Основы работы в сети. Часть 14. Группы безопасности

Опубликовано: 23 Марта, 2023

  • Основы работы в сети. Часть 11. Консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа

В предыдущей статье я показал вам, как создавать группы безопасности в Windows Server 2003. Когда я показывал вам этот процесс, вы, возможно, заметили, что Windows позволяет вам создавать несколько различных типов групп, как показано на рисунке A. Как вы могли догадаться, у каждого из этих типов групп есть определенная цель. В этой статье я объясню, для чего используется каждый тип группы.

Изображение 20479
Рисунок A: Windows позволяет создавать несколько различных типов групп

Если вы посмотрите на диалоговое окно, показанное выше, вы заметите, что в области Group Scope вы можете создать локальную, глобальную или универсальную группу домена. Существует также четвертый тип группы, который здесь не показан, он просто называется локальной группой.

Местные группы

Локальные группы — это группы, относящиеся к отдельному компьютеру. Как вы уже знаете, локальные компьютеры могут содержать учетные записи пользователей, которые полностью отделены от тех учетных записей, которые принадлежат домену, к которому подключен компьютер. Они известны как локальные учетные записи пользователей и доступны только с компьютера, на котором они находятся. Кроме того, локальные учетные записи пользователей могут существовать только на рабочих станциях и на рядовых серверах. Контроллеры домена не допускают существования локальных учетных записей пользователей.

Имея это в виду, неудивительно, что локальные группы — это просто группы, относящиеся к определенному рядовому серверу или рабочей станции. Локальная группа часто используется для управления локальными учетными записями пользователей. Например, локальная группа «Администраторы» позволяет указать, какие пользователи являются администраторами локального компьютера.

Хотя локальная группа может использоваться только для защиты ресурсов, находящихся на локальном компьютере, это не означает, что членство в группе должно быть ограничено локальными пользователями. Хотя локальная группа может содержать и обычно содержит локальных пользователей, она также может содержать пользователей домена. Кроме того, локальные группы могут также содержать другие группы, находящиеся на уровне домена. Например, вы можете сделать универсальную группу членом локальной группы, и участники универсальной группы, по сути, станут членами локальной группы. Фактически локальная группа может содержать локальных пользователей, пользователей домена, локальные группы домена, глобальные группы и универсальные группы.

Однако есть два предостережения, о которых вам нужно знать. Во-первых, как вы могли заметить, локальная группа не может содержать другую локальную группу. Казалось бы, вы должны уметь перекидывать одну группу в другую, но не можете. Кто-то из Microsoft как-то сказал мне, что причина этого в том, чтобы предотвратить ситуацию, в которой две локальные группы становятся членами друг друга.

Еще одно предостережение, о котором вам нужно знать, заключается в том, что локальные группы могут содержать только пользователей домена и группы уровня домена, если компьютер, содержащий локальную группу, является членом домена. В противном случае локальные группы могут содержать только локальных пользователей.

Локальные группы домена

Учитывая то, что вы только что узнали о локальных группах, идея локальной группы домена, вероятно, звучит противоречиво. Однако причина, по которой существуют локальные группы домена, заключается в том, что контроллеры домена не содержат базу данных локальных учетных записей. Это означает, что на контроллере домена нет таких вещей, как локальные пользователи или локальные группы. Тем не менее, контроллеры домена имеют локальные ресурсы, которыми необходимо управлять. Здесь в игру вступают локальные группы домена.

Когда вы устанавливаете Windows Server 2003 на компьютер, машина обычно начинает свою жизнь либо как автономный сервер, либо как рядовой сервер. В любом случае в процессе установки создаются локальные учетные записи пользователей и локальные группы. Теперь предположим, что вы хотите преобразовать машину в контроллер домена. Когда вы запускаете DCPROMO, локальные группы и локальные учетные записи пользователей преобразуются в локальные группы домена и учетные записи пользователей домена.

Важно помнить, что все контроллеры домена в домене имеют общую базу данных учетных записей пользователей. Это означает, что если вы добавите пользователя в локальную группу домена на одном контроллере домена, пользователь будет членом этой локальной группы домена на каждом контроллере домена во всем домене.

Самое важное, что нужно помнить о локальных группах домена, это то, что существует два разных типа. Как я уже упоминал, при запуске DCPROMO локальные группы преобразуются в локальные группы домена. Любые локальные группы домена, созданные при запуске DCPROMO, помещаются в папку Builtin в консоли Active Directory Users and Computers, как показано на рисунке B.

Изображение 20480
Рисунок B: Локальные группы домена, созданные DCPROMO, находятся в контейнере Builtin.

Причина, по которой это важно знать, заключается в том, что существуют некоторые ограничения, наложенные на эти конкретные локальные группы домена. Эти группы нельзя перемещать или удалять. Аналогично, если вы не можете сделать эти группы членами других локальных групп домена.

Однако эти ограничения не применяются к локальным группам домена, которые вы создаете. Локальные группы домена, которые вы создаете, обычно начинают свою жизнь в контейнере «Пользователи». Оттуда вы можете свободно перемещать или удалять их по своему усмотрению.

Должен быть совершенно откровенен и сказать вам, что за все годы работы с Windows Server я так и не нашел веских аргументов в пользу создания локальных групп домена. Фактически локальные группы домена в основном идентичны глобальным группам, за исключением того, что они ограничены отдельным доменом.

Глобальные группы

Глобальные группы на сегодняшний день являются наиболее часто используемым типом групп. В большинстве случаев глобальная группа действует просто как набор учетных записей пользователей Active Directory. Что интересно в глобальных группах, так это то, что их можно помещать друг в друга. Вы можете сделать одну глобальную группу членом другой глобальной группы, если обе глобальные группы существуют в одном домене.

Имейте в виду, что глобальные группы могут содержать только ресурсы Active Directory. Вы не можете поместить локальную учетную запись пользователя или локальную группу в глобальную группу. Однако вы можете добавить глобальную группу в локальную группу. На самом деле, это самый распространенный способ предоставления пользователям домена разрешений на ресурсы, хранящиеся на локальном компьютере. Например, предположим, что вы хотите предоставить менеджерам вашей компании административные права на их рабочие станции (не то чтобы я рекомендовал это делать, это просто пример). Для этого вы можете создать глобальную группу под названием «Менеджеры» и поместить в нее каждую учетную запись пользователя домена менеджера. Затем вы можете добавить группу «Менеджеры» в локальную группу «Администраторы» рабочей станции, тем самым сделав менеджеров администраторами на этих рабочих станциях.

Вывод

В этой статье я объяснил, что Windows поддерживает использование четырех различных типов групп безопасности. До сих пор я объяснял различия между локальными, доменными локальными и глобальными группами. В следующей части этой серии статей я продолжу обсуждение, обсуждая универсальные группы. Затем я перейду к обсуждению концепции группового вложения.

 

  • Основы работы в сети. Часть 1. Сетевое оборудование
  • Основы работы в сети. Часть 2. Маршрутизаторы.
  • Основы работы в сети: часть 3 — DNS-серверы
  • Основы работы в сети. Часть 4. Рабочие станции и серверы
  • Основы работы в сети: Часть 5 — Контроллеры домена
  • Основы работы в сети: Часть 6 — Домен Windows
  • Основы работы в сети. Часть 7. Введение в роли FSMO
  • Основы работы в сети. Часть 8. Роли FSMO (продолжение)
  • Основы работы в сети. Часть 9. Информация об Active Directory
  • Основы работы в сети. Часть 10. Отличительные имена
  • Основы работы в сети. Часть 11. Консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 15. Универсальные группы и вложение групп
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023