Управление службой каталогов Active Directory
Советы по управлению Вашим каталогом
- По возможности используйте организационные подразделения (OU) вместо доменов.
- Следите за Вашими политиками. К разным OU могут быть применены разные политики, что может привести к неожиданным результатам. Обратите внимание, что к любому пользователю может применяться множество политик.
- Используйте сценарии для добавления большого числа пользователей.
- Старайтесь отключать учетные записи вместо того, чтобы удалять их. Эта мера безопасности не позволит определенному пользователю выполнить вход в систему.
- Области действия групп представлены в следующей таблице.
Универсальная область Глобальная область Локальная доменная область В доменах, работающих в основном режиме, эти группы могут включать следующие элементы из любого домена: учетные записи членов домена, глобальные и универсальные группы. В доменах, работающих в основном режиме, в состав этих групп могут входить учетные записи членов этого же домена и глобальные группы из этого же домена. В доменах, работающих в основном режиме, членами этих групп могут являться глобальные и универсальные группы из любого домена, а также локальные доменные группы из этого же домена. В доменах, работающих в смешанном режиме, нельзя создать группу безопасности с универсальной областью действия. В доменах, работающих в смешанном режиме, членами этих групп могут являться учетные записи из этого же домена. В доменах, работающих в смешанном режиме, членами этих групп могут являться учетных записи и глобальные группы из любого домена. Группы могут входить в состав других групп (когда домен работает в основном режиме), разрешения для них могут устанавливаться в любом домене. Группы могут входить в состав других групп, разрешения для них могут устанавливаться в любом домене. Группы могут входить в состав других локальных доменных групп, разрешения для них могут устанавливаться только в том же домене. Не может быть преобразована в группу с другой областью действия. Может быть преобразована в группу с универсальной областью действия, если только не является членом другой группы с глобальной областью действия. Может быть преобразована в группу с универсальной областью действия, если только в ее состав не входит другая группа с локальной доменной областью действия. - Типы групп.
В Windows 2000 существует два типа групп:
- группы безопасности;
- группы распространения.
Группы безопасности указываются в списках разграничительного контроля доступа (discretionary access control list, DACL), которые устанавливают разрешения на доступ к ресурсам и объектам. Группы безопасности могут также использоваться при адресации электронной почты. При отправке сообщения такой группе сообщение отправляется всем членам этой группы.
Группы распространения не используются в целях безопасности. Они не могут быть указаны в списках DACL. Группы распространения могут использоваться только в почтовых приложениях (таких как Exchange) для отправки электронных сообщений определенному кругу пользователей. Если Вы не намерены использовать группу в целях управления безопасностью, создайте группу распространения вместо группы безопасности.