Когда следует использовать группы с универсальной областью действия

Назначайте универсальную область действия для групп, объединяющих домены. Для этого добавьте учетные записи в группы с глобальной областью действия, а затем вложите эти группы в группы с универсальной областью действия. При использовании такого подхода изменение членства в группах с глобальной областью действия не влияет на группы с универсальной областью действия.

Рассмотрим, например, сеть с двумя доменами, Europe и UnitedStates, в каждом из которых есть группа GLAccounting с глобальной областью действия. Создадим группу UAccounting с универсальной областью действия и включим в нее в качестве членов группы UnitedStates\GLAccounting и Europe\GLAccounting. Группа UAccounting теперь может свободно использоваться на предприятии. Любые изменения в членстве любой из групп GLAccounting не приведет к репликации группы UAccounting.

Не изменяйте членство в группах с универсальной областью действия, поскольку любое такое изменение приводит к репликации всех данных о членах этой группы в каждый глобальный каталог, находящийся в лесу. Дополнительные сведения об универсальных группах и о репликации см. в разделе Глобальные каталоги и сайты.

Примечание

Если режим работы домена — смешанный Windows 2000, невозможно создавать группы безопасности с универсальной областью действия.

Изменение области действия группы

Когда создается новая группа, по умолчанию она настраивается как группа безопасности с глобальной областью действия, независимо от текущего режима работы домена. Хотя изменение области действия группы не разрешается в доменах со смешанным режимом Windows 2000, перечисленные ниже преобразования разрешены в доменах с режимами работы основной Windows 2000 или Windows Server 2003.

• Из глобальной в универсальную. Такое преобразование допускается, только если изменяемая группа не является членом другой группы с глобальной областью действия.
• Из локальной доменной в универсальную. Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую локальную группу домена.
• Из универсальной в глобальную. Такое преобразование допускается, только если изменяемая группа не содержит в качестве члена другую универсальную группу.
• Из универсальной в локальную доменную. Для данной операции нет ограничений.

Дополнительные сведения см. в разделе Изменение области действия группы.

Группы на клиентских компьютерах и изолированные серверы

Некоторые свойства групп, например, универсальные группы, вложенность групп и различие между группами безопасности и группами распространения, поддерживаются только контроллерами доменов Active Directory и рядовыми серверами. Учетные записи групп на компьютерах с операционными системами Windows 2000 Professional, Windows XP Professional., Windows 2000 Server и на изолированных серверах Windows Server 2003 действуют так же, как в операционной системе Windows NT 4.0.

• Локально на компьютере можно создавать только локальные группы.
• Локальным группам, созданным на таком компьютере, можно присваивать разрешения только на этом компьютере.

Дополнительные сведения см. в разделе Локальные группы, используемые по умолчанию.

 

 

Типы группы

Типы группы

Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.

В Active Directory существуют два типа групп: группы распространения и группы безопасности. Группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов.

Группы распространения

Группы распространения используются только приложениями электронной почты (например, Exchange) для отправки сообщений электронной почты группам пользователей. Группы распространения не используют систему безопасности, иначе говоря, они не могут быть включены в избирательные таблицы управления доступом (DACL). Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть группой безопасности.

Группы безопасности

При осторожном использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия.

• Назначать права пользователя группе безопасности в Active Directory.
  
  Права пользователя, заданные для групп безопасности, определяют, что может делать член данной группы в области действий домена (или леса). Права пользователя автоматически задаются для групп безопасности во время установки Active Directory для помощи администраторам в определении роли административных пользователей в домене. Например, пользователь, добавленный в группу «Операторы архива» в Active Directory, получает возможность создавать архивы и восстанавливать файлы и каталоги на любом контроллере домена в домене.
  
  Это происходит потому, что по умолчанию права пользователя Архивирование файлов и каталогов и Восстановление файлов и каталогов автоматически задаются для группы «Операторы архива». Члены этой группы наследуют права пользователя, заданные для всей группы. Дополнительные сведения о правах пользователей см. в разделе Права пользователей. Дополнительные сведения о правах пользователей, заданных для групп безопасности, см. в разделе Группы по умолчанию.
  
  Можно задать права пользователей группе безопасности, используя групповую политику, для делегирования конкретных задач. При задании делегированных задач необходимо соблюдать осторожность. Неопытный пользователь, наделенный слишком большими правами в группе безопасности, потенциально может нанести серьезный урон сети. Дополнительные сведения см. в разделе Делегирование администрирования. Дополнительные сведения о задании прав пользователей в группах см. в разделе Назначение прав пользователя группе в службе каталогов Active Directory.
• Назначать разрешения на использование ресурсов для групп безопасности.
  
  Не следует путать разрешения с правами пользователей. Разрешения задаются для групп безопасности, использующих общие ресурсы. Разрешения определяют, кто может получить доступ к данному ресурсу и уровень доступа, например полный доступ. Некоторые разрешения, установленные для объектов домена, автоматически задаются для различных уровней доступа группам по умолчанию, таким как «Операторы учета» или «Операторы домена». Дополнительные сведения о разрешениях см. в разделе Управление доступом в Active Directory.
  
  Группы безопасности перечислены в избирательных таблицах управления доступом, которые определяют разрешения на ресурсы и объекты. Администраторам следует назначать разрешения для ресурсов (общих файлов, принтеров, и т. д.) группам безопасности, а не отдельным пользователям. Разрешения назначаются группе один раз, вместо назначения прав каждому отдельному пользователю. Каждая учетная запись при добавлении к группе получает права, заданные данной группе в Active Directory, и разрешения, определенные для данной группы на ресурсе.

Группы безопасности могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, отправленное группе, отправляется всем членам группы.

Преобразование групп безопасности и распространения

Группа безопасности может быть преобразована в группу распространения и наоборот в любое время только в случае, если домен находится в основном режиме Windows 2000 или более высоком режиме. Тип группы не может быть изменен, пока установлен смешанный режим Windows 2000.

Подробные сведения о процедуре преобразования см. в разделе Преобразование типа группы. Дополнительные сведения о режиме работы домена см. в разделе Функциональность домена и леса.

Примечания

• Несмотря на то, что контакт может быть добавлен в группу безопасности так же, как и в группу распространения, контактам не могут быть назначены права и разрешения. Контактам, входящим в группу, могут быть отправлены сообщения электронной почты.

 

 

Группы по умолчанию

Группы по умолчанию

Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, создаваемые автоматически при создании домена Active Directory. Эти предопределенные группы призваны помочь управлять доступом к общим ресурсам и делегировать конкретные административные роли в масштабе домена. Сведения о делегировании групп, хранящихся на локальном компьютере, см. в разделе Локальные группы, используемые по умолчанию.

Многие группы, используемые по умолчанию, автоматически получают набор прав пользователей, позволяющих членам группы выполнять определенные действия в домене, например входить в локальную систему или архивировать файлы и папки. Например, член группы «Операторы архива» имеет право выполнять операции резервного копирования для всех контроллеров этого домена.

При добавлении пользователя в группу он получает все права, назначенные для этой группы, а также разрешения, назначенные группе на всех общих ресурсах. Дополнительные сведения о правах и разрешениях пользователей см. в разделе Типы группы.

Управлять группами можно с помощью оснастки «Active Directory — пользователи и компьютеры». Группы по умолчанию находятся в контейнерах Builtin и Users. Контейнер Builtin содержит группы с локальной доменной областью действия. Контейнер Users содержит группы с глобальной и локальной доменной областями действия. Группы, находящиеся в этих контейнерах, можно перемещать в другие группы или подразделения в пределах домена, но их нельзя перемещать в другие домены.

По соображениям безопасности членам групп по умолчанию с широким административным доступом для выполнения административных задач рекомендуется использовать команду «Запуск от имени». Дополнительные сведения см. в разделе Использование команды «Запуск от имени». Сведения о советах и рекомендациях по обеспечению безопасности см. в разделе Советы и рекомендации по работе с Active Directory. Сведения о дополнительных средствах безопасности для защиты Active Directory см. в разделе Защита Active Directory.

Примечания

• Подробные сведения о том, как правильно выбрать группу для выполнения определенных процедур, содержатся в разделе Инструкции в центре справки и поддержки.

Группы в контейнере Builtin

В данной таблице содержится описание групп, используемых по умолчанию, размещенных в контейнере Builtin, а также перечислены права пользователей, назначенные каждой группе. Полное описание прав пользователей, перечисленных в таблице, см. в разделе Назначение прав пользователя. Сведения о редактировании прав пользователей см. в разделе Изменение параметров безопасности для объекта групповой политики.

 

Группа	Описание	Права пользователя по умолчанию
Операторы учета	Члены данной группы могут создавать, изменять и удалять учетные записи пользователей, групп и компьютеров, находящихся в контейнерах Users или Computers и подразделениях домена, за исключением подразделения «Контроллеры домена». Члены этой группы не имеют разрешения на внесение изменений в группы «Администраторы» или «Администраторы домена», а также на изменение учетных записей членов этих групп. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в домене.	Разрешение локального входа; Завершение работы системы.
Администраторы	Члены этой группы полностью управляют контроллерами домена в домене. По умолчанию, группы «Администраторы домена» и «Администраторы предприятия» являются членами группы «Администраторы». Учетная запись «Администратор» является также членом группы, назначаемым по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине полного контроля членов группы над доменом.	Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов.
Операторы архива	Члены этой группы могут архивировать и восстанавливать любые файлы на контроллере домена в зависимости от наличия личных разрешений на эти файлы. «Операторы архива» также могут входить на контроллеры домена и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена.	Архивация файлов и каталогов; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы.
Гости	По умолчанию, членом этой группы является группа «Гости домена». Учетная запись «Гость» (отключенная по умолчанию) также является членом данной группы, назначенным по умолчанию.	Права пользователя по умолчанию отсутствуют.
Построители доверия входящих лесов (появляются только в корневом домене леса)	Члены этой группы могут создавать входящие, односторонние доверительные отношения лесов с корневым доменом леса. Например, члены этой группы в лесу A могут создать одностороннее входящее доверие лесов из леса B. Одностороннее входящее доверие лесов предоставляет пользователям леса A доступ к ресурсам в лесу B. Членам этой группы назначено разрешение «Создание входящего доверия лесов» в корневом домене леса. Эта группа не имеет членов по умолчанию. Дополнительные сведения о создании доверий лесов см. в разделе Создание доверия леса.	Права пользователя по умолчанию отсутствуют.
Операторы настройки сети	Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP на контроллерах домена в домене. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
Пользователи системного монитора	Члены этой группы могут наблюдать за счетчиками производительности на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности».	Права пользователя по умолчанию отсутствуют.
Пользователи журналов производительности	Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками группы «Администраторы».	Права пользователя по умолчанию отсутствуют.
Пред-Windows 2000 доступ	Члены этой группы имеют права на чтение на всех пользователях и группах в домене. Эта группа обеспечивает обратную совместимость с компьютерами под управлением Windows NT 4.0 и более ранних версий. По умолчанию членом этой группы является специальная группа «Все». Дополнительные сведения о специальных группах см. в разделе Специальные удостоверения. Добавлять пользователей в эту группу рекомендуется только если они работают на компьютерах под управлением Windows NT 4.0 или более ранних версий.	Вход на данный компьютер из сети; Обход перекрестной проверки.
Операторы печати	Члены этой группы могут управлять, создавать, открывать для общего доступа и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами-принтерами Active Directory в домене. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине прав членов группы на загрузку и выгрузку драйверов устройств на всех контроллерах домена в домене.	Разрешение локального входа; Завершение работы системы.
Пользователи удаленного рабочего стола	Члены этой группы имеют право удаленного входа на контроллеры домена в домене. Эта группа не имеет членов по умолчанию.	Права пользователя по умолчанию отсутствуют.
Репликатор	Эта группа поддерживает функции репликации каталога и используется службой репликации файлов на контроллерах домена в домене. Эта группа не имеет членов по умолчанию. Не добавляйте пользователей в эту группу.	Права пользователя по умолчанию отсутствуют.
Операторы сервера	На контроллерах домена члены этой группы могут интерактивно входить в систему, создавать и удалять общие ресурсы, запускать и останавливать некоторые службы, выполнять резервное копирование и восстановление файлов, форматировать жесткий диск и выключать компьютер. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена.	Архивация файлов и каталогов; Изменение системного времени; Принудительное удаленное завершение работы; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы.
Пользователи	Члены этой группу могут выполнять самые распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров и блокировку сервера. По умолчанию членами этой группы являются группы «Администраторы домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы.	Права пользователя по умолчанию отсутствуют.