Среди системных администраторов ходит такая мысль: что применять группы в Active Directory не имеет смысла. Подобные «мысли» в основном ходят среди начинающих сисадминов, которые просто не понимают насколько группы в Active Directory могут быть эффективными.
Напомним, что Active Directory — это служба активных каталогов, которую используют для хранения информации о сетевых ресурсах организации. Обычно эту службу используют совместно с Windows Server, так как она разработана компанией Майкрософт для собственной серверной операционной системы. Для системного администратора Active Directory открывает возможность группового управления подконтрольной рабочей среды. То есть, используя Active Directory, сисадмин может единообразно на несколько устройств сразу:
развернуть какое-либо программное обеспечение;
обновить операционную систему;
внедрить комплексные настройки устройств;
и др.
Каталог Active Directory содержит внутри себя огромное количество объектов: от нескольких единиц до нескольких миллионов. Именно поэтому, применять группы в Active Directory более чем уместно. Особенно когда счет объектов внутри каталога идет на десятки, сотни или тысячи.
Группы Active Directory
Группа Active Directory — это объединенный список неких объектов Active Directory, которых объединяют общие свойства или характеристики. В группу Active Directory обычно входят:
отдельные сотрудники организации;
компьютерные устройства;
другие группы, тем самым создавая иерархию групп;
и др.
Использование групп в Active Directory открывает возможность системному администратору работать с ними как с отдельными объектами. То есть, при внедрении какого-то новшества, оно внедряется для всех участников группы разом. Группы в Active Directory бывают разные, поэтому их разделяют на типы, согласно их характеристикам.
Типы групп Active Directory
В Active Directory группы делятся на 2 больших типа. Потом каждый отдельный тип группы разделяется еще на 3 подтипа.
Два главных типа групп Active Directory:
Тип группы безопасности. Группы Active Directory подобного типа создаются в тех случаях, когда нужно распределять доступность к системным инструментам. Допустим, у вас есть некая системная папка с информацией, которую вы желаете открыть определенным сотрудникам организации. В этом случае вы создаете группу безопасности из определенных сотрудников и открываете доступ к папке этой группы. В дальнейшем, если вы хотите открыть доступ к папке другим сотрудникам — вы просто добавляете их в группу. Если вы хотите запретить доступ к папке, тогда вы просто удаляете сотрудников из группы.
Тип группы распространения. Группы Active Directory подобного типа создают для того, чтобы объединить объекты для почтовых рассылок. Например, вы создаете подобную группу из определенного числа сотрудников. Потом вы отсылаете электронное письмо в группу, и оно дойдет до всех ее участников. Это удобно, потому что не нужно высылать электронное письмо каждому отдельному сотруднику.
Два основных типа групп делятся на три подтипа. Подтип группы зависит от области функционирования группы. Три подтипа:
Локальная группа в домене. Такой подтип объединения объектов Active Directory создается когда нужно организовать отдельную группу только для одного домена и предоставить этой группе какую-то часть инструментов этого же домена. Напомним, что в управлении Active Directory могут находиться десятки, сотни и даже тысячи доменов. Локальная группа на домене не имеет никаких привилегий на других доменах. При этом в подобную группу могут быть добавлены пользователи разных доменов. Одна локальная группа никогда не может быть добавлена в другую локальную или глобальную группу.
Глобальная группа. Такой подтип объединения объектов Active Directory создается, когда участникам открывается доступ ко всем инструментам домена, на котором она была создана. Отличие от локальной группы в том, что в глобальной открывается доступ ко всем инструментам домена, плюс такой группе можно открыть доступ к ресурсам другого домена.
Универсальная группа. Такой подтип групп Active Directory создается, когда нужно открыть доступ пользователям сразу ко всем управляемым доменам. Обычно такие группы применяются для распределения уровней администрирования объектов и других групп Active Directory. Универсальное объединение объектов можно применять для разных целей.
В отдельный тип от всех выделяют «локальную группу». Такая группа создается в масштабах одного компьютера. Это нужно когда одним компьютером управляют несколько разных пользователей и каждому пользователю нужно задать собственные права.
Группы Active Directory: как создать новую
Чтобы создать новую группу в Active Directory, нужно воспользоваться графическим интерфейсом этой программы. Для того чтобы создать новую группу в Active Directory, нужно:
Откройте графический интерфейс программы и найдите в нем пункт «Пользователи и компьютеры».
Перейдите в область управления, где вы хотите создать группу и нажмите по ней правой кнопкой мыши.
Далее выберите пункт «Создать» и в нем подпункт «Группа».
Откроется окно «Новый объект-Группа», где вам нужно будет предварительно настроить группу. Здесь вы сможете задать: имя группы, область действия («локальная в домене», «глобальная», «универсальная»), основной тип группы («группа безопасности», «группа распространения»). После обозначения этих настроек нажмите «Ок».
Чтобы добавить новых членов группы, необходимо найти ее в графическом интерфейсе Active Directory. Потом кликнуть по ней двойным кликом. После этого откроются свойства этой группы. Вам нужно выбрать пункт «Члены группы» и добавить нужных вам участников.
Заключение
Группы в Active Directory нужны для того, чтобы легче было управлять всеми объектами, добавленными в программу. Благодаря тому что существуют разные типы и подтипы групп, можно настроить достаточно гибкую иерархию и систему управления объектами Active Directory. Не использовать группы в Active Directory — означает, что вы не используете возможности этой программы на 100%.
Другое