Основы работы в сети. Часть 15. Универсальные группы и вложение групп

Опубликовано: 23 Марта, 2023

  • Основы работы в сети. Часть 11. Консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа

В предыдущей статье этой серии я познакомил вас с концепцией использования групп для управления контролем доступа к сети, а не предоставления разрешений непосредственно пользователям. Затем я объяснил, что Windows Server 2003 поддерживает несколько различных типов групп и что у каждого из этих типов групп есть свои преимущества и ограничения.

В той статье я много говорил о локальных группах, локальных группах домена и глобальных группах. Вы можете легко управлять всей своей сетью, используя только эти типы групп. Тем не менее, существует еще один тип групп, поддерживаемых Windows Server 2003; универсальные группы.

Для тех из вас, кто нашел локальные группы, локальные группы домена и глобальные группы запутанными или чрезмерно ограничивающими, универсальные группы поначалу покажутся ответом на молитвы. Универсальные группы — это, по сути, группы, на которые не распространяются ограничения, применимые к другим типам групп. Например, в предыдущей статье я упомянул, что вы не можете поместить локальную группу или локальную группу домена в другую локальную группу. Однако вы можете поместить универсальную группу в локальную группу. Правила, применимые к другим типам групп, просто неприменимы к универсальным группам.

Конечно, это поднимает вопрос, зачем вообще использовать другие типы групп, если у них есть ограничения, которые могут преодолеть универсальные группы.

Одна из причин, по которой существует так много различных типов групп, заключается в том, что Windows Server является эволюционным продуктом. Универсальные группы появились в Windows 2000 Server вместе с Active Directory. Предыдущие версии Windows Server (а именно Windows NT Server) поддерживали использование групп, но универсальные группы еще не были изобретены, когда эти версии были текущими. Когда Microsoft выпустила Windows 2000 Server, они решили продолжить поддержку других типов групп, чтобы обеспечить обратную совместимость с Windows NT. Аналогично, Windows Server 2003 также поддерживает использование устаревших типов групп по соображениям обратной совместимости.

Тот факт, что универсальных групп не существовало во времена Windows NT Server, означает, что Windows NT не поддерживает универсальные группы. Это создает небольшую проблему, если в вашем лесу есть серверы Windows NT.

Windows 2000 Server настолько сильно отличалась от Windows NT Server, что ряд новых функций работал только в сетях без контроллеров домена Windows NT Server. Чтобы обойти эту проблему, Microsoft создала концепцию собственного режима. Я буду больше говорить о основном режиме в части 17, но основная идея заключается в том, что когда Windows 2000 Server устанавливается изначально, он работает в так называемом смешанном режиме. Смешанный режим полностью обратно совместим с Windows NT, но многие функции Windows 2000 нельзя использовать, пока вы не избавитесь от контроллеров домена Windows NT и не переключитесь в основной режим. Хотя терминология немного отличается, та же основная концепция применима и к Windows Server 2003.

Универсальные группы — это одна из тех функций, которая доступна только в том случае, если ваши контроллеры домена работают в собственном режиме Windows 2000 Server или выше. Это одна из причин, по которой вы не можете использовать универсальные группы во всех ситуациях.

Даже если все ваши серверы работают под управлением Windows Server 2003, а ваш лес полностью родной, в большинстве случаев использование исключительно универсальных групп является плохой идеей.

Ранее в этой серии я познакомил вас с концепцией серверов глобального каталога. Как вы помните, серверы глобального каталога — это контроллеры домена, на которые возложена задача отслеживания каждого объекта в лесу. Как правило, каждый сайт Active Directory содержит собственную копию глобального каталога, а это означает, что при каждом обновлении глобального каталога обновленная информация должна реплицироваться на другие серверы глобального каталога.

При создании универсальной группы в глобальный каталог записываются как имя группы, так и список участников группы. Это означает, что по мере того, как вы создаете все больше и больше универсальных групп, глобальный каталог становится все более раздутым. По мере того как глобальный каталог становится больше, время, необходимое для репликации глобального каталога с одного сервера глобального каталога на другой, также увеличивается. Если оставить этот флажок неотмеченным, это может привести к проблемам с производительностью сети.

Если вам интересно, другие типы групп не так сильно загружают глобальный каталог. Например, глобальные группы перечислены в глобальном каталоге, а список их участников — нет. Таким образом, основное практическое правило Microsoft заключается в том, что можно создавать универсальные группы, но использовать их следует с осторожностью.

Групповое вложение

Одна последняя концепция, связанная с группой, которую я хочу обсудить, — это вложенность. Самый простой способ, который я могу придумать, чтобы объяснить вложенность, — это сравнить ее с русскими матрешками, такими как те, что показаны на рисунке А. Эти типы кукол сконструированы таким образом, что все они могут быть помещены друг в друга. Наименьшее переходит во второе по величине, второе по величине переходит в третье по величине и так далее. Эта идея размещения объекта внутри подобного объекта называется вложением.

Изображение 20474
Рисунок A: Русские матрешки иллюстрируют концепцию гнездования.

Существует множество различных причин вложенности групп. Одна из наиболее распространенных причин связана с согласованием ресурсов с отделами. Например, компания может начать с создания группы для каждого отдела. Они могут создать финансовую группу, группу маркетинга, группу ИТ и т. д. Затем они помещают пользователей в группу, соответствующую отделу, в котором работает пользователь.

Следующим шагом в этом процессе будет создание групп, соответствующих различным ресурсам, к которым вам необходимо предоставить доступ. Например, если вы знали, что всем в финансовом отделе потребуется доступ к бухгалтерскому приложению, вы можете создать группу, предоставляющую доступ к приложению, а затем поместить финансовую группу в эту группу. Вам не нужно вкладывать группы, но это иногда позволяет вам немного лучше организовать вещи, сохраняя при этом немного работы в процессе. Например, в предыдущем примере вам не нужно было вручную помещать отдельные учетные записи пользователей в группу для бухгалтерского приложения. Вместо этого вы просто повторно использовали группу, которая уже существовала.

Имейте в виду, что не каждая группа может быть вложена в группу любого другого типа. В таблице ниже показано, какие типы групп могут быть вложены в другие группы.

Тип группы Может быть вложен в локальный Может быть вложен в локальный домен Может быть вложен в глобальный Может быть вложен в универсальный
Местный Нет Нет Нет Нет
Локальный домен Да Да, если в том же домене Нет Нет
Глобальный Да Да Да, если в том же домене Да
Универсальный Да Да Нет Да

Таблица 1

Предостережения

Если Windows работает в смешанном режиме Windows 2000, применяются следующие ограничения:

  • Универсальные группы не могут быть созданы
  • Локальные группы домена могут содержать только глобальные группы
  • Глобальные группы не могут содержать другие группы

Вывод

В этой статье я объяснил, что иногда бывает выгодно вложить одну группу в другую группу. Затем я продолжил обсуждение, в каких ситуациях это возможно сделать.

В следующей части этой серии статей я собираюсь сделать шаг назад и рассказать о роли, которую операционная система Windows играет в сети.

  • Основы работы в сети. Часть 11. Консоль пользователей и компьютеров Active Directory
  • Основы работы в сети. Часть 12. Управление учетными записями пользователей
  • Основы работы в сети. Часть 13. Создание групп
  • Основы работы в сети. Часть 14. Группы безопасности
  • Основы работы в сети: Часть 16. Роль операционной системы Windows в сети
  • Основы работы в сети. Часть 17. Модель OSI
  • Основы работы в сети. Часть 18. Совместное использование ресурсов
  • Основы работы в сети. Часть 19. Разрешения на уровне общего доступа
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023