Tw-city.info

IT Новости
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Группа пользователи домена

Иллюстрированный самоучитель по Microsoft Windows 2000

Создание группы

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

Примечание
Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился «с нуля», то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплицировапась с американской версии Windows 2000 Server, то имена выводятся по-английски
.

К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Локальные группы в домене:

  • Администраторы (Administrators)
  • Гости (Guests)
  • Операторы архива (Backup Operators)
  • Операторы печати (Print Operators)
  • Операторы сервера (Server Operators)
  • Операторы учета (Account Operators)
  • Пользователи (Users)
  • Репликатор (Replicator)
  • Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)
  • Администраторы домена (Domain Admins)
  • Владельцы-создатели групповой политики (Group Policy Creator Owners)
  • Гости домена (Domain Guests)
  • Издатели сертификатов (Cert Publishers)
  • Компьютеры домена (Domain Computers)
  • Контроллеры домена (Domain Controllers)
  • Пользователи домена (Domain Users)
  • Администраторы предприятия (Enterprise Admins)
  • Администраторы схемы (Schema Admins)

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Разбираемся с типами групп Active Directory. Как создать новую группу в AD?

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.

Типы групп Active Directory

В AD существует два типа групп:

  • Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
  • Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Для каждого типа группы существует три области действия:

  • Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
  • Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
  • Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

Читать еще:  Понизить роль контроллера домена

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

Как создать группу Active Directory с помощью PowerShell

Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).

Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).

Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду

New-ADGroup -Path «OU=Groups,OU=Kaluga,DC=vmblog,DC=ru» -Name «KalugaUsers» -GroupScope Global -GroupCategory Distribution

Теперь создадим новую группу безопасности:

New-ADGroup –Name RemoteKalugaUsers -GroupScope Universal -GroupCategory Security -Path «OU=Groups,OU=Kauga,DC=vmblog,DC=ru»

Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:

Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov

Вывести состав список пользователей в группе и сохранить его в csv файл можно так.

Служба каталогов Active Directory в Windows 2000 Server
Страница 11. Создание группы

Создание группы

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

К встроенным относятся перечисленные ниже группы.

Локальные группы в домене:

Администраторы (Administrators)

Гости (Guests)

Операторы архива (Backup Operators)

Операторы печати (Print Operators)

Операторы сервера (Server Operators)

Операторы учета (Account Operators)

Пользователи (Users)

Репликатор (Replicator)

Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы

Администраторы домена (Domain Admins)

Владельцы-создатели групповой политики (Group Policy Creator Owners)

Гости домена (Domain Guests)

Издатели сертификатов (Cert Publishers)

Компьютеры домена (Domain Computers)

Контроллеры домена (Domain Controllers)

Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)

Администраторы схемы (Schema Admins)

Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.

По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.

Все встроенные глобальные группы находятся в папке Users.

Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы

ВСЕ (Everyone)

— объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.

СЕТЬ (Network)

— объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).

ИНТЕРАКТИВНЫЕ (Interactive)

— объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:

1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.

2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.

По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).

3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:

Группа безопасности (Security)

Группа распространения (Distribution) .

Читать еще:  Домен на виртуальной машине

Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.

Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.

Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.

Как создать и удалить пользователя, группу и объект в домене

Для создания и удаления пользователя, группы и подразделения воспользуемся средством централизованного управления сервером — Диспетчер серверов. Далее выбираем «Пользователи и компьютеры Active Directory».

Создание пользователя в домене.

1. Нажимаем «Пуск«, далее выбираем «Диспетчер серверов«.

2. В новом окне нажимаем «Средства«, в открывшемся списке выбираем «Пользователи и компьютеры Active Directory«.

3. Далее нажимаем правой клавишей на «User«, далее «Создать» — «Пользователь«.

4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). «Полное имя» заполнится автоматически. Затем нажимаем «Далее«.

5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на «Требовать смены пароля при следующем входе в систему«. Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем «Далее«.

6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем «Готово«. Будет создан новый пользователь.

Создание группы в домене

1. Для создания группы в домене, нажимаем правой клавишей мыши на «Users«, далее «Создать» — «Группа«.

2. Задаем «Имя группы«, «Область действия группы» и «Тип группы«, далее нажимаем «ОК«. Будет создана группа.

3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку «Член групп«, нажимаем кнопку «Добавить«.

4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку «Проверить имена«, далее «ОК«.

5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку «Члены группы«. Нажимаем «Добавить«.

6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу «Проверить имена«, далее «ОК«.

Добавление подразделения в домене

1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню «Создать» — «Подразделение«.

2. Задаём имя подразделения, далее «ОК«.

3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).

Удаление пользователя

1. Обычно сначала пользователя отключают и по истечении определенного промежутка времени удаляют. Для этого выбираем пользователя, правой клавишей мыши — «Отключить учетную запись«.

2. Для удаления выбирают необходимого пользователя, далее правой клавишей мыши — «Удалить«.

3. Появится предупреждение о том, что «Вы действительно хотите удалить Пользователь с именем. «. Нажимаем «Да» и выбранный пользователь будет удален из домена.

Удаление группы

1. Для удаления группы в домене выбираем нужную группу, нажимаем правой клавишей — «Удалить«.

2. Появится предупреждение о том, что «Вы действительно хотите удалить Группу безопасности. «. Нажимаем «Да«. Выбранная группа будет удалена из домена.

Удаление подразделения

1. Перед тем, как удалять подразделение, необходимо снять защиту, которая не дает удалить объект от случайного удаления. Если попробовать просто удалить подразделение, то появится предупреждение — «Недостаточные привилегии для удаления Departmnet1, или объект защищен от случайного удаления«.

2. Для снятия защиты в меню «Вид» выбираем «Дополнительные компоненты«.

3. Далее выбираем подразделение (объект), которое хотим удалить. Правой клавишей мыши — «Свойства«.

4. Выбираем вкладку «Объект«. Убираем чекбокс «Защитить объект от случайного удаления«, далее «ОК«.

5. Далее нажимаем правой клавишей мыши на выбранное подразделение — «Удалить«.

6. Появится предупреждение о том, что «Вы действительно хотите удалить Подразделение с именем. «. Нажимаем «Да«. Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено.

7. Если объект содержит другие объекты, то появится предупреждение «Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?«. Нажимаем «Да» и выбранный объект будет удален с вложенными объектами.

Читать еще:  Служба доменных имен

8. Далее в окне «Active Directory — пользователи и компьютеры» в меню «Вид» возвращаем галочку напротив «Дополнительные компоненты«.

Посмотреть видео о том, как создать или удалить пользователя, группу, объект в домене можно здесь:

Служба каталогов Active Directory в Windows 2000 Server

Перемещение учетной записи пользователя

Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:

Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.

Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server

Создание группы

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

К встроенным относятся перечисленные ниже группы.

Локальные группы в домене:

Операторы архива (Backup Operators)

Операторы печати (Print Operators)

Операторы сервера (Server Operators)

Операторы учета (Account Operators)

Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы

Администраторы домена (Domain Admins)

Владельцы-создатели групповой политики (Group Policy Creator Owners)

Гости домена (Domain Guests)

Издатели сертификатов (Cert Publishers)

Компьютеры домена (Domain Computers)

Контроллеры домена (Domain Controllers)

Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)

Администраторы схемы (Schema Admins)

Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.

По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.

Все встроенные глобальные группы находятся в папке Users.

Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы

— объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.

— объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).

— объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:

1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.

2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.

По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).

3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:

Группа безопасности (Security)

Группа распространения (Distribution) .

Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.

Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.

Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.

Уровень доступности группы

Тип объектов, допустимых в качестве членов группы

Ссылка на основную публикацию
Adblock
detector