Опубликован: 15.10.2008 | Уровень: профессионал | Доступ: платный
Лекция 11:

Управление группами и организационными единицами

< Лекция 10 || Лекция 11: 1234 || Лекция 12 >

Использование групп для полномочий

Группы по своей природе предоставляют права на выполнение задач, но вы можете также задавать с помощью групп полномочия по ресурсам. Полномочия по ресурсам можно также предоставлять отдельным пользователям, но в большинстве случаев эффективнее использовать группу. После этого достаточно включить в данную группу пользователей, которым требуются эти полномочия.

Папки, принтеры и другие разделяемые ресурсы на томах NTFS имеют полномочия по умолчанию для пользователей и групп. В большинстве случаев полномочия по системным папкам (то есть директориям, созданным во время установки) не требуют изменений. Однако папки, которые вы создаете для установки ПО на ваших компьютерах Windows Server 2003, требуется конфигурировать для пользователей, которые выполняют доступ к этому ПО, а также для администраторов, которым требуется управление этими папками.

Полномочия по папкам

Если вы создаете папку на компьютере Windows Server 2003, то по умолчанию полномочия предоставляются локальным пользователям. Вы можете видеть эти полномочия по умолчанию во вкладке Security (Безопасность) диалогового окна Properties для этой папки. Например, на рис. 11.3 показаны полномочия по умолчанию для папки с именем Regmon на компьютере с именем AS20021.

Выберите каждую группу или пользователя, чтобы увидеть полномочия Allow/ Deny (Разрешить/Запретить) для этого пользователя. Если вам нужно добавить в этот список пользователей или группы, щелкните на кнопке Add. Если вам нужно внести изменения в полномочия пользователей или групп этого списка, щелкните на кнопке Advanced (Дополнительно).

Различные права по папке NTFS предоставляются локальным пользователям и группам

Рис. 11.3. Различные права по папке NTFS предоставляются локальным пользователям и группам

Пользователи и группы с полномочиями по данной папке являются локальными для этого компьютера. В большинстве случаев системные серверы, такие как компьютер Windows Server 2003, не используются интерактивным пользователем, за исключением задач обслуживания серверов. Серверы на предприятии обычно используются для обслуживания сетевых пользователей, которые выполняют доступ со своих собственных рабочих станций.

Но если пользователи работают с какой-либо программой непосредственно на данном компьютере, то вполне достаточно существующих полномочий. По умолчанию для локальной группы Users заданы полномочия Read & Execute (Чтение и выполнение), List Folder Contents (Вывод списка содержимого папок) и Read. Для типичных приложений, таких как текстовые процессоры и электронные таблицы, где пользователи записывают документы в свои собственные папки документов (в папку Home на сервере или локально), достаточно использовать эти полномочия. Если это приложение, работающее с базой данных, и файлы находятся в той же папке, что и ПО, то вам следует внести изменения в полномочия группы Users, разрешив использовать права Write (Запись) и Modify (Изменение).

Полномочия по разделяемым ресурсам

Если ваш компьютер Windows Server 2003 исполняет роль предоставления служб пользователям в сети, то предоставление папки для разделяемого использования автоматически создает полномочия, которые нужны этим пользователям. Разделяемая папка имеет свой собственный набор полномочий, которые вы можете увидеть, щелкнув на кнопке Permissions (Полномочия) во вкладке Sharing (Разделяемый доступ) диалогового окна Properties для этой папки.

Если вы предоставляете разделяемый доступ к папке, то по умолчанию для группы Everyone назначаются полномочия Read по этой папке. Для папок, содержащих ПО, этого обычно достаточно. Если пользователям требуются дополнительные полномочия, то вы можете использовать один из следующих способов.

  • Расширить права для группы Everyone.
  • Добавить доменные группы, которые вы создаете именно для этой цели, и включить в них пользователей и группы, которым требуются эти дополнительные полномочия.

Организационные единицы

Организационная единица (OU) играет особую роль в Active Directory: это границы, которые вы создаете, когда не подходят обычные границы. OU организует определенные объекты домена в виде логической административной группы, а не группы безопасности или группы, представляющей географический объект, такой как сайт. OU - это минимальная единица, которую вы можете использовать для применения групповых политик и делегирования ответственности.

Этот подход интересен и логичен - переместить объекты в OU и использовать тот факт, что Windows позволяет вам создавать иерархии организационных единиц. Родительские элементы, несколько дочерних элементов и несколько "внуков" - это простой способ использования "нисходящего" принципа администрирования.

Не стремитесь сразу применять это на практике. Я встречал слишком много администраторов, которые не могли уследить, кто и где находится в их структурах OU. Административные задачи и групповые политики отказывали или применялись несколько раз к одним и тем же объектам, поскольку объекты с большой глубиной вложенности в последовательности из нескольких доменов фактически теряются и часто создаются повторно и дублируются.

Когда речь идет об организационных единицах, я даю некоторые советы, основанные на ошибках и путанице, возникающих у других администраторов.

Двигайтесь постепенно.Добавляйте организационные единицы, когда они абсолютно необходимы, а не когда вы считаете, что "неплохо было бы создать OU" для некоторой группы объектов.

Не торопитесь создавать иерархию.Не начинайте с иерархических OU. Если вы будете создавать иерархии позже, по мере необходимости, то будете лучше понимать связи и использовать их должным образом.

Кроме того, запомните, чем отличаются организационные единицы и группы: реальное отличие касается безопасности - групповые политики или полномочия. Если у вас есть группа пользователей или компьютеров, для которых требуются ограничения, применяемые к задачам, и определенная групповая политика отвечает этим требованиям, то создайте OU. Если у вас имеется группа пользователей или компьютеров, которым требуются особые полномочия по папкам, чтобы запускать приложения или управлять данными, то создайте группу.

Создание OU

Чтобы создать OU, откройте оснастку Active Directory Users and Computers и выполните следующие шаги.

  1. Щелкните правой кнопкой на родительском объекте для этой OU в дереве консоли. Если это первая OU, то родительским объектом является домен. После этого вы можете использовать в качестве родительского объекта домен или какую-либо существующую OU.
  2. Выберите в контекстном меню New\Organizational Unit (Создать\Организаци-онная единица), чтобы открыть диалоговое окно New Object-Organizational Unit.
  3. Введите имя новой OU.
  4. Щелкните на кнопке OK.

Новая OU появится в правой панели. если в дереве консоли будет выбран ее родительский объект. Если вы хотите, чтобы в оснастке Active Directory Users and Computers выводилось описание для этой OU, щелкните правой кнопкой на ее значке в дереве консоли или в правой панели и выберите пункт Properties. Во вкладке General (Общие) введите информацию с описанием этой OU (на рис. 11.4 показана информация об OU с именем Lab).

Введите описание и другую нужную информацию об этой OU

Рис. 11.4. Введите описание и другую нужную информацию об этой OU

Размещение объектов в OU

Вы можете включать в OU пользователей, компьютеры или другие OU. Однако добротное планирование требует продуманного подхода, и вы можете использовать как "кальку" организацию своей компании. Например, если ваша компания организована в виде отделов (департаментов), то, видимо, вы захотите использовать главный объект, связанный с отделами. Обычно, если отдел соответствует физическому подразделению (этаж или здание) и каждый отдел работает в одной локальной сети или подсети, то, видимо, включение компьютеров отдела в OU будет наиболее подходящим решением.

С другой стороны, если вы хотите управлять групповыми политиками для руководителей не так, как для обычных сотрудников, то, видимо, нужно включить в OU группы или пользователей. В этом случае будет наиболее эффективным создание новой группы в этой OU для пользователей, которыми вы хотите управлять. Это позволит вам совместно управлять полномочиями доступа к ресурсам и групповыми политиками, а также делегировать администрирование этой OU.

Чтобы переместить в OU существующий объект, такой как компьютер, щелкните правой кнопкой на этом объекте (или на нескольких объектах, выделенных при нажатой клавише CTRL) и выберите в контекстном меню пункт Move (Переместить). В диалоговом окне Move выберите нужную OU.


< Лекция 10 || Лекция 11: 1234 || Лекция 12 >
Алихан Ергалиев
Алихан Ергалиев
Россия
Иван Иванов
Иван Иванов
Украина, Черкаси