Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 20
Участников: 0
На странице: 1
Участников: 3912, Новичок: Lelandabisp

Разное


Администрирование Active Directory [Занятие 7.]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
на Friday 11 August 2006
от список авторов отправить по email статья печатать статья
в Сетевые Операционные Системы ОС > ОС Windows



Управление группами.

Группы предназначены для упрощения администрирования ресурсов домена. Используя группы, можно назначать разрешения, привилегии и другие права доступа группам, а для предоставления аналогичных прав пользователям включать их в соответствующие группы. Кроме того, Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые могут использоваться почтовыми серверами.

Типы и области действия групп.

Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые не предназначены для использования системой безопасности, а служат для объединения пользователей и контактов в группы, облегчающие коллективную рассылку сообщений.

По аналогии с Windows 2000, Windows Server 2003 поддерживает несколько типов групп, различающихся по области действия и видимости.

Тип группы

Область действия

Правила использования

Локальная

Компьютер -член домена, не контроллер домена

Используются для разграничения доступа к ресурсам, расположенным на компьютерах домена. Могут быть включены только в локальные группы на том же компьютере. В локальные группы могут быть включены пользователи, но не группы домена

Локальная в домене

Домен Active Directory

Используются для разграничения доступа к ресурсам в рамках домена и недоступны из других доменов. В локальные группы могут включаться локальные, глобальные и универсальные группы домена

Глобальная

Дерево доменов Active Directory

Используются для разграничения доступа к ресурсам в рамках доменов, объединенных доверительными отношениями (в Windows Server 2003 - в рамках дерева доменов) и доступны из всех доменов дерева. В глобальные группы могут включаться только глобальные группы и учетные записи из того же домена

Универсальная

Лес Active Directory

Впервые появились в Windows 2000 и предназначены для разграничения доступа в рамках всего леса Active Directory. Доступны в любом домене леса, могут включаться в любые группы домена. В универсальные группы могут включаться глобальные и универсальные группы домена. Для использования универсальных групп домен должен быть переведен в основной режим



Влияние типа и области действия группы на производительность сети.

При входе пользователя в сеть Windows Server 2003, контроллер домена определяет, каким группам принадлежит данный пользователь. Windows Server 2003 создает маркер доступа и назначает его пользователю. Маркер доступа содержит идентификатор безопасности учетной записи пользователя и идентификаторы безопасности всех групп безопасности, к которым принадлежит данный пользователь. Участие в группах может оказывать влияние на:

  • вход в систему;
  • репликацию групп с универсальной областью действия;
  • пропускную способность сети.


Вход в систему

Построение маркера доступа занимает время, таким образом, чем в большее число групп безопасности входит данный пользователь, тем больше времени требуется на построение маркера доступа для данного пользователя и входа в сеть. Это время зависит от пропускной способности сети, а также от параметров настройки контроллера домена, на котором выполняется процесс входа в сеть.

Иногда может понадобиться создать группу только для электронной почты, без использования ее для назначения прав и разрешений ее членам. Для увеличения производительности входа в сеть следует создавать подобные группы как группы распространения вместо групп безопасности. Так как группы распространения игнорируются при построении Windows Server 2003 маркера доступа пользователя при входе, это уменьшает размер маркера и время, затрачиваемое на его построение.

Репликация универсальных групп

Изменения данных, сохраненных в глобальном каталоге, реплицируются на каждый сервер глобального каталога в составе леса. Группы с универсальной областью действия и их члены содержатся в глобальном каталоге, чтобы информация о них была доступна в любом домене леса. Так как список членов группы является одним из атрибутов объекта группы, то при его изменении требуется репликация атрибута целиком на все серверы глобального каталога в лесе.

Группы с глобальной или доменной локальной областью действия также содержатся в глобальном каталоге. Однако в глобальном каталоге не хранится информация о членах этих групп. Это уменьшает размер глобального каталога и существенно уменьшает трафик репликации, необходимый для постоянного обновления глобального каталога. Можно повысить производительность сети путем использования групп с глобальной или доменной локальной областью действия для часто изменяемых объектов каталога.

Пропускная способность сети

Маркер доступа отправляется каждому компьютеру, к которому пользователь имеет доступ, таким образом, конечный компьютер может определить, имеет ли пользователь права или разрешения на данном компьютере, сравнивая все идентификаторы безопасности, содержащиеся в маркере, с разрешениями, установленными для всех ресурсов данного компьютера. Конечный компьютер также проверяет принадлежность идентификаторов безопасности, содержащихся в маркере доступа, к любым локальным группам.

Чем в большее число групп входит пользователь, тем больше будут его маркеры доступа. Если сеть имеет большое количество пользователей, влияние данных маркеров доступа большого размера на пропускную способность сети и производительность контроллера домена может быть существенным.

Например, некий домен содержит 500 общих файлов, каждый с соответствующим назначением для отдельной группы с доменной локальной областью действия, используемой для предоставления права доступа на чтение. Если большинство пользователей имеют доступ на чтение к большинству общих ресурсов, то к их маркеру доступа добавится около 500 идентификаторов безопасности групп. Передача таких маркеров и проверка прав доступа таких пользователей может существенно увеличить не только нагрузку на локальную сеть, но и на компьютеры, содержащие эти файлы.

Создание группы.

Чтобы создать новую группу, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Группа. Также можно в дереве выбрать интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.

В появившемся окне введите имя группы. Для совместимости с предыдущими версиями Windows оно генерируется автоматически, но вы можете изменить его по своему усмотрению.



Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.

Изменение свойств группы.

Чтобы просмотреть и изменить свойства группы, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.

На вкладке Общие вы можете изменить основные параметры группы.



В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Имя группы (пред-Windows 2000) вы можете изменить имя группы, используемое для совместимости с предыдущими версиями Windows. В поле Заметки введите произвольные комментарии относительно группы.

Кроме того, вы можете изменить тип группы и область ее действия. При изменении области действия группы действуют следующие ограничения:

  • область действия группы можно изменить, только если домен работает в основном режиме;
  • вы можете изменить область действия с глобальной на универсальную, если группа не является членом другой группы с глобальной областью действия;
  • вы можете изменить область действия с локальной доменной на универсальную, если группа не содержит в качестве члена другую группу с локальной областью действия.


Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у групп, являющихся списками рассылки Exchange - значение этого поля устанавливается Exchange-сервером автоматически.

На вкладке Члены группы вы можете указать учетные записи пользователей и группы, являющиеся членами группы.



Для добавления членов в группу щелкните кнопку Добавить. Для удаления выбранного члена группы - кнопку Удалить . Двойным щелчком вы можете открыть окно для просмотра свойств соответствующего объекта.

На вкладке Член групп вы можете изменить список групп, членом которых является группа.



На вкладке Управляется указывается пользователь, осуществляющий управление группой.


Страница
1 : Описание объектов Active Directory
2 : Структура каталога и создаваемые по умолчанию объекты
3 : Управление доменами - Свойства домена
4 : Управление доменами - Изменение режима работы домена
5 : Управление доменами -Хозяева операций
6 : Управление доменами - Приемы
7 : Управление ОП - Управление пользователями
8 : Управление ОП - Создание учетной записи
9 : Управление ОП - Изменение свойств учетной записи
10 : Управление ОП - Копирование учетных записей
11 : Управление ОП - Управление контактами
12 > : Управление ОП - Управление группами.
13 : Управление ОП - Управление компьютерами.
14 : Управление ОП - Управление принтерами.
15 : Управление ОП - Управление общими папками.
16 : Управление ОП - Общие операции.
17 : Управление деревом доменов
18 : Управление сайтами и службами
19 : Управление подсетями

Поиск Компьютерные сети и технологии

Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!