Иллюстрированный самоучитель по администрированию Windows 2000/2003

Управление службой каталогов Active Directory

Советы по управлению Вашим каталогом

  • По возможности используйте организационные подразделения (OU) вместо доменов.
  • Следите за Вашими политиками. К разным OU могут быть применены разные политики, что может привести к неожиданным результатам. Обратите внимание, что к любому пользователю может применяться множество политик.
  • Используйте сценарии для добавления большого числа пользователей.
  • Старайтесь отключать учетные записи вместо того, чтобы удалять их. Эта мера безопасности не позволит определенному пользователю выполнить вход в систему.
  • Области действия групп представлены в следующей таблице.
    Универсальная область Глобальная область Локальная доменная область
    В доменах, работающих в основном режиме, эти группы могут включать следующие элементы из любого домена: учетные записи членов домена, глобальные и универсальные группы. В доменах, работающих в основном режиме, в состав этих групп могут входить учетные записи членов этого же домена и глобальные группы из этого же домена. В доменах, работающих в основном режиме, членами этих групп могут являться глобальные и универсальные группы из любого домена, а также локальные доменные группы из этого же домена.
    В доменах, работающих в смешанном режиме, нельзя создать группу безопасности с универсальной областью действия. В доменах, работающих в смешанном режиме, членами этих групп могут являться учетные записи из этого же домена. В доменах, работающих в смешанном режиме, членами этих групп могут являться учетных записи и глобальные группы из любого домена.
    Группы могут входить в состав других групп (когда домен работает в основном режиме), разрешения для них могут устанавливаться в любом домене. Группы могут входить в состав других групп, разрешения для них могут устанавливаться в любом домене. Группы могут входить в состав других локальных доменных групп, разрешения для них могут устанавливаться только в том же домене.
    Не может быть преобразована в группу с другой областью действия. Может быть преобразована в группу с универсальной областью действия, если только не является членом другой группы с глобальной областью действия. Может быть преобразована в группу с универсальной областью действия, если только в ее состав не входит другая группа с локальной доменной областью действия.
  • Типы групп.

    В Windows 2000 существует два типа групп:

    • группы безопасности;
    • группы распространения.

Группы безопасности указываются в списках разграничительного контроля доступа (discretionary access control list, DACL), которые устанавливают разрешения на доступ к ресурсам и объектам. Группы безопасности могут также использоваться при адресации электронной почты. При отправке сообщения такой группе сообщение отправляется всем членам этой группы.

Группы распространения не используются в целях безопасности. Они не могут быть указаны в списках DACL. Группы распространения могут использоваться только в почтовых приложениях (таких как Exchange) для отправки электронных сообщений определенному кругу пользователей. Если Вы не намерены использовать группу в целях управления безопасностью, создайте группу распространения вместо группы безопасности.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.