главного контроллера домена можно создать с любого компьютера, на котором запускается User Manager for Domains (Диспетчер пользователей доменов).
Где создаются локальные группы
Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, создается на этом компьютере. Если же ресурс расположен на одном из контроллеров домена, локальная группа для него создается на главном контроллере домена (Primary Domain Controller, PDC). В этом случае главный контроллер домена предоставляет необходимую информацию об учетных записях и защите остальным контроллерам домена.
Ниже показаны локальная группа База данных на компьютере, где находится сама база данных, и локальная группа Печать (она может находиться как на главном, так и на резервном контроллере домена), которая обеспечивает доступ пользователей к сетевому принтеру.
Создание локальных группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, выполняется с помощью утилит User Manager (Диспетчер пользователей) или User Manager for Domains (Диспетчер пользователей доменов). Локальные группы для ресурсов, расположенных на контроллере домена, создаются на главном контроллере домена средствами утилиты User Manager for Domains.
Глобальные группы
Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана. В состав глобальной группы не могут входить ни локальные, ни другие глобальные группы. На рисунке показаны три глобальные группы домена Домен1.
Хотя глобальным группам можно также присвоить права доступа к ресурсам, их обычно применяют только для объединения учетных записей пользователей домена. Чтобы предоставить членам глобальной группы права доступа к ресурсу, ее просто включают в соответствующую локальную группу.
В состав Windows NT входят несколько встроенных глобальные групп, например группа Domain Users (Пользователи домена). По умолчанию к этой группе добавляются все учетные записи домена. В отличие от локальных, глобальные группы не обладают никакими заранее заданными правами.
Глобальные группы
При установке на контроллере домена операционной системы Windows NT Server в локальной базе данных каталогов создаются три глобальные группы: Domain Users (Пользователи домена), Domain Admins (Администраторы домена) и Domain Guests (Гости домена). По умолчанию встроенные глобальные группы не обладают никакими привилегиями — они приобретают их по мере включения в локальные группы или когда администратор явным образом присваивает глобальной группе права доступа или привилегии.
В таблице описано, какие права приобретают встроенные глобальные группы при добавлении к домену компьютера под управлением Windows NT.
Группа
Автоматически добавляется в ...
Domain Admins (Администраторы домена)
локальную группу Administrators (Администраторы), после чего члены группы Domain Admins приобретают локальные административные полномочия. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию
Domain Users (Пользователи домена)
локальную группу Users (Пользователи). Каждая новая учетная запись домена автоматически добавляется к этой группе. Учетная запись Administrator (Администратор) входит в эту группу по умолчанию
Domain Guests (Гости домена)
локальную группу Guests (Гости). Учетная запись Guest (Гость) входит в эту группу по умолчанию
> Выясните, кто по умолчанию входит в состав группы Domain Admins
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов).
В списке Groups (Группы) дважды щелкните строчку Domain Admins.
Какие встроенные учетные записи пользователей и глобальных групп по умолчанию входят в состав группы Domain Admins (Администраторы домена)?
ответ
Щелкните кнопку Cancel (Отмена), чтобы вернуться в окно утилиты User Manager for Domains.
> Выясните, кто по умолчанию входит в состав локальной группы Administrators
В списке Groups (Группы) дважды щелкните строчку Administrators.
Какие встроенные учетные записи пользователей и глобальных групп по умолчанию входят в состав группы Administrators (Администраторы)?
Локальные группы
Применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп домена.
Кроме того, локальные группы обеспечивают пользователям привилегии, необходимые для решения различных системных задач на локальном компьютере:
изменения системного времени, резервного копирования файлов и т.п. В состав Windows NT входит несколько встроенных локальных групп с заранее заданными привилегиями. Например, встроенной группе Administrators (Администраторы) предоставлено право создавать учетные записи пользователей и групп, выполнять резервное копирование файлов и изменять конфигурацию системы.
В состав локальной группы могут входить учетные записи пользователей и глобальные группы любого домена, с которым установлены необходимые доверительные отношения.
Локальные группы
В приведенной ниже таблице перечислены встроенные локальные группы, имеющиеся только на контроллерах доменов. Первоначально (после установки Windows NT Server) все эти группы пусты.
Встроенная группа
Полномочия членов группы
Account Operators (Операторы учетных записей)
Создание, изменение и удаление учетных записей пользователей и групп за исключением групп Server Operators (Операторы сервера) и Administrators (Администраторы)
Server Operators (Операторы сервера)
Предоставление дисковых ресурсов в общее пользование, а также архивирование и восстановление файлов сервера
Print Operators (Операторы печати)
Установка и настройка сетевых принтеров
Локальные и глобальные группы
Группы бывают двух типов: локальные и глобальные.
Обязательные встроенные группы
Все компьютеры под управлением Windows NT снабжены встроенными группами Users (Пользователи), Guests (Гости), Administrators (Администраторы) и Backup Operators (Операторы архива). На серверах — не контроллерах домена — и рабочих
станциях под управлением Windows NT Workstation кроме перечисленных выше имеется еще одна встроенная группа — Power Users (Опытные пользователи).
Встроенная группа контроллера домена определяет полномочия своих членов в домене, а встроенная группа на сервере или рабочей станции — права входящих в нее учетных записей локального компьютера.
В таблице перечислены встроенные группы на компьютерах под управлением Windows NT и полномочия их членов.
Встроенная группа
Полномочия членов группы
Users (Пользователи)
Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. По умолчанию в состав этой группы входят все учетные записи локальной базы данных учетных записей
Administrators (Администраторы)
Решение всех административных задач на локальном компьютере. Если компьютер — контроллер домена, члены этой группы имеют административные полномочия в домене. По умолчанию в состав группы Administrators входит только локальная учетная запись Administrator (Администратор)
Guests (Гости)
Решение задач, разрешенных предоставленными привилегиями, и использование ресурсов, к которым им разрешен доступ. Члены этой группы не имеют права на изменение рабочей среды. По умолчанию в состав группы Guests входит только локальная учетная запись Guest (Гость)
Backup Operators (Операторы архива)
Архивирование и восстановление файлов локального компьютера с помощью программы Windows NT Backup. По умолчанию эта группа пуста
Power Users (Опытные пользователи)
Создание и изменение учетных записей на локальном компьютере и предоставление его ресурсов в общее пользование. Эта группа существует только на серверах, не являющихся контроллерами домена, и на рабочих станциях под управлением Windows NT Workstation
Примечание Еще одна встроенная группа — Replicator (Репликация) — используется сервисом репликации каталогов. Она не применяется в административных целях и поэтому не обсуждается в настоящем курсе.
Определение привилегий встроенных групп
Права, присвоенные встроенным группам, отображаются в диалоговом окне User Rights Policy (Привилегии пользователя).
> Выясните, какие группы имеют доступ к компьютеру
Запустите User Manager for Domains (Диспетчер пользователей доменов) и выберите команду User Rights (Привилегии пользователя) в меню Policies (Политики).
На экране появится диалоговое окно User Rights Policy (Привилегии пользователя). В списке Right (Привилегия) по умолчанию выбрана строка Access this computer from network (Доступ к компьютеру по сети).
Каким встроенным группам дана эта привилегия?
ответ
> Выясните, какие группы имеют право локальной регистрации
В списке Right (Привилегия) выберите строку Log on Locally (Локальная регистрация).
Каким встроенным группам дана эта привилегия?
ответ
Примечание На контроллерах доменов Windows NT Server группа Everyone (Все) по умолчанию лишена привилегии Log on Locally (Локальная регистрация). На Вашем компьютере эта привилегия присвоена группе Everyone (Все) при установке материалов учебного курса (см. раздел «Об этой книге»); это сделано исключительно в учебных целях.
> Выясните, какие группы имеют право изменять системное время
В списке Right (Привилегия) выберите строку Change the system time (Изменение системного времени).
Каким встроенным группам дана эта привилегия?
ответ
> Выясните, какие группы имеют право завершить работу системы
В списке Right (Привилегия) выберите строку Shut down the system (Завершение работы системы).
Каким встроенным группам дана эта привилегия?
ответ
> Выясните, какие группы имеют право архивирования файлов и каталогов
В списке Right (Привилегия) выберите строку Backup files and directories (Архивирование файлов и каталогов).
Каким встроенным группам дана эта привилегия?
ответ
> Выясните, какие группы имеют право восстановления файлов и каталогов
В списке Right (Привилегия) выберите строку Restore files and directories (Восстановление файлов и каталогов).
Каким встроенным группам дана эта привилегия?
ответ
> Выясните встроенные привилегии группы Administrators
Просмотрите элементы списка Right (Привилегия) и выясните, какие привилегии даны только группе Administrators (Администраторы). Отметьте соотетствующие пункты в приведенном ниже списке.
Access this computer from network (Доступ к компьютеру по сети) Q Back up files and directories (Архивирование файлов и каталогов)
Change the system time (Изменение системного времени)
Force shutdown from a remote system (Принудительное завершение работы системы с удаленного компьютера)
Load and unload device drivers (Загрузка и выгрузка драйверов устройств)
Log on locally (Локальная регистрация)
Manage auditing and security log (Управление аудитом и журналом безопасности)
Restore files and directories (Восстановление файлов и каталогов)
Shut down the system (Завершение работы системы)
Take ownership of files or other objects (Смена владельца файлов и других объектов)
Packet3-
Глава 3. Создание учетных записей групп
В этой главе
Организация пользователей в структурные единицы — группы — упрощает администрирование. Здесь Вы познакомитесь, со стратегией планирования групп и методами их создания. Выполняя упражнения этой главы, Вы приобретете практические навыки планирования и реализации локальных и глобальных групп в Вашей сети.
Прежде всего
Прежде чем приступить к изучению занятий этой главы, необходимо:
выполнить процедуры установки, описанные в разделе «Об этой книге»;
изучить главу 2, «Создание учетных записей пользователей»;
изучить различия между рабочей группой и доменом, а также между контроллером домена и сервером;
создать девять учетных записей: VicePresident3 (Вице-президент), Directors (Руководитель), SalesMgr3 (Менеджер отдела продаж), SalesRep3 (Торговый представитель), CustomerService3-A (Сотрудник отдела обслуживания клиентов), CustomerService3-B (Сотрудник отдела обслуживания клиентов), AccountingMgr3 (Главный бухгалтер), Accountant3 (Бухгалтер) и ТетрЗ (Временный сотрудник);
чтобы создать эти записи, зарегистрируйтесь в системе по учетной записи Administrator, с помощью Проводника Windows NT Explorer откройте папку LabFiles компакт-диска курса и дважды щелкните файл Chapters. cmd.
Занятие 1. Основные понятия
Занятие 2, Стратегия создания групп
Занятие 3. Создание локальных и глобальных групп
Занятие 4. Встроенные группы
Рекомендации
Закрепление материала
Ниже приведены рекомендации по формированию
Рекомендации
Ниже приведены рекомендации по формированию локальных и глобальных групп. Ознакомьтесь с ними, прежде чем действовать.
Придерживайтесь следующей стратегии создания локальных и глобальных групп:
организуйте учетные записи пользователей в глобальные группы;
присвойте локальным группам необходимые права;
включите глобальные группы в состав соответствующих локальных групп.
Для усиления защиты вместо группы Everyone (Все) используйте глобальную группу Domain Users (Пользователи домена). Последняя, в отличие от группы Everyone, включает только учетные записи авторизованных пользователей домена.
Чтобы предоставить администраторам право управления ресурсами другого домена, добавьте группу Domain Admins (Администраторы домена) в локальную группу Administrators (Администраторы) главного контроллера домена, подлежащего удаленному администрированию. Точно так же можно разрешить администрирование любого локального компьютера: добавьте группу Domain Admins в локальную группу Administrators компьютера, нуждающегося в удаленном администрировании.
Если для выполнения какой-либо задачи достаточно привилегий встроенной группы, включите пользователя в ее состав. В противном случае создайте локальную группу с соответствующими привилегиями.
Например, если по соображениям безопасности Вы хотите позволить пользователю архивировать информацию без права ее восстановления, создайте локальную группу Backup Only (Только резервное копирование) и присвойте ей .привилегию Back up files and directories (Архивирование файлов и каталогов).
Всегда применяйте ту встроенную группу, которая обеспечивает решение задачи и одновременно предоставляет пользователю минимум полномочий.
Примечание Если Вы хотите удалить учетные записи, созданные в начале этой главы с помощью файла Chapter3.cmd, зарегистрируйтесь в системе по учетной записи Administrator и дважды щелкните файл DeleteChapter3.cmd из папки Cleanup прилагаемого к курсу компакт-диска.
Пользователи и группы
Принадлежность к конкретной группе определяет значительную часть возможностей пользователя сети и конкретного компьютера, так как при этом он получает все привилегии и права группы. Группы — очень удобный метод присвоения прав и привилегий сразу нескольким сотрудникам. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности.
Применение встроенных групп для централизованного администрирования
Членам группы Administrators (Администраторы) одного домена можно предоставить право администрировать ресурсы другого домена. Это делается с помощью глобальной группы Domain Admins (Администраторы домена).
Добавьте группу Domain Admins (Администраторы домена) домена, администраторы которого будут заниматься удаленным администрированием, в локальную группу Administrators (Администраторы) главного контроллера домена, подлежащего удаленному администрированию. В результате члены глобальной группы Domain Admins (Администраторы домена) приобретут право администрировать учетные записи и защищать ресурсы на всех контроллерах домена.
На приведенной ниже схеме группа Domain Admins домена Домен2 включена в состав группы Administrators главного контроллера домена Домен1. В результате члены группы Domain Admins домена Домен2 приобретают административные полномочия в домене Домен1.
Группа Domain Admins (Администраторы домена) локального домена автоматически включается в состав локальных групп Administrators (Администраторы) на всех рабочих станциях (компьютерах под управлением Windows NT Workstation) и серверах (компьютерах под управлением Windows NT Server, не выполняющих функций контроллера) домена. Если нужно предоставить административные полномочия на таком компьютере администраторам другого домена, включите соответствующую группу Domain Admins (Администраторы домена) в локальную группу Administrators (Администраторы) компьютера.
> Как включить пользователя в глобальную группу Domain Admins
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов) и исключите учетную запись VicePresident3 из локальной группы Administrators (Администраторы).
Добавьте эту учетную запись в глобальную группу Domain Admins (Администраторы домена).
> Проверка привилегий учетной записи члена группы Domain Admins
Выйдите из системы и зарегистрируйтесь по учетной записи VicePresident3.
Запустите User Manager for Domains (Диспетчер пользователей доменов) и попробуйте создать еще одну учетную запись.
Удалось ли Вам создать новую учетную запись? Почему?
ответ
Закройте User Manager for Domains и выйдите из системы.
Применение встроенных групп для локального администрирования
Любому пользователю можно присвоить привилегии администратора, включив его учетную запись в локальную группу Administrators (Администраторы). Это дает ему административные полномочия на локальном компьютере. Такой подход удобен, например, когда нужно предоставить пользователю право администрирования собственного компьютера.
Примечание Пользователь, чья учетная запись включена в группу Administrators (Администраторы) главного контроллера домена, приобретает административные полномочия на всех компьютерах домена.
> Как добавить пользователя в локальную группу Administrators
В этом упражнении Вы присвоите административные полномочия вице-президенту компании «Разноимпорт».
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите User Manager for Domains (Диспетчер пользователей доменов) и добавьте учетную запись VicePresident3 в группу Administrators (Администраторы).
Выйдите из системы.
> Проверка административных полномочий пользователя
Зарегистрируйтесь в системе по учетной записи VicePresident3.
Запустите User Manager for Domains (Диспетчер пользователей доменов) и попробуйте создать учетную запись пользователя.
Удалось ли Вам создать новую учетную запись? Почему?
ответ
Выйдите из системы.
применения групп в многодоменной сети
Предположим, Парижский филиал компании «Разноимпорт» расширил свою сеть, включив в нее домен Лондонского филиала. Оба отделения располагают своими базами данных «Товары», причем пользователям необходим доступ к обеим базам данных. Между доменами установлены соответствующие доверительные отношения.
На каком компьютере Вы создадите глобальную группу для упорядочения учетных записей? Почему?
ответ
На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Счета»? Почему?
ответ
Как обеспечить членам созданной глобальной группы доступ к базам данных «Товары» каждого из отделений?
ответ
применения групп в однодоменной сети
Предположим, Парижский филиал компании «Разноимпорт» располагает одно- доменной сетью, в состав которой входят главный и резервный контроллеры домена, а также сервер, не являющийся контроллером домена. На резервном контроллере домена хранится база данных «Счета», а на сервере — база данных «Товары». Всем пользователям сети необходим доступ к обеим базам данных.
На каком компьютере Вы создадите глобальную группу для упорядочения учетных записей? Почему?
ответ
На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Счета»? Почему?
ответ
На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Товары»? Почему?
ответ
Как Вы обеспечите членам глобальной группы доступ к базам данных?
ответ
Привилегии и права
Права доступа определяют правомочность выполнения конкретными пользователями различных действий с ресурсами, как-то: папками, файлами и принтерами. Поскольку управлять правами группы значительно проще, чем правами ее членов по отдельности, группы, как правило, применяют для управления доступом к ресурсам.
Привилегии регулируют права пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.
Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и привилегии всех групп, в которых состоит.
Группы упрощают администрирование, так как
Группы упрощают администрирование, так как права и привилегии присваиваются нескольким пользователям одновременно.
Локальные группы применяются для предоставления пользователям доступа к сетевым ресурсам на локальном компьютере. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп одного или нескольких доменов.
Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, создается на этом компьютере. Для ресурсов, находящихся на одном из контроллеров домена, локальная группа создается на главном контроллере домена.
Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана.
Глобальные группы всегда создаются на главном контроллере домена.
Дополнительную информацию о ...
основа эффективной стратегии организации учетных
Группы — основа эффективной стратегии организации учетных записей пользователей и присвоения прав доступа.
С помощью глобальных групп разделите пользователей доменов на структурные единицы по географическому или организационному признаку.
Учитывая нужды пользователей в ресурсах, создайте локальные группы и присвойте им соответствующие права доступа.
Включите глобальные группы в состав соответствующих локальных групп.
Дополнительную информацию о ...
В сети, основанной на доменной
В сети, основанной на доменной модели, локальные и глобальные группы создаются с помощью утилиты User Manager for Domains (Диспетчер пользователей доменов).
В сети, основанной на модели рабочей группы, локальные группы создаются с помощью утилиты User Manager (Диспетчер пользователей).
Для создании групп необходимо быть членом одной из встроенных групп Administrators (Администраторы) или Account Operators (Операторы учетных записей) компьютера, на котором создается группа.
Локальную группу можно создать на любом компьютере под управлением Windows NT. Глобальная группа должна создаваться на главном контроллере домена
Глобальная группа может входить в состав только локальной группы. Локальная группа не может быть членом никакой другой группы.
Дополнительную информацию о ...
Встроенные группы контроллера домена определяют
Встроенные группы контроллера домена определяют полномочия своих членов в домене.
Встроенные группы компьютера, не являющегося контроллером домена, определяют полномочия своих членов на локальном компьютере.
Встроенные локальные группы имеются на всех компьютерах под управлением Windows NT. Они определяют круг системных задач, которые может решать пользователь — член группы. Встроенным локальным группам заранее присвоен набор привилегий.
Встроенные глобальные группы имеются только на компьютерах — контроллерах домена. Они предоставляют администратору средства управления пользователями домена. Встроенные глобальные группы не обладают никакими заранее присвоенными привилегиями.
Системные группы устанавливаются на всех компьютерах под управлением Windows NT. Членство в системных группах определяется системными (и, в частности, сетевыми) действиями пользователя. Состав системных групп нельзя изменить.
Дополнительную информацию о ...
Шаблон планирования групп
Название группы
Локальная или глобальная
Члены
Местонахождение
Создание глобальных групп
Прежде всего необходимо классифицировать пользователей доменов и сформировать структурные единицы, которые и послужат основой для глобальных групп.
Чтобы создать глобальную группу, присвойте ей имя и включите в нее пользователей.
> Создание глобальной группы
В этом упражнении Вы средствами утилиты User Manager for Domains (Диспетчер пользователей доменов) создадите глобальные группы, запланированные на предыдущем занятии (упражнение «Планирование групп»). Если Вы не заполнили шаблон планирования групп предыдущего занятия, воспользуйтесь примером из приложения «Шаблоны планирования».
Зарегистрируйтесь в системе по учетной записи Administrator.
В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование), а затем щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
В меню User (Пользователь) щелкните пункт New Global Group (Создать глобальную группу). • Появится диалоговое окно New Global Group (Новая глобальная группа).
В поле Group Name (Название группы) введите название одной из групп Квебекского домена копании «Разноимпорт» (см. шаблон планирования групп предыдущего занятия или пример в приложении). Имя глобальной группы:
может содержать любые символы в верхнем или нижнем регистре, за исключением " / \[] : ; ¦ = , + * ? < >;
особенно полезно, если оно кратко описывает назначение группы;
не должно быть длиннее 20 символов.
В поле Description (Описание) опишите созданную глобальную группу, например определите служебные обязанности ее членов. Это поможет пользователям понять назначение группы.
Не закрывайте окно New Global Group (Создать глобальную группу). ^ Добавление членов в группу
В этом упражнении Вы добавите в только что созданную глобальную группу учетные записи пользователей, сгенерированные командным файлом Chapter3.cmd (см. раздел «Прежде всего» в начале этой главы). Чтобы отличать их от учетных записей других глав курса, к их именам добавлен номер этой главы — 3.
В списке Not Members (He входят в группу) диалогового окна New Global Group ( Новая глобальная группа) выберите одну или несколько учетных записей Вашего шаблона. Чтобы выбрать несколько записей, нажмите клавишу CTRL и, не отпуская ее, щелкайте по очереди нужные записи.
Щелкните кнопку Add (Добавить).
Все выбранные записи появятся в списке Members (Входят в группу).
Добавьте в группу все остальные учетные записи пользователей, а затем щелкните кнопку ОК, чтобы создать глобальную группу, включающую всех выбранных Вами пользователей.
Обратите внимание на список Groups (Группы): в нем появилось имя созданной Вами глобальной группы, а ее значок дополнен изображением земного шара.
> Завершение упражнения
Создайте оставшиеся группы Квебекского домена из шаблона планирования групп и включите в их состав соответствующие учетные записи пользователей.
Совет Добавление пользователей к глобальной группе можно ускорить: прежде чем воспользоваться командой New Global Group (Создать глобальную группу) Диспетчера пользователей доменов, нажмите клавишу CTRL и, не отпуская ее, выберите все учетные записи, которые Вы хотите добавить. Теперь, открыв окно New Global Group (Новая глобальная группа), Вы увидите все выбранные учетные записи в списке Members (Входят в группу).
Создание локальных групп
Разработав организационную структуру и создав глобальные группы, можно приступить к формированию локальных групп.
Чтобы создать локальную группу, присвойте ей имя и включите в ее состав учетные записи пользователей и глобальных групп Вашего и доверенных доменов.
> Создание локальной группы
В меню User (Пользователь) щелкните пункт New Local Group (Создать локальную группу). Появится диалоговое окно New Local Group (Новая локальная группа).
Примечание В реальной ситуации для создания локальной группы на компьютере, не выполняющем функции контроллера домена, сначала надо выбрать его командой Select Domain (Выбрать домен) меню User (Пользователь). В поле Domain (Домен) этого диалогового окна наберите имя компьютера (например, \\Компьютер1).
В поле Group Name (Название группы) введите уникальное информативное название одной из локальных групп шаблона планирования из предыдущего занятия или из примера приложения. Название локальной группы:
должно кратко описывать ее назначение;
может содержать любые символы в верхнем или нижнем регистре, кроме символа обратной косой черты (\);
не должно быть длиннее 256 символов (однако в большинстве окон отображается не более 22 первых символов названия).
В поле Description (Описание) введите описание созданной локальной группы, например определите ресурс, доступ к которому она обеспечивает.
> Добавление членов в локальную группу
В окне New Local Group (Новая локальная группа) щелкните кнопку Add (Добавить).
На экране появится диалоговое окно Add Users and Groups (Добавить пользователя или группу).
Убедитесь, что в списке List Names From (Показывать имена из...) выбран Ваш домен. Если это не так, выберите свой домен в этом списке.
В списке Names (Имена) выберите одну или несколько глобальных групп, запланированных Вами для Квебекского домена компании «Разноимпорт», и щелкните кнопку Add (Добавить).
Обратите внимание на список Add Names (Добавить имена): в нем появились названия выбранных Вами групп.
Примечание Если в реальной ситуации Вам понадобится добавить глобальные группы из других доменов, выберите нужный домен в списке List Names From (Показывать имена из...). Если домен, к которому принадлежит необходимая глобальная группа, отсутствует в списке, то он либо отсутствует физически (например, нет сетевого соединения), либо между доменами не установлены необходимые доверительные отношения.
Щелкните кнопку Add (Добавить), а затем — кнопку ОК.
Выбранные глобальные группы появятся в списке Members (Входят в группу) диалогового окна New Local Group (Новая локальная группа).
Щелкните кнопку ОК, чтобы создать локальную группу.
Щелкните кнопку ОК еще раз.
Обратите внимание на список Groups (Группы): в нем появилась созданная Вами группа, причем на ее значке изображен компьютер — признак локальной группы.
> Завершение упражнения
Создайте все остальные локальные группы Квебекского домена, перечисленные в шаблоне планирования групп, и включите в их состав соответствующие учетные записи пользователей.
Совет Добавление пользователей и глобальных групп в локальную группу можно ускорить: прежде чем воспользоваться командой New Local Group (Создать локальную группу), нажмите клавишу CTRL и, не отпуская ее, выберите все учетные записи, которые Вы хотите добавить. Теперь, открыв окно New Local Group (Новая локальная группа). Вы увидите все выбранные учетные записи в списке Members (Входят в группу).
> Анализ возможных комбинаций групп
В этом упражнении Вы проиграете всевозможные комбинации глобальных и локальных групп, чтобы выяснить, какие из них могут быть членами других групп. В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) попробуйте:
добавить глобальную группу в глобальную группу;
добавить глобальную группу в локальную группу;
добавить локальную группу в локальную группу;
добавить локальную группу в глобальную группу.
Какие комбинации допустимы?
ответ
Примечание. В реальной ситуации локальной группе сначала присваивают права доступа к соответствующему ресурсу, а после этого добавляют к ней учетные записи. Права доступа и их предоставление подробно обсуждаются в главе 5, «Защита сетевых ресурсов с помощью прав доступа», и в главе 6, «Защита сетевых ресурсов средствами NTFS».
Средства создания групп
В домене локальные и глобальные группы создаются с помощью утилиты User Manager for Domains (Диспетчер пользователей доменов). В рабочей группе можно формировать лишь локальные группы — средствами User Manager (Диспетчер пользователей), глобальные же группы в этой модели недоступны.
Ниже изображено окно утилиты User Manager for Domains (Диспетчер пользователей доменов). Все команды меню User (Пользователь) для управления учетными записями групп, за исключением команд New Global Group (Создать глобальную группу) и Select Domain (Выбрать домен), доступны и в утилите User Manager (Диспетчер пользователей).
Требования для создания групп
Для создании групп необходимы следующие условия.
Вы должны быть членом одной из встроенных групп Administrators (Администраторы) или Account Operators (Операторы учетных записей) компьютера, на котором создается группа.
Локальную группу можно создать на любом компьютере под управлением Windows NT.
Глобальную группу надо создавать на главном контроллере домена, однако сделать это можно с любого компьютера, на котором запускается User Manager for Domains (Диспетчер пользователей доменов):
с резервного контроллера домена;
с сервера, входящего в состав домена;
с любого компьютера под управлением Windows NT Workstation или Windows 95, на котором установлены клиентские средства администрирования.
Названия глобальных групп должны быть уникальны в пределах домена, а названия локальных групп — в пределах компьютера. Названия групп не могут совпадать с названиями учетных записей пользователей.
Удаление групп
Удаляя группу, Вы фактически уничтожаете ее название, описание и присвоенные ей права. Однако этот процесс не затрагивает входящие в ее состав учетные записи.
Удаленную группу нельзя восстановить, поэтому прежде серьезно подумайте. Дело в том, что при удалении группы навсегда удаляется ее идентификатор защиты (Security Identifier, SID), который используется при определении прав доступа. Именно по этой причине права группы нельзя восстановить, даже создав новую группу с тем же именем.
> Удаление учетной записи группы
В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) дважды щелкните глобальную группу Accountants (Бухгалтерия).
Обратите внимание на список членов группы в диалоговом окне Global Group Properties (Свойства глобальной группы).
Щелкните кнопку Cancel (Отмена), чтобы вернуться в окно User Manager for Domains.
Убедившись, что группа Accountants (Бухгалтерия) выбрана, в меню User (Пользователь) щелкните команду Delete (Удалить).
На экране появится следующее сообщение:
«Каждой группе соответствует уникальное значение идентификатора защиты, которое не связано с именем группы. После удаления даже создание новой группы с тем же именем не вернет права доступа к ресурсам, присвоенным данной группе».
Щелкните кнопку OK — и группа будет удалена.
Убедитесь, что имена членов группы не были удалены — они по-прежнему перечислены в окне утилиты User Manager for Domains. Итак, удаление учетной записи группы не удаляет ее членов.
Закройте User Manager for Domains (Диспетчер пользователей доменов).
Видеоролик «Локальные и глобальные группы»
Этот шестиминутный видеоролик познакомит Вас с локальными и глобальными группами в однои многодоменных сетях. Полный сценарий видеоролика Вы найдете в разделе «Course Materials» прилагаемого к курсу компакт-диска. ^ Запуск видеоролика из меню Start (Пуск)
Вставьте в дисковод прилагаемый к книге компакт-диск.
В меню Start (Пуск) выберите последовательно пункты Programs (Программы), Network Administration Training и затем щелкните пункт Local and Global Groups Video.
> Запуск видеоролика с компакт-диска
Запустите Windows NT Explorer (Проводник Windows NT).
Дважды щелкните файл Open.htm, находящийся в корневом каталоге компакт-диска.
Щелкните в центре экрана, чтобы перейти на главную страничку.
Щелкните ссылку Course Materials.
На странице Contents щелкните ссылку Local and Global Groups Video.
Чтобы установить требуемые библиотеки DLL и запустить видеоролик, следуйте инструкциям в текстовом поле.
Примечание Если Вы провели установку, как описано в разделе «Об этой книге», или уже запускали видеоролики на своем компьютере, то Вам не нужно устанавливать библиотеки.
> Вопросы к видеоролику
Вы лучше усвоите основные темы видеоролика, ответив на приведенные ниже вопросы. Это можно сделать и во время просмотра, но все-таки разумнее сначала посмотреть его целиком, а потом проверить себя.
Каково назначение локальных групп?
ответ
Каково назначение глобальных групп?
ответ
Где создаются локальные группы?
ответ
Где создаются глобальные группы?
ответ
Приведенные ниже вопросы помогут Вам
Приведенные ниже вопросы помогут Вам лучше усвоить основные темы данной главы. Если Вы не сумеете ответить на вопрос, повторите материал соответствующего занятия.
Какие из приведенных ниже утверждений относятся к локальным группам? Отметьте все подходящие варианты.
А. Применяются для предоставления пользователям прав доступа к сетевым ресурсам и привилегий, необходимых для решения различных системных задач.
Б. Применяются для организации пользователей домена.
В. Им присваиваются права доступа к локальным ресурсам.
Г. Могут содержать учетные записи пользователей и глобальные группы.
Д. Создаются на компьютере, где располагается ресурс (кроме случая, когда ресурс находится на контроллере домена, — тогда локальные группы создаются на главном контроллере домена).
Е. Всегда создаются на главном контроллере домена.
Ж. Можно создавать с помощью утилит User Manager (Диспетчер пользователей) и User Manager for Domains (Диспетчер пользователей доменов).
3. Можно создавать только утилитой User Manager for Domains (Диспетчер пользователей доменов).
ответ
Какие из приведенных ниже утверждений относятся к глобальным группам? Отметьте все подходящие варианты.
А. Применяются для предоставления пользователям прав доступа к сетевым ресурсам и привилегий, необходимых для решения различных системных задач.
Б. Применяются для организации пользователей домена.
В. Им присваиваются права доступа к локальным ресурсам.
Г. Могут содержать учетные записи пользователей и глобальные группы.
Д. Создаются на компьютере, где располагается ресурс (кроме случая, когда ресурс находится на контроллере домена). Для ресурсов контроллера домена локальные группы создаются на главном контроллере домена.
Е. Всегда создаются на главном контроллере домена.
Ж. Их можно создавать с помощью утилиты User Manager (Диспетчер пользователей) или User Manager for Domains (Диспетчер пользователей доменов).
3. Их можно создавать только утилитой User Manager for Domains (Диспетчер пользователей доменов).
ответ
Чем встроенная локальная группа отличается от встроенной глобальной группы?
ответ
Какие из перечисленных ниже утверждений верны?
А. Чтобы присвоить пользователю привилегии администратора на его (ее) компьютере, достаточно включить его (ее) учетную запись в локальную группу Administrators (Администраторы).
Б. Чтобы предоставить администраторам домена Домен1 административные полномочия в домене Домен2, достаточно включить группу Domain Admins домена Домен1 в состав группы Administrators главного контроллера домена Домен2.
В. Чтобы предоставить администраторам домена Домен1 административные полномочия в домене Домен2, достаточно включить группу Domain Admins домена Домен2 в состав группы Administrators главного контроллера домена Домен1.
Г. Чтобы предоставить администраторам домена Домен1 административные полномочия на рабочих станциях и серверах домена Домен2, достаточно включить группу Domain Admins домена Домен1 в состав группы Administrators соответствующих компьютеров домена Домен2.
ответ
Какова рекомендованная стратегия развертывания локальных и глобальных групп?
ответ
Каковы различия между группами Everyone (Все) и Domain Users (Пользователи домена)?
ответ
Встроенные группы контроллера домена
Контроллеры доменов располагают помимо перечисленных выше локальных встроенных групп тремя дополнительными: Account Operators (Операторы учетных записей), Server Operators (Операторы сервера) и Print Operators (Операторы печати). Кроме того, на контроллере домена имеется три встроенные глобальные группы:
Domain Users (Пользователи домена), Domain Admins (Администраторы домена) и Domain Guests (Гости домена).
Встроенные группы Windows NT
На компьютере под управлением Windows NT возможны три типа встроенных групп.
Локальные группы предоставляют пользователям привилегии, необходимые для решения различных системных задач, как-то: резервное копирование и восстановление данных, изменение системного времени, администрирование ресурсов и т.п.
Глобальные группы облегчают администрирование пользователей домена.
Системные группы автоматически подразделяют пользователей на категории в соответствие с объемом прав доступа к системе. Администратору не надо включать пользователей в состав этих групп — это делается автоматически при создании учетной записи пользователя или при подключении по сети.
Примечание Встроенные группы нельзя ни удалить, ни переименовать.
Встроенные системные группы
Системные группы устанавливаются на всех компьютерах под управлением Windows NT. В отличие от других встроенных групп членство в системных группах определяется не администратором, а системными (и, в частности, сетевыми) действиями пользователя. Состав системных групп нельзя изменить.
В таблице описаны основные системные группы, используемые при администрировании сети.
Системная группа
Описание
Everyone (Все)
В состав этой группы входят все локальные и удаленные пользователи, подключенные к компьютеру, включая зарегистрировавшихся по учетной записи Guest (Гость). Администратор не может управлять членством в этой группе, однако в его распоряжении есть другой метод контроля — присвоение привилегий и прав этой группе. Группа Everyone полезна, если нет необходимости ограничивать доступ к ресурсу
Creator Owner (Создатель/владелец)
Включает пользователя, который создал соответствующий ресурс или стал его владельцем при смене такового. Если новый владелец — член группы Administrators (Администраторы), фактическим владельцем ресурса становится вся административная группа. Группа Creator Owner полезна для управления доступом к файлам на разделах NTFS
В следующей таблице описаны системные группы, не применяемые для администрирования сети.
Системная группа
Описание
Network (Сетевые пользователи)
В состав этой группы входят удаленные пользователи, подключенные к сетевым ресурсам локального компьютера
Interactive (Интерактивные пользователи)
В состав этой группы автоматически попадает каждый зарегистрированный пользователь компьютера
Примечание. Группы Everyone (Все) и Creator Owner (Создатель/владелец) более подробно обсуждаются в следующих главах настоящего курса.
Системные группы не появляются в соответствующем окне утилиты User Manager for Domains (Диспетчер пользователей доменов) — их можно увидеть только в окне свойств дискового ресурса NTFS.
> Изучите системные группы
Запустите Windows NT Explorer (Проводник).
Щелкните правой кнопкой мыши любой том NTFS.
В меню объекта выберите команду Properties (Свойства).
На экране появится диалоговое окно диск: Properties (диск: Свойства).
Щелкните вкладку Security (Защита).
Щелкните кнопку Permissions (Права доступа).
На экране появится диалоговое окно Directory Permissions (Права доступа к каталогу).
Щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
В списке Names (Имена) среди прочих перечислены следующие системные группы (если список велик, Вам придется прокрутить его, чтобы найти их):
Creator Owner (Создатель/владелец);
Interactive (Интерактивные пользователи);
Network (Сетевые пользователи);
System (Система).
Закройте все диалоговые окна и Windows NT Explorer.
это набор учетных записей пользователей
(Продолжительность занятия 30 минут)
Группа — это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Организация учетных записей в группы значительно упрощает решение каждодневных административных задач. На этом занятии Вы познакомитесь с основными понятиями и терминами, применяемыми в этой области.
Изучив материал этого занятия. Вы сможете:
объяснить назначение локальных и глобальных групп;
перечислить сходства и различия между локальными и глобальными группами;
объяснить, где создаются локальные и глобальные группы.
Стратегия создания групп
(Продолжительность занятия 30 минут)
Разумная стратегия создания групп значительно упрощает решение административных задач. На этом занятии Вы познакомитесь со способами развертывания локальных и глобальных групп в Вашей сети.
Изучив материал этого занятия, Вы сможете:
описать составляющие эффективной стратегии создания групп;
разработать план создания локальных и глобальных групп в многодоменной сети.
Чтобы обеспечить контроль за пользователями и доступом к ресурсам, прежде всего организуйте пользователей в глобальные группы. Затем включите глобальные группы в состав локальных групп соответствующих ресурсов.
При создании групп пользуйтесь приведенными ниже рекомендациями.
Изучите служебные обязанности пользователей домена и организуйте группы по сходным функциям или потребностям. Если, например, торговому персоналу необходим доступ к цветному принтеру, а менеджерам — к сведениям о персонале, разделите пользователей на две группы: торговый персонал и менеджеры.
Для каждой группы пользователей со сходными потребностями создайте на соответствующем контроллере домена глобальную группу. Занесите учетные записи пользователей в соответствующие группы.
Создайте локальные группы в соответствии с потребностями пользователей в ресурсах. Если, например, менеджерам необходим полный контроль за файлами папки «Сведения о сотрудниках», а торговому персоналу достаточно лишь читать эти файлы, создайте отдельные локальные группы для менеджеров и торгового персонала.
Если ресурс находится на сервере или рабочей станции под управлением Windows NT Workstation, создайте локальную группу на этом компьютере.
Если ресурс находится на одном из контроллеров домена, создайте локальную группу на главном контроллере домена
Предоставьте локальной группе требуемые права доступа к ресурсу.
Включите глобальные группы в состав соответствующих локальных групп.
Примечание Если локальная и глобальная группы принадлежат к разным доменам, для включения глобальной группы в состав локальной между доменами должны быть установлены необходимые доверительные отношения.
> Планирование групп
Предположим, пользователям Стамбульского и Квебекского доменов компании «Разноимпорт» необходим доступ к ресурсам обоих доменов. Вам — администратору сети компании — придется принять решение по следующим вопросам:
глобальные группы и членство в них для каждого из доменов;
локальные группы для каждого ресурса, включая местонахождение каждой группы;
включение глобальных групп в состав локальных для предоставления пользователям доступа к ресурсам.
Запишите свои соображения в шаблон планирования групп, приведенный в конце этого занятия. Выполнив упражнение, обратитесь к приложению «Шаблоны планирования» и сравните свои ответы с образцом. Имейте в виду, что образец содержит один из возможных вариантов ответа; учетные записи групп можно спланировать и иначе. Занесите в шаблон планирования групп приведенные ниже сведения.
Имя группы — в графу «Название группы».
Тип группы — локальная или глобальная — в графу «Локальная или глобальная».
Учетные записи пользователей для каждой глобальной группы — в графу «Члены» (учетные записи пользователей Стамбульского и Квебекского доменов перечислены в приведенной ниже таблице; состав доменов одинаков).
Учетная запись
Примечание Чтобы отличить друг от друга учетные записи с одинаковыми именами, но относящиеся к разным доменам, указывайте название домена.
Названия всех глобальных групп, которые будут включены в состав локальных групп, — в графу «Члены»..
Местонахождение сервера: главный контроллер домена, резервный контроллер или сервер — в графу «Местонахождение».
Заполняя шаблон, руководствуйтесь изображенной ниже схемой доменов и дополнительной информацией.
Принимая решения, имейте в виду следующее:
всем сотрудникам необходим доступ к приложениям своего домена;
всем сотрудникам необходим доступ к принтеру Стамбульского отделения;
руководству и менеджерам обоих доменов необходим доступ к информации отдела кадров Квебекского домена;
руководству, менеджерам, торговым представителям и персоналу по обслуживанию клиентов необходим доступ к данным о клиентах, которые находятся в Квебекском домене;
сотрудникам бухгалтерий обоих доменов необходим доступ к данным о счетах бухгалтерии Квебекского домена;
менеджерам обоих доменов необходим доступ к данным о сотрудниках, которые хранятся в Стамбульском домене.
Встроенные группы
(Продолжительность занятия 30 минут)
Встроенные группы Windows NT — это предварительно созданные группы с заранее заданным набором привилегий. Напомним, что привилегии определяют круг системных задач, которые может решать пользователь (и, в частности, член встроенной группы). На этом занятии Вы познакомитесь со свойствами и назначением встроенных групп.
Изучив материал этого занятия, вы сможете:
определить привелегии, присвоенные всироенным группам;
перечислить состав встроенных групп по умолчанию.
