Рекомендации по именованию групп
Настройка групп как шаблоны прав доступа. Часть 2
Стратегии использования групп
Наверное, от всех этих перечислений, какая группа может входить в состав другой группы и каковы возможные варианты доступа к объектам доменов, у вас в голове некоторый туман. Непонимание этого может привести ко всё возрастающему хаосу в домене.
Поэтому неплохо ознакомится со следующими стратегиями использования групп. Эти стратегии разработаны для того, чтобы по возможности облегчить работу администраторов, и чтобы при этом вся конфигурация получилась как можно более простой и понятной.
Обозначения
Для единообразия будем следовать обозначениям объектов, принятым в англоязычной литературе:
· А учётные записи пользователей (user Accounts).
· G глобальные группы (Global groups).
· DL локальные доменные группы (Domain Local groups).
· U универсальные группы (Universal groups).
· Р право доступа (Permission).
Самая распространенная стратегия
(стратегия A G DL Р)
Эту стратегию можно обозначить как A G DL Р. Это означает, что учётные записи пользователей являются членами глобальной группы, а для локальной доменной группы настроены права доступа к ресурсу (например, к папке с файлами). Чтобы пользователи получили доступ к этому ресурсу, остаётся сделать только одно — включить глобальную группу в локальную доменную группу.
Весь этот процесс можно проще изобразить следующим образом:
|
|
|
А > G > DL < Р
Для примера используем эту стратегию в нашем домене study .local. Пусть пользователям из торгового отдела требуется доступ к папке «Договоры». Если мы будем придерживаться правила, что разрешение на доступ даётся не отдельными пользователям, а только группам, то порядок наших действий будет таким:
1. Создание глобальной группы безопасности.
2. Включение учётных записей продавцов в эту группу.
3. Создание локальной доменной группы безопасности.
4. Настройка разрешений на доступ к папке «Договоры» для этой локальной группы.
5. Включение глобальной группы в локальную доменную группу.
Может показаться, что проще было бы провести конфигурацию иначе, например, что локальная доменная группа в этой структуре не нужна. Рассмотрим три наиболее частых заблуждения.
МНЕНИЕ 1: ГРУППЫ НЕ НУЖНЫ, СЛЕДУЕТ ПРЯМО РАЗРЕШИТЬ ДОСТУП ПОЛЬЗОВАТЕЛЯМ ЧЕРЕЗ ИХ УЧЕТНЫЕ ЗАПИСИ. Как было сказано ранее, эту стратегию можно использовать только в очень небольших сетях, конфигурацию которых администратор постоянно держит в уме. Как только сеть достигнет определённой величины, это станет невозможно.
МНЕНИЕ 2: ЛОКАЛЬНАЯ ДОМЕННАЯ ГРУППА ЛИШНЯЯ, СЛЕДУЕТ ДАТЬ РАЗРЕШЕНИЕ НА ДОСТУП СРАЗУ ГЛОБАЛЬНОЙ ГРУППЕ. Речь идёт о возможности выбросить группу DL. Эту стратегию можно использовать только в небольших сетях, где заранее известно, что новых доменов Active Directory не появится.
|
|
|
Посмотрим, чем грозит такая стратегия, когда появляется новый домен. Пусть предприятие Study открыло филиал и создало для него ещё один домен (например, eu. study. local). Так же, как и в домене study. local, в домене eu . study . local будут находиться учётные записи продавцов, которым нужен доступ к папке «Договоры». Если объединить их в глобальную группу и предоставить доступ ей, то на вкладке Безопасность в свойствах папки «Договоры» появится второй субъект доступа — эта глобальная группа. Еще один домен — еще один субъект доступа и так далее, до полного хаоса и неуправляемости.
МНЕНИЕ 3: У МЕНЯ ВСЕГО ОДИН ПОЛЬЗОВАТЕЛЬ, КОТОРОМУ НУЖНО РАЗРЕШИТЬ ДОСТУП К КОНКРЕТНОЙ ПАПКЕ. СОЗДАВАТЬ РАДИ ЭТОГО ЕЩЁ ДВЕ ГРУППЫ НЕ ИМЕЕТ СМЫСЛА. Действительно, настроить разрешения для единственного пользователя значительно быстрее. Но что если пользователь с такими требованиями не останется единственным? Второго и третьего добавить вручную еще можно, но рано или поздно придется перестраивать всю схему безопасности данного ресурса, стараясь при этом не помешать работе уже существующих пользователей. Нет, если с самого начала поступать правильно, то потом работы будет существенно меньше.
|
|
|
Альтернативные стратегии
Стратегия AGP
Эта стратегия соответствует приведённому выше мнению 2. Стратегию А>G<Р рекомендуется использовать только в очень небольших сетях и только исходя из того, что в Active Directory никогда не будет более одного домена. В противном случае вся система рухнет.
Стратегия A G U DL Р
В этой стратегии впервые будет применена универсальная группа. На первый взгляд универсальные группы кажутся очень удобными, поскольку у них есть масса преимуществ, но нет недостатков локальной и глобальной групп. Чаще всего они помогают упростить схему сети.
Сеть с одним доменом Active Directory, однако, никогда не является настолько сложной, чтобы обязательно было использовать этот тип групп. Универсальные группы устанавливаются там, где доменов несколько.
Однако по сравнению с доменной и глобальной группой универсальные группы отличаются по одному важному параметру, а именно — местом, в котором сосредоточена вся информация о том, кто является членом данной группы. В двух предыдущих типах групп сведения о членстве хранятся на всех контроллерах домена, в котором созданы группы, а членство в универсальной группе зарегистрировано на серверах глобального каталога леса Active Directory.
|
|
|
Если изменится состав, скажем, локальной доменной группы, сведения об изменении будут скопированы на все контроллеры домена. Если же произойдёт изменение состава универсальной группы, сведения об изменении будут распространяться среди серверов глобального каталога, которые могут находиться (как рекомендуется) в каждом домене. Таким образом, локальная сеть будет перегружена передачей данных между серверами глобального каталога, что отрицательно скажется на работе всех клиентов сети.
Универсальные группы именно поэтому используются нечасто, и только в случаях, когда действительно нужно упростить всю систему. В нашей однодоменной сети мы, естественно, с ними работать не будем.
Стратегия A G L Р
Здесь L — это локальная группа, а не локальная доменная. Эта стратегия рекомендуется для доменов с системой Windows NT 4.0 Server, в которых локальных доменных групп не существует.
Слабые места этого решения в современном домене Active Directory очевидны. Локальными группами нельзя управлять централизованно. Чем больше таких групп, тем ближе сеть к хаосу. Другой недостаток локальных групп — невозможность получить через членство в них доступ к ресурсам на удаленном компьютере.
Если бы, например, у вас на одном компьютере была бы локальная группа с разрешением на доступ к папке «Договоры», а на другом компьютере находились бы остальные папки торгового отдела, вам пришлось бы создать ещё одну локальную группу (на втором компьютере) и настроить разрешения для нее. По сравнению со стратегией A G DL Р, где вам не нужно создавать ещё одну дополнительную группу, здесь необходимо выполнить больший объём работ.
Управление группами
Предположим, что далее мы в нашей сети будем руководствоваться стратегией А -> G -» DL <— Р, тогда начинает вырисовываться структура групп. Ещё не ясно, сколько локальных доменных групп нужно будет создать, поскольку это зависит от количества общих папок, принтеров, требований к разграничению доступа и т.п. Но количество глобальных групп примерно ясно. Учитывая, что их основным назначением является группировка пользователей с одинаковыми требованиями, можно предположить, что за основу будет взята схема, где каждому подразделению соответствует своя глобальная группа:
· Дирекция.
· Торговый отдел.
· Маркетинг.
· Склад.
· IT.
· Контрактники.
Несмотря на то, что в компании в каждый момент времени работает не более одного контрактника, в соответствии с выбранной стратегией мы создадим для него отдельную группу. Положение, при котором контрактник всегда будет один, может измениться в любой момент, а мы к этому уже будем готовы.
Рекомендации по именованию групп
Имена групп в домене Active Directory должны быть достаточно описательными, содержательными и простыми. Учитывая, что иногда все три
условия могут казаться невыполнимыми, можно составлять названия групп согласно следующим правилам:
· Используйте английский язык.
· В качестве первой буквы названия используйте букву, указывающую на тип группы (G, D или U). Тип группы можно увидеть в настройке Active Directory — пользователи и компьютеры, и всё-таки лучше будет обозначить его ешё и в имени группы.
· В названии глобальной группы приведите название подразделения, для которого вы эту группу создаёте. Например, Shop, Marketing, Store, Managers и т.д..
· В названии локальной доменной группы приведите назначение группы, по возможности — разрешения на доступ. Поскольку локальные доменные группы используются для настройки прав доступа к различным ресурсам, следует отразить это в названии группы.
В качестве примера названия локальной доменной группы, которая будет давать доступ к печати на принтере, можнб привести название D Printers. Примером названия глобальной группы для контрактников будет G Temporary, а локальной доменной группы, дающей группе администраторов полный доступ к какой-либо папке, — D Admins Full Control.
Дата добавления: 2021-01-21; просмотров: 51; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!