Стратегия администрирования домена с использованием глобальных групп

При использовании модели домена в сети пользователи регистрируются в системе и работают с использованием своих персональных глобальных учетных записей. Это позволяет пользователю выполнять регистрацию на любом компьютере домена. Глобальные учетные записи хранятся и администрируются централизованно на контроллере домена. При этом локальные учетные записи пользователей и групп существуют в локальных базах учетных записей и так же выполняют важную роль в системе безопасности. Обычно именно локальным учетным записям даются разрешения на доступ к ресурсам и права, хотя можно предоставлять права доступа для глобальных учетных записей.

Рис. 2.2. Стратегия администрирования с использованием глобальных групп

Пользователи домена могут (и должны) объединяться администратором в глобальные группы по какому либо общему признаку, например возможности работать за определенным компьютером, или иметь доступ к определенному сетевому принтеру. Самым простым примером такого объединения является объединение всех пользователей домена в глобальную группу «Domain users» по умолчанию. В дальнейшем, при подключении к домену нового компьютера глобальная группа «Domain users» включается в локальную группу «Пользователи» этого нового компьютера, причем автоматически, по умолчанию. Именно это обеспечивает возможность регистрации (входа) на этом компьютере всех пользователей домена (а точнее тех, кто входит в группу «Domain users»). Другим примером использования глобальных групп является объединение всех пользователей, которым необходимо иметь административный доступ компьютерам класса, в глобальную группу «Classadmin» (создается администратором домена), и последующим включением этой глобальной группы в локальную группу «Администраторы» всех рабочих станций класса.

Помимо разграничения уровня доступа к компьютерам домена глобальные группы могут объединять пользователей для организации их совместного доступа ресурсу, например папке на компьютере. В этом случае можно непосредственно дать права на доступ к этой папке глобальной группе, однако более грамотным будет следующий подход. Сначала создается локальная группа, которой дается право доступа к ресурсу, затем в эту локальную группу включается глобальная группа. Это можно представить в виде схемы (рис. 2.2).

В общем, полезно знать следующие простые правила:

1. Глобального пользователя или группу можно включить в локальную группу.

2. Локального пользователя или группу в глобальную группу включить нельзя.

3. Локальная группа не может быть членом другой локальной группы.

4. Глобальная группа не может быть членом другой глобальной группы.

5. Права на доступ к ресурсам могут определяться как для локальных, так и для глобальных пользователей и групп.