У цій статті хотів би докладно розповісти про таке поняття як групи в AD. Групи містять елементи (користувачів, комп'ютери, інші групи), управління якими здійснюється як одним об'єктом. У Windows Server існує сім типів груп-дві групи доменів з трьома областями дій в кожній і локальна група безпеки.
Існує два типи груп -безпечне і поширення.
Група поширення - застосовується для створення груп поштових розсилок. Лист відправлений на групу поширення дійде всім користувачам групи. Це група не призначена для роботи з наданням доступу на ресурси.
Група безпеки - застосовується для управління безпеки доступу до ресурсів. Тобто якщо ви хочете для мережевої папки створити групу, для цього необхідно створити групу безпеки. Так само за допомогою групи безпеки можна зробити поштову розсилку, але це не рекомендується робити оскільки для цього є група поширення.
Крім груп існує три області дії для кожної групи:
Локальна в домені - використовується для управління дозволами доступу до ресурсів в межах всього домену.
Глобальна група - використовується для визначення колекції об'єктів доменів на підставі бізнес-правил і управління об'єктами, які вимагають щоденного використання.
Універсальна група - Рекомендується використовувати в лісах з безліч доменів. За допомогою неї можна визначати ролі та управляти ресурсами, які розподілені на декількох доменах.
Більш наочне відміну всіх трьох груп представлено в таблиці.
Члени групи з того ж домена
Члени групи з іншого домену в тому ж лісі
Дозволи члена можуть бути призначені в будь-якому домені
- в універсальну в тому випадку, якщо змінна група не є членом іншої глобальної групи;
Останній стовпець таблиці показує, що існуючу область дії групи можна змінити на будь-яку з трьох, єдиний нюанс, що для зміни деяких областей необхідно виконати два кроки, перший змінити на проміжний, а вже потім на необхідний. Наприклад для того що б змінити глобальну групу в локальну, буде потрібно змінити на початку на універсальну, а вже після цього в локальну групу.
Залишилася одна група, яку я не освятив - Локальна група. Локальна група вважається найбільш примітивною, так як вона доступна тільки на одному комп'ютері. Така група створюється в базі даних диспетчера безпеки облікових записів рядового комп'ютера і тому в домені управління локальними групами не потрібно.
Створення групи за допомогою консолі Active Directory- Користувачі і комп'ютери.
Для того що б створити групу, необхідно запустити консоль Active Directory- Користувачі і комп'ютери. зайти в необхідне підрозділ натиснути кнопку "Створення нової групи в поточному контейнері", у вікні, Новий об'єкт-Група введіть ім'я групи і виберіть необхідний тип і область дії.
Створення групи за допомогою командного рядка.
Для створення групи в командному рядку служить команда Dsadd. Загальний вигляд команди Dsadd group DN_группи + додаткові параметри.
-secgrp. Даний параметр вказує тип групи: безпеки (yes) або поширення (no). Якщо параметр не вказано, то за замовчуванням значенням даного параметра вважається yes;
-scope. Поточний параметр задає область дії групи. Доступні параметри: локальна в домені (l), глобальна (g) або універсальна (u). За замовчуванням, також як і за допомогою графічного інтерфейсу, область дії призначається глобальної;
-samid. Цей параметр визначає використання для даної групи SAM імені, як унікального атрибута sAMAccountName групи. Бажано ім'я для sAMAccountName і групи вказувати ідентичні;
-desc. Даний параметр відповідає за короткий опис групи;
-memberof. Цей параметр призначає одну або кілька груп, до яких потрібно додати нову. Якщо груп кілька, то їх слід додавати через пробіл;
-members. За допомогою цього параметра ви можете додати учасників до групи. Члени повинні вказуватися у вигляді DN-імен і розділятися пробілами.
Приклад створення групи за допомогою командного рядка:
Dsadd group «CN = Адміністратори, OU = Групи, DC = pk-help, DC = com» -secgrp yes -scope g -samid «Адміністратори мережі» -desc «Адміністратори мережі»