Группы пользователей в Windows — группы в Active Directory

Active DirectoryЭто вторая из двух статей, посвященных группам пользователей в Windows. Предыдущая статья была посвящена локальным группам. Перед прочтением данной статьи настоятельно рекомендуется сначала ознакомиться с первой статьей.

Принципиальное отличие групп в Active Directory от локальных групп — они могут включать в себя не только пользователей и группы, но и компьютеры. Однако сегодня мы рассмотрим только группы пользователей.

В Active Directory существует два типа групп и три области действия групп.

Начнём с типов групп.

Группа безопасности — применяется для предоставления доступа к ресурсам. Под ресурсами подразумеваются не только файлы и папки на компьютерах и серверах, но и другие объекты Active Directory;

Группа распространения — применяется для создания почтовых рассылок. Обычно используется при установке Microsoft Exchange Server.

Области действия группы:

Локальная в домене — управление разрешениями на доступы к ресурсам будет происходить в пределах одного домена. При этом в локальную группу могут входить учетные записи из другого домена. Локальные группы могут входить в другие локальные группы, но не могут входить в глобальные;

Глобальная — используется для предоставления доступа к ресурсам в другом домене. Нужно учитывать, что в глобальную группу могут входить только учетные записи из того же домена. Глобальные группы могут входить в другие глобальные и локальные группы;

Универсальная — пригодится, если нужно предоставлять доступы в разных доменах. Рекомендуется использовать эту область действия только для редко редактируемых групп, поскольку внесение изменений в такую группу потребует репликацию глобального каталога.

Проще всего управлять группами из консоли Active Directory — пользователи и компьютеры. Для создания группы выделите нужный OU (подразделение) в консоли Active Directory и вызовите правой кнопкой мыши контекстное меню. В нём выберите СоздатьГруппа.

Группы пользователей в Windows - группы в Active Directory

Введите имя группы, укажите её тип и область действия.

Группы пользователей в Windows - группы в Active Directory
Создание группы в Active Directory.

Мы можем включить в группу и пользователей, и другие группы. Сделать это можно либо через свойства группы (вкладка Члены группы), либо выделив нужную учетную запись и, щёлкнув правой кнопкой мыши, выбрать в открывшемся меню пункт Добавить в группу. Работает и при выделении сразу нескольких учетных записей.

Хотя группы в Active Directory и имеют больше функций по сравнению с локальными группами, их основное предназначение тоже заключается в предоставлении доступа к различным ресурсам. Только теперь мы определяем доступ не только к файлам и папкам, но и к компьютерам, серверам или, например, принтерам. Что касается файловой системы, то здесь предоставление доступа происходит ровно тем же способом, который мы рассмотрели в предыдущей статье, только местом поиска объектов является уже не локальный компьютер.

Хотя группы пользователей в Active Directory это, в целом, простой инструмент, он представляет собой лишь одно звено в той цепи, что отвечает за управление сетями на базе Windows. Компания Microsoft потратила много времени на совершенствование Active Directory, так что возвращаться к этой службе каталогов в статьях про Windows нам придётся частенько.

Добавить комментарий

Ваш адрес email не будет опубликован.