Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...
Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
Топ:
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного...
Определение места расположения распределительного центра: Фирма реализует продукцию на рынках сбыта и имеет постоянных поставщиков в разных регионах. Увеличение объема продаж...
Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов...
Интересное:
Средства для ингаляционного наркоза: Наркоз наступает в результате вдыхания (ингаляции) средств, которое осуществляют или с помощью маски...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Распространение рака на другие отдаленные от желудка органы: Характерных симптомов рака желудка не существует. Выраженные симптомы появляются, когда опухоль...
Дисциплины:
2017-06-25 | 366 |
5.00
из
|
Заказать работу |
|
|
Назначайте универсальную область действия для групп, объединяющих домены. Для этого добавьте учетные записи в группы с глобальной областью действия, а затем вложите эти группы в группы с универсальной областью действия. При использовании такого подхода изменение членства в группах с глобальной областью действия не влияет на группы с универсальной областью действия.
Рассмотрим, например, сеть с двумя доменами, Europe и UnitedStates, в каждом из которых есть группа GLAccounting с глобальной областью действия. Создадим группу UAccounting с универсальной областью действия и включим в нее в качестве членов группы UnitedStates\GLAccounting и Europe\GLAccounting. Группа UAccounting теперь может свободно использоваться на предприятии. Любые изменения в членстве любой из групп GLAccounting не приведет к репликации группы UAccounting.
Не изменяйте членство в группах с универсальной областью действия, поскольку любое такое изменение приводит к репликации всех данных о членах этой группы в каждый глобальный каталог, находящийся в лесу. Дополнительные сведения об универсальных группах и о репликации см. в разделе Глобальные каталоги и сайты.
Примечание |
Если режим работы домена — смешанный Windows 2000, невозможно создавать группы безопасности с универсальной областью действия. |
Изменение области действия группы
Когда создается новая группа, по умолчанию она настраивается как группа безопасности с глобальной областью действия, независимо от текущего режима работы домена. Хотя изменение области действия группы не разрешается в доменах со смешанным режимом Windows 2000, перечисленные ниже преобразования разрешены в доменах с режимами работы основной Windows 2000 или Windows Server 2003.
|
Дополнительные сведения см. в разделе Изменение области действия группы.
Группы на клиентских компьютерах и изолированные серверы
Некоторые свойства групп, например, универсальные группы, вложенность групп и различие между группами безопасности и группами распространения, поддерживаются только контроллерами доменов Active Directory и рядовыми серверами. Учетные записи групп на компьютерах с операционными системами Windows 2000 Professional, Windows XP Professional., Windows 2000 Server и на изолированных серверах Windows Server 2003 действуют так же, как в операционной системе Windows NT 4.0.
Дополнительные сведения см. в разделе Локальные группы, используемые по умолчанию.
Типы группы
Типы группы
Группы используются для объединения учетных записей пользователей, учетных записей компьютеров и учетных записей групп в управляемые элементы. Использование групп позволяет упростить обслуживание и администрирование сети.
В Active Directory существуют два типа групп: группы распространения и группы безопасности. Группы распространения могут быть использованы для создания списков рассылки электронной почты, а группы безопасности — для задания разрешений на использование общих ресурсов.
Группы распространения
|
Группы распространения используются только приложениями электронной почты (например, Exchange) для отправки сообщений электронной почты группам пользователей. Группы распространения не используют систему безопасности, иначе говоря, они не могут быть включены в избирательные таблицы управления доступом (DACL). Если группа создается для контроля доступа к общим ресурсам, эта группа должна быть группой безопасности.
Группы безопасности
При осторожном использовании группы безопасности обеспечивают эффективное управление доступом к ресурсам сети. Использование групп безопасности позволяет выполнять следующие действия.
Группы безопасности могут использоваться в качестве адресатов электронной почты, как и группы распространения. Сообщение электронной почты, отправленное группе, отправляется всем членам группы.
|
Преобразование групп безопасности и распространения
Группа безопасности может быть преобразована в группу распространения и наоборот в любое время только в случае, если домен находится в основном режиме Windows 2000 или более высоком режиме. Тип группы не может быть изменен, пока установлен смешанный режим Windows 2000.
Подробные сведения о процедуре преобразования см. в разделе Преобразование типа группы. Дополнительные сведения о режиме работы домена см. в разделе Функциональность домена и леса.
Примечания
Группы по умолчанию
Группы по умолчанию
|
Группы по умолчанию, такие как группа «Администраторы домена», — это группы безопасности, создаваемые автоматически при создании домена Active Directory. Эти предопределенные группы призваны помочь управлять доступом к общим ресурсам и делегировать конкретные административные роли в масштабе домена. Сведения о делегировании групп, хранящихся на локальном компьютере, см. в разделе Локальные группы, используемые по умолчанию.
Многие группы, используемые по умолчанию, автоматически получают набор прав пользователей, позволяющих членам группы выполнять определенные действия в домене, например входить в локальную систему или архивировать файлы и папки. Например, член группы «Операторы архива» имеет право выполнять операции резервного копирования для всех контроллеров этого домена.
При добавлении пользователя в группу он получает все права, назначенные для этой группы, а также разрешения, назначенные группе на всех общих ресурсах. Дополнительные сведения о правах и разрешениях пользователей см. в разделе Типы группы.
Управлять группами можно с помощью оснастки «Active Directory — пользователи и компьютеры». Группы по умолчанию находятся в контейнерах Builtin и Users. Контейнер Builtin содержит группы с локальной доменной областью действия. Контейнер Users содержит группы с глобальной и локальной доменной областями действия. Группы, находящиеся в этих контейнерах, можно перемещать в другие группы или подразделения в пределах домена, но их нельзя перемещать в другие домены.
По соображениям безопасности членам групп по умолчанию с широким административным доступом для выполнения административных задач рекомендуется использовать команду «Запуск от имени». Дополнительные сведения см. в разделе Использование команды «Запуск от имени». Сведения о советах и рекомендациях по обеспечению безопасности см. в разделе Советы и рекомендации по работе с Active Directory. Сведения о дополнительных средствах безопасности для защиты Active Directory см. в разделе Защита Active Directory.
Примечания
Группы в контейнере Builtin
В данной таблице содержится описание групп, используемых по умолчанию, размещенных в контейнере Builtin, а также перечислены права пользователей, назначенные каждой группе. Полное описание прав пользователей, перечисленных в таблице, см. в разделе Назначение прав пользователя. Сведения о редактировании прав пользователей см. в разделе Изменение параметров безопасности для объекта групповой политики.
Группа | Описание | Права пользователя по умолчанию |
Операторы учета | Члены данной группы могут создавать, изменять и удалять учетные записи пользователей, групп и компьютеров, находящихся в контейнерах Users или Computers и подразделениях домена, за исключением подразделения «Контроллеры домена». Члены этой группы не имеют разрешения на внесение изменений в группы «Администраторы» или «Администраторы домена», а также на изменение учетных записей членов этих групп. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы в домене. | Разрешение локального входа; Завершение работы системы. |
Администраторы | Члены этой группы полностью управляют контроллерами домена в домене. По умолчанию, группы «Администраторы домена» и «Администраторы предприятия» являются членами группы «Администраторы». Учетная запись «Администратор» является также членом группы, назначаемым по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине полного контроля членов группы над доменом. | Доступ к компьютеру из сети; Настройка квот памяти для процесса; Архивирование файлов и каталогов; Обход перекрестной проверки; Изменение системного времени; Создание файла подкачки; Отладка программ; Разрешение доверия к учетным записям компьютеров и пользователей при делегировании; Принудительное удаленное завершение работы; Увеличение приоритета диспетчирования; Загрузка и выгрузка драйверов устройств; Разрешение локального входа; Управление аудитом и журналом безопасности; Изменение параметров среды оборудования; Профилирование одного процесса; Профилирование загруженности системы; Отключение компьютера от стыковочного узла; Восстановление файлов и каталогов; Завершение работы системы; Смена владельца файлов или иных объектов. |
Операторы архива | Члены этой группы могут архивировать и восстанавливать любые файлы на контроллере домена в зависимости от наличия личных разрешений на эти файлы. «Операторы архива» также могут входить на контроллеры домена и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена. | Архивация файлов и каталогов; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы. |
Гости | По умолчанию, членом этой группы является группа «Гости домена». Учетная запись «Гость» (отключенная по умолчанию) также является членом данной группы, назначенным по умолчанию. | Права пользователя по умолчанию отсутствуют. |
Построители доверия входящих лесов (появляются только в корневом домене леса) | Члены этой группы могут создавать входящие, односторонние доверительные отношения лесов с корневым доменом леса. Например, члены этой группы в лесу A могут создать одностороннее входящее доверие лесов из леса B. Одностороннее входящее доверие лесов предоставляет пользователям леса A доступ к ресурсам в лесу B. Членам этой группы назначено разрешение «Создание входящего доверия лесов» в корневом домене леса. Эта группа не имеет членов по умолчанию. Дополнительные сведения о создании доверий лесов см. в разделе Создание доверия леса. | Права пользователя по умолчанию отсутствуют. |
Операторы настройки сети | Пользователи, входящие в эту группу, могут изменять параметры TCP/IP, а также обновлять и освобождать адреса TCP/IP на контроллерах домена в домене. Эта группа не имеет членов по умолчанию. | Права пользователя по умолчанию отсутствуют. |
Пользователи системного монитора | Члены этой группы могут наблюдать за счетчиками производительности на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками групп «Администраторы» или «Пользователи журналов производительности». | Права пользователя по умолчанию отсутствуют. |
Пользователи журналов производительности | Члены этой группы могут управлять счетчиками производительности, журналами и оповещениями на контроллерах домена в домене, на локальном или удаленном компьютере, не являясь при этом участниками группы «Администраторы». | Права пользователя по умолчанию отсутствуют. |
Пред-Windows 2000 доступ | Члены этой группы имеют права на чтение на всех пользователях и группах в домене. Эта группа обеспечивает обратную совместимость с компьютерами под управлением Windows NT 4.0 и более ранних версий. По умолчанию членом этой группы является специальная группа «Все». Дополнительные сведения о специальных группах см. в разделе Специальные удостоверения. Добавлять пользователей в эту группу рекомендуется только если они работают на компьютерах под управлением Windows NT 4.0 или более ранних версий. | Вход на данный компьютер из сети; Обход перекрестной проверки. |
Операторы печати | Члены этой группы могут управлять, создавать, открывать для общего доступа и удалять принтеры, подключенные к контроллерам домена в домене. Они также могут управлять объектами-принтерами Active Directory в домене. Члены этой группы могут осуществлять локальный вход в систему на контроллерах домена в домене и отключать их. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине прав членов группы на загрузку и выгрузку драйверов устройств на всех контроллерах домена в домене. | Разрешение локального входа; Завершение работы системы. |
Пользователи удаленного рабочего стола | Члены этой группы имеют право удаленного входа на контроллеры домена в домене. Эта группа не имеет членов по умолчанию. | Права пользователя по умолчанию отсутствуют. |
Репликатор | Эта группа поддерживает функции репликации каталога и используется службой репликации файлов на контроллерах домена в домене. Эта группа не имеет членов по умолчанию. Не добавляйте пользователей в эту группу. | Права пользователя по умолчанию отсутствуют. |
Операторы сервера | На контроллерах домена члены этой группы могут интерактивно входить в систему, создавать и удалять общие ресурсы, запускать и останавливать некоторые службы, выполнять резервное копирование и восстановление файлов, форматировать жесткий диск и выключать компьютер. Эта группа не имеет членов по умолчанию. Добавлять членов в эту группу следует с осторожностью по причине значительных возможностей членов группы на контроллерах домена. | Архивация файлов и каталогов; Изменение системного времени; Принудительное удаленное завершение работы; Разрешение локального входа; Восстановление файлов и каталогов; Завершение работы системы. |
Пользователи | Члены этой группу могут выполнять самые распространенные задачи, например запуск приложений, использование локальных и сетевых принтеров и блокировку сервера. По умолчанию членами этой группы являются группы «Администраторы домена», «Прошедшие проверку» и «Интерактивные». Таким образом, любая учетная запись пользователя, созданная в домене, становится членом этой группы. | Права пользователя по умолчанию отсутствуют. |
|
|
|
Кормораздатчик мобильный электрифицированный: схема и процесс работы устройства...
Автоматическое растормаживание колес: Тормозные устройства колес предназначены для уменьшения длины пробега и улучшения маневрирования ВС при...
Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!