Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Группы безопасности домена

Для чего нужны группы в Active Directory?

Многие начинающие системные администраторы, да и не начинающие, почему-то не используют группы в службе каталогов Active Directory. Говоря, что в этом нет необходимости и вообще для чего они нужны. Но, такие сисадмины не правы, так как создавать группы, даже в маленьких организациях необходимо. А для чего это необходимо, попробуем сейчас разобраться.

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты.

Теперь ответим на вопрос «Зачем нужны группы в Active Directory?» Лучше всего понять это, конечно же, на примере, пусть у нас будет маленькая организация и сложных задач нам не нужно делать.

Допустим, у нас есть какой-нибудь ресурс (пусть будет общая папка) и доступ к нему имеют только 3 пользователя, Вы дали разрешение этим пользователям индивидуально каждому. Все хорошо, но допустим, через некоторое время одному пользователю нужно убрать эти права, а другому наоборот дать (например, одного сотрудника понизили, а другого повысили). И если бы у Вас была бы группа, Ваши действия свелись к тому, что просто одного пользователя нужно убрать из группы, а другого добавить в нее (займет меньше минуты!). Но, так как у Вас нет группы на этот ресурс, поэтому Вам необходимо будет делать много лишних манипуляций. Из этого следует, что создавать группы необходимо, для того чтобы давать разрешения или права сразу многим объектам в Active Directory, будь то пользователи или компьютеры.

Данный пример самый простой, поэтому сразу же кидаться создавать группы не спешите, сначала нужно рассмотреть: какие типы групп существуют? какие области действий есть? Какую стратегию создания групп выбрать? Да, да именно стратегию по созданию или использованию групп, так как от планирования того какие группы и с какими разрешениями необходимо создать зависит простота администрирования в дальнейшем.

В службе каталогов Active Directory есть уже встроенные группы, такие как: Администраторы, Операторы архива, Пользователи удаленного рабочего стола и еще много других. Для того чтобы, посмотреть какие есть группы или почитать описание, откройте контейнер Builtin в оснастке «Пользователи и компьютеры».

Типы групп в Active Directory и как создать группу

Давайте начнем с рассмотрения вопросов, какие типы групп есть и как создать группу. Для создания группы откройте оснастку «Пользователи и компьютеры» и на любом контейнере (организационной единице) кликните правой кнопкой мыши, выберите создать -> группу. Откроется окно создания группы.

Затем Вам нужно написать название Вашей будущей группы, выбрать область действия и выбрать какой тип группы у Вас будет, сразу скажу что «Группа распространения» Вам потребуется достаточно редко, а «Группа безопасности» напротив, будет требоваться очень часто, так как является основной и часто используемой группой в Active Directory.

Группа Безопасности – как видно из названия эта группа относится к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.

Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Области действия групп AD

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Стратегии использования групп Active Directory

Теперь поговорим о стратегии использования групп, компания Microsoft рекомендует следующею стратегию, я в принципе согласен с их стратегией, с помощью нее можно легко управлять разрешениями и правами в большой компании.

AGDLP — accounts > global groups > local groups > permissions.

Другими словами, Вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организация такой стратегии на предприятие позволит Вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Читать еще:  Установка доверительных отношений между доменами

Но если это для Вас сложно или Вы думаете что это просто не нужно Вам, то Вы можете использовать стратегию AGP, т.е. глобальной группе предоставлять доступ к ресурсам, а в свою очередь в глобальную группу добавлять пользователей. На эту тему можно говорить и спорить долгое время.

Ну и в заключение подведем итог, группы в Active Directory – это хорошо! Их нужно использовать, по средствам вышеперечисленных стратегий, или другой своей стратегии.

Разбираемся с типами групп Active Directory. Как создать новую группу в AD?

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.

Типы групп Active Directory

В AD существует два типа групп:

  • Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
  • Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Для каждого типа группы существует три области действия:

  • Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
  • Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
  • Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

Как создать группу Active Directory с помощью PowerShell

Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).

Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).

Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду

New-ADGroup -Path «OU=Groups,OU=Kaluga,DC=vmblog,DC=ru» -Name «KalugaUsers» -GroupScope Global -GroupCategory Distribution

Теперь создадим новую группу безопасности:

New-ADGroup –Name RemoteKalugaUsers -GroupScope Universal -GroupCategory Security -Path «OU=Groups,OU=Kauga,DC=vmblog,DC=ru»

Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:

Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov

Вывести состав список пользователей в группе и сохранить его в csv файл можно так.

Группы пользователей в Windows — группы в Active Directory

Это вторая из двух статей, посвященных группам пользователей в Windows. Предыдущая статья была посвящена локальным группам. Перед прочтением данной статьи настоятельно рекомендуется сначала ознакомиться с первой статьей.

Принципиальное отличие групп в Active Directory от локальных групп — они могут включать в себя не только пользователей и группы, но и компьютеры. Однако сегодня мы рассмотрим только группы пользователей.

Читать еще:  Защита доменной сети

В Active Directory существует два типа групп и три области действия групп.

Начнём с типов групп.

Группа безопасности — применяется для предоставления доступа к ресурсам. Под ресурсами подразумеваются не только файлы и папки на компьютерах и серверах, но и другие объекты Active Directory;

Группа распространения — применяется для создания почтовых рассылок. Обычно используется при установке Microsoft Exchange Server.

Области действия группы:

Локальная в домене — управление разрешениями на доступы к ресурсам будет происходить в пределах одного домена. При этом в локальную группу могут входить учетные записи из другого домена. Локальные группы могут входить в другие локальные группы, но не могут входить в глобальные;

Глобальная — используется для предоставления доступа к ресурсам в другом домене. Нужно учитывать, что в глобальную группу могут входить только учетные записи из того же домена. Глобальные группы могут входить в другие глобальные и локальные группы;

Универсальная — пригодится, если нужно предоставлять доступы в разных доменах. Рекомендуется использовать эту область действия только для редко редактируемых групп, поскольку внесение изменений в такую группу потребует репликацию глобального каталога.

Проще всего управлять группами из консоли Active Directory — пользователи и компьютеры. Для создания группы выделите нужный OU (подразделение) в консоли Active Directory и вызовите правой кнопкой мыши контекстное меню. В нём выберите СоздатьГруппа.

Введите имя группы, укажите её тип и область действия.

Создание группы в Active Directory.

Мы можем включить в группу и пользователей, и другие группы. Сделать это можно либо через свойства группы (вкладка Члены группы), либо выделив нужную учетную запись и, щёлкнув правой кнопкой мыши, выбрать в открывшемся меню пункт Добавить в группу. Работает и при выделении сразу нескольких учетных записей.

Хотя группы в Active Directory и имеют больше функций по сравнению с локальными группами, их основное предназначение тоже заключается в предоставлении доступа к различным ресурсам. Только теперь мы определяем доступ не только к файлам и папкам, но и к компьютерам, серверам или, например, принтерам. Что касается файловой системы, то здесь предоставление доступа происходит ровно тем же способом, который мы рассмотрели в предыдущей статье, только местом поиска объектов является уже не локальный компьютер.

Хотя группы пользователей в Active Directory это, в целом, простой инструмент, он представляет собой лишь одно звено в той цепи, что отвечает за управление сетями на базе Windows. Компания Microsoft потратила много времени на совершенствование Active Directory, так что возвращаться к этой службе каталогов в статьях про Windows нам придётся частенько.

Сопоставление группы с группой безопасности домена

Вы можете сопоставить группу безопасности домена с ESMC Server и разрешить существующим пользователям (членам этих групп безопасности домена) стать пользователями веб-консоли ESMC.

ПРИМЕЧАНИЕ.

Эта функция доступна только для систем с Active Directory. Ее нельзя использовать с LDAP.

Чтобы открыть мастер создания сопоставленной группы безопасности домена , выберите Дополнительно > Пользователи > Сопоставленные группы безопасности домена > Создать или просто нажмите кнопку Создать , если группа выбрана в дереве.

Основная информация

Введите имя группы. Также можно ввести описание группы. Выберите домашнюю группу . Это статическая группа, в которой будут автоматически содержаться все объекты, созданные пользователями из данной группы доменов.

Эта группа доменов будет идентифицироваться по идентификатору безопасности группы (SID). Чтобы выбрать группу из списка, нажмите кнопку Выбрать и подтвердите выбор, нажав кнопку ОК . Ваш ESMC Server должен быть членом домена, иначе в списке не будет групп. (Если вы используете виртуальное устройство, см. связанную главу.)

ПРИМЕЧАНИЕ.

Если сообщение об ошибке продолжает появляться после нажатия Выбрать и при этом успешно выполнена настройка AD, возможно, истекло время ожидания для фонового процесса. Для обхода этой проблемы можно ввести SID вручную.

Учетная запись

Включено : выберите этот параметр, если только учетную запись не следует сделать неактивной (если ее планируется использовать позднее).

Автоматический выход, мин. : этот параметр определяет период простоя (в минутах), по истечении которого выполняется автоматический выход пользователя из веб-консоли.

Для упрощения идентификации группы можно указать электронную почту и телефон .

Наборы разрешений

Назначьте пользователям этой группы полномочия (права). Можно назначить один или несколько наборов разрешений. Доступны предварительно заданные наборы полномочий:

• Набор разрешений проверяющего (права только на чтение для группы «Все»)

• Набор разрешений администратора (полный доступ к группе «Все»)

• Набор разрешений для установки с помощью сервера (минимальные права доступа, необходимые для установки с сервера)

Каждый набор разрешений предоставляет разрешения только для объектов, содержащихся в статических группах , выбранных в этом наборе разрешений. Пользователь без набора разрешений не сможет выполнить вход в веб-консоль.

ВНИМАНИЕ!

Все предопределенные наборы разрешений содержат группу Все в разделе Статические группы . Помните об этом при назначении ее пользователю. Пользователи получат эти разрешения для всех объектов в ESMC.

Читать еще:  Альбомная печать в word

Сводка

Проверьте параметры, установленные для этого пользователя, и нажмите кнопку Готово для создания группы.

После выполнения входа пользователи появляются на вкладке Пользователи домена .

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC

Мы до этого уже познакомились с базовыми понятиями AD и научились создавать пользователя, пришло время научиться делать группы и темой данной статьи будет, создание групп при помощи оснастки ADUC / Как создать группу в Active Directory. Данную информацию должен знать любой системный администратор, у кого на работе развернут домен Active Directory, так как без групп, производить гибкое администрирование, просто не возможно. Для начала давайте поймем, какие группы существуют и чем они отличаются.

Как создать группу в Active Directory

  • Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.
  • Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-02

Теперь, когда вы больше стали понимать, что это такое и с чем это едят, давайте создадим с вами группу безопасности. Для этого щелкаем правым кликов в нужном контейнере тлт OU и выбираем создать > группу или сверху есть значок с человечками.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-03

После чего мы видим область действия и типы группы, пишем название группы, старайтесь максимально подробно и осмысленно выбирать название группы, у вас в компании должны быть разработаны стандарты именования в Active Directory.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-04

После того как группа создалась кликнете по ней двойным щелчком. Откроются свойства группы. Давайте пробежимся по вкладкам. Советую сразу написать Описание, может потом сильно сэкономить время.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-05

Вкладка Члены группы, показывает группы или пользователей которые являются членами данной группы. Как мы видим пока никого нету, давайте добавим пользователя, для этого щелкаем кнопку добавить и пишем в поисковой строке его параметры имя или

Через поиск находим нужного пользователя.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-07

Все Иванов Иван Иванович, теперь является членом группы.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-08

Вкладка Член групп, показывает в какие группы входит данная группа. Может объединяющей группе пользователей давать права для примера, у меня в организации есть программисты, и им нужен сервер VPN, для удаленного подключения, так они состоят в группе разработчики, которая уже является часть группы vpn пользователи.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-09

Вкладка Управляется, нужна для того чтобы делигировать например руководителю менеджеров права на добавление нужных ему людей в его группу, в российских реалиях почти не используется.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-10

Также еще пользователя можно добавить в группу правым кликом по нему и выбрать пункт добавить в группу, полезно при массовом действии.

Ссылка на основную публикацию
Adblock
detector