Для чого потрібні групи в Active Directory?

Багато починаючі системні адміністратори, та й не початківці, чомусь не використовують групи в службі каталогів Active Directory. Говорячи, що в цьому немає необхідності і взагалі для чого вони потрібні. Але, такі сисадміни не праві, так як створювати групи, навіть в маленьких організаціях необхідно. А для чого це необхідно, спробуємо зараз розібратися.

Група Active Directory – це сукупність об’єктів в Active Directory. До групи можуть входити користувачі, комп’ютери, інші групи і інші об’єкти.

Тепер відповімо на запитання «Навіщо потрібні групи в Active Directory?»Найкраще зрозуміти це, звичайно ж, на прикладі, нехай у нас буде маленька організація і складних завдань нам не потрібно робити.

Припустимо, у нас є який-небудь ресурс (нехай буде загальна папка) І доступ до нього мають тільки 3 користувача, Ви дали дозвіл цим користувачам індивідуально кожному. Все добре, але припустимо, через деякий час одному користувачеві потрібно прибрати ці права, а іншому навпаки дати (наприклад, одного співробітника понизили, а іншого підвищили). І якби у Вас була б група, Ваші дії звелися до того, що просто одного користувача потрібно прибрати з групи, а іншого додати в неї (займе менше хвилини!). Але, так як у Вас немає групи на цей ресурс, тому Вам необхідно буде робити багато зайвих маніпуляцій. З цього випливає, що створювати групи необхідно, для того щоб давати дозволу або права відразу багатьох об’єктах в Active Directory, будь то користувачі або комп’ютери.

Даний приклад найпростіший, тому відразу ж кидатися створювати групи не поспішайте, спочатку потрібно розглянути: які типи груп існують? які області дій є? Яку стратегію створення груп вибрати? Так, так саме стратегію зі створення або використання груп, так як від планування того які групи і за якими дозволами необхідно створити залежить простота адміністрування в подальшому.

У службі каталогів Active Directory є вже вбудовані групи, такі як: Адміністратори, Оператори архіву, Користувачі віддаленого робочого столу і ще багато інших. Для того щоб, подивитися які є групи або почитати опис, відкрийте контейнер Builtin в оснащенні «Користувачі і комп’ютери».

Типи груп в Active Directory і як створити групу

Давайте почнемо з розгляду питань, які типи груп є і як створити групу. Для створення групи відкрийте оснащення “Користувачі і комп’ютери»І на будь-якому контейнері (організаційної одиниці) Правою кнопкою миші, виберіть створити -> групу. Відкриється вікно створення групи.

Потім Вам потрібно написати назву Вашої майбутньої групи, вибрати область дії і вибрати який тип групи у Вас буде, відразу скажу що «Група поширення»Вам буде потрібно досить рідко, а«Група безпеки»Навпроти, буде вимагатися дуже часто, так як є основною і часто використовуваної групою в Active Directory.

Група Безпеки – як видно з назви ця група відноситься до безпеки, тобто вона управляє безпекою. Вона може дати права або дозвіл на доступ до об’єктів в AD.

Група поширення – відрізняється від групи безпеки тим, що знаходяться в цій групі об’єктів не можна дати права, а ця група найчастіше служить для поширення електронних листів, часто використовується при установці Microsoft Exchange Server.

Області дії груп AD

Тепер поговоримо про область дій груп. Під областю дій розуміється діапазон застосування цієї групи всередині домену.

Глобальна група – вона глобальна тим, що може надати доступ до ресурсів іншого домену, тобто їй можна дати дозволу на ресурс в іншому домені. Але в неї можна додати тільки ті облікові записи, які були створені в тому ж домені що і сама група. Глобальна група може входити в іншу глобальну групу і в локальну групу теж. Її часто називають облікової, так як в неї зазвичай входять облікові записи користувачів.

локальна група – вона локальна тим, що надає доступ до ресурсів тільки того домену, де вона була створена, тобто надати доступ до ресурсів іншого домену вона не може. Але в локальну групу можуть входити користувачі іншого домену. Локальна група може входити в іншу локальну групу, але не може входити в глобальну. Її часто називають ресурсної, так як її часто використовують для надання доступу до ресурсів.

Універсальна група – в неї можуть входити всі, і вона може, надає доступ усім.

Стратегії використання груп Active Directory

Тепер поговоримо про стратегію використання груп, компанія Microsoft рекомендує наступну стратегію, я в принципі згоден з їхньою стратегією, за допомогою неї можна легко управляти дозволами і правами у великій компанії.AGDLP – accounts > global groups > local groups > permissions.

Іншими словами, Ви облікові записи користувачів додаєте в глобальні групи, а глобальні групи додаєте в локальні групи, а локальним групам надаєте доступ до ресурсів. Організація такої стратегії на підприємство дозволить Вам набагато спростити управління правами та дозволами (зручність, скорочення часу на зміну прав і дозволів). Не дарма глобальні групи називають обліковими, а локальні ресурсними.

Але якщо це для Вас складно або Ви думаєте що це просто не потрібно Вам, то Ви можете використовувати стратегію AGP, тобто глобальної групі надавати доступ до ресурсів, а в свою чергу в глобальну групу додавати користувачів. На цю тему можна говорити і сперечатися довгий час.

Ну і на закінчення підведемо підсумок, групи в Active Directory – це добре! Їх потрібно використовувати, по засобам перерахованих вище стратегій, або іншій своїй стратегії.

Ссылка на основную публикацию