CATEGORII DOCUMENTE |
Serviciile de catalog Active Directory furnizeaza suport pentru diferite tipuri de grupuri, dar ofera si optiuni legate de domeniul de existenta al unui grup, cu alte cuvinte daca grupul se extinde pe mai multe domenii sau daca este limitat la un singur domeniu.
Dorim sa invatam sa:
q Creati si sa modificati grupuri;
q Stergeti grupuri;
q Explicati modul de mutare si localizare a obiectelor in cadrul serviciilor de catalog Active Directory.
Serviciile de catalog Active Directory asigura flexibilitatea prin furnizarea a doua tipuri de grupuri diferite: grupuri de securitate si grupuri de distributie.
Windows 2000 foloseste numai grupuri de securitate, pe care le puteti intrebuinta pentru a atribui sau a interzice drepturi si permisiuni pentru grupuri de utilizatori si calculatoare, astfel incat acestea sa poata obtine acces la resurse. Programele concepute pentru a explora serviciile de catalog Active Directory pot de asemenea sa foloseasca grupuri de securitate pentru scopuri fara legatura directa cu securitatea, cum ar fi trimiterea de mesaje e-mail catre un numar de utilizatori simultan. Un grup de securitate are toate caracteristicile unui grup de distributie. Deoarece Windows 2000 foloseste numai grupuri de securitate, capitolul de fata se va concentra asupra acestora.
Aplicatii precum Microsoft Exchange folosesc grupurile de distributie ca liste pentru functii fara legatura cu securitatea.Grupurile de distributie nu pot fi folosite ca grupuri de securitate; nu puteti folosi grupurile de distributie pentru atribuirea permisiunilor.Grupurile de distributie se folosesc cand unica functie a grupului nu are legatura cu securitatea, cum ar fi trimiterea de mesaje e-mail catre un grup de utilizatori simultan.
Daca nu intentionati sa folositi un anumit grup in scopuri de securitate, este de preferat sa folositi un grup de distributie in locul unui grup de securitate.In timpul procesului de logon, Windows 2000 creeaza un jeton(token) de acces care contine lista grupurilor de securitate carora le apartine utilizatorul. Utilizarea grupurilor de distributie in detrimentul grupurilor de securitate determina o crestere a performantelor de logon prin reducerea dimensiunii jetonului de acces.
Grupurile de distributie si de securitate au un atribut de tip domeniu de existenta. Domeniul de existenta (scope) determina cine poate fi membru al unui grup si locul unde poate fi folosit grupul respectiv in retea. Exista trei domenii de existenta a grupurilor disponibile: universal, global si local de domeniu.
Grupuri universale
Grupurile universale pot contine conturi de utilizator, grupuri globale si alte grupuri universale din orice domeniu Windows 2000 dintr-o padure. Pentru a crea grupuri de securitate cu domeniu de existenta universal, domeniul trebuie sa opereze in mod nativ.
Puteti acorda permisiuni grupurilor universale pentru toate domeniile din padure, indiferent de locatia grupului universal.
Grupuri globale
Grupurile globale, intr-un domeniu in mod nativ, pot contine conturi de utilizator si grupuri globale din domeniul in care exista grupul. Intr-un domeniu in mod combinat, acestea pot contine numai conturi de utilizator din domeniul in care exista grupul.
Puteti acorda permisiuni grupurilor globale pentru toate domeniile din padure, indiferent de locatia grupului global. Membrii unui grup global sunt limitati la domeniul acestuia, dar grupului i se pot acorda permisiuni in orice locatie a padurii.
Grupuri locale de domeniu
Grupurile locale de domeniu, intr-un domeniu in mod nativ, pot contine conturi de utilizator, grupuri globale si grupuri universale din orice domeniu al padurii, precum si grupuri locale de domeniu din acelasi domeniu. Intr-un domeniu in mod combinat, acestea pot contine conturi de utilizator si grupuri globale de domeniu.
Se pot acorda permisiuni pentru grupurile locale de domeniu numai acelor obiecte din cadrul domeniului pentru care exista grupul local de domeniu. Membrii unui grup local de domeniu se pot gasi oriunde in interiorul padurii, dar grupul poate primi permisiuni numai in interiorul domeniului in care se gaseste.
O lista de membri ai grupului universal este continuta in catalogul global. Grupurile globale si locale de domeniu se gasesc in catalogul global, dar membrii lor nu. Fiecare modificare a membrilor unui grup universal este replicata pentru toate serverele de catalog global. Prin reducerea la minimum a utilizarii grupurilor universale, se va contribui la reducerea dimensiunilor catalogului global si implicit a volumului de trafic din retea determinat de replicarea catalogului global.
Se recomanda limitarea numarului de membri ai grupurilor globale la alte grupuri, nu la conturile de utilizator. Aceasta permite modificarea conturilor de utilizator membre ale grupului universal prin modificarea grupurilor membre ale grupului universal. Deoarece acestea nu afecteaza in mod direct membrii grupului universal, nu se genereaza trafic de replicare.
Limitarea utilizarii grupurilor universale permite reducerea dimensiunii jetoanelor de acces atunci cand resursele se gasesc in domenii diferite. Daca folositi grupuri globale si locale de domeniu, jetoanele de acces contin grupurile globale si locale de domeniu aplicabile domeniului in care exista resursa. Daca folositi grupuri universale, jetonul de acces contine o lista a tuturor grupurilor universale carora le apartine utilizatorul, chiar daca grupurile universale respective nu se folosesc in domeniul respectiv.
Limitati utilizarea grupurilor universale la grupurile folosite pe larg in intreprinderea dvs. si care sunt relativ statice in ceea ce priveste modificarea membrilor.
Crearea grupurilor reduce supraincarcarea administrativa prin combaterea conturilor care necesita acces la resursele retelei intr-un singur obiect, caruia i se pot atribui drepturi si permisiuni.
Planificarea grupurilor
Strategia recomandata pentru utilizarea grupurilor globale si locale de domeniu este de a insera conturile de utilizator(accounts-A) in grupuri globale (G), apoi de a insera grupurile globale in grupurile locale de domeniu (DL) si de a atribui permisiuni de resursa (P) grupurilor locale de domeniu. Aceasta strategie (AGDLP) asigura un maxim de flexibilitate si reduce gradul de complexitate al atribuirii permisiunilor de acces la resursele de retea.
De exemplu, sa presupunem ca reteaua dvs. dispune de numeroase grupuri globale care necesita aceleasi permisiuni de acces la resursele retelei intr-un anumit domeniu. Daca introduceti toate aceste grupuri globale intr-un singur grup global de domeniu, puteti apoi atribui permisiunile adecvate pentru fiecare resursa grupului local de domeniu respectiv, iar conturile de utilizator din grupurile globale vor beneficia de permisiunile adecvate.
Daca necesitatile de permisiune pentru resurse se modifica, puteti pur si simplu modifica membrii grupului local de domeniu. Daca, pe de alta parte, atribuiti permisiuni direct grupurilor globale, va fi necesar sa modificati manual permisiunile individuale pentru toate resursele din retea.
Crearea unui grup in serviciile de catalog Active Directory
Pentru a crea un grup, deschideti instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe containerul sau unitatea de organizare adecvata, indicati spre New si apoi efectuati clic pe Group. Figura 5.4 prezinta caseta de dialog New Object-Group, iar tabelul 5.3 descrie optiunile care trebuie furnizate in caseta de dialog New-Object Group.
Tabelul 10.3 Optiunile din caseta de dialog New Object-Group
Optiune Descriere
Group Name (nume grup) Numele noului grup. Numele trebuie sa fie unic in containerul in care se creeaza
Grupul.
Group Name (Pre-Windows 2000) Numele sub care este referit grupul de calculatoare client care ruleaza versiuni de
Windows anterioare Windows 2000. Acest nume trebuie sa fie unic in cadrul do-
meniului.
Group Scope (domeniu de existenta Domeniul de existenta al grupului. Selectati dintre optiunile Local, Global sau Uni-
al grupului) versal.
Group Type (tipul grupului) Tipul grupului. Selectati intre Security (securitate) sau Distribution (distributie)
Dupa crearea unui grup, la acesta se adauga membri. Membrii grupurilor pot include conturi de utilizator, alte grupuri si calculatoare.
OBSERVATIE: Adaugati un calculator la grup pentru a oferi accesul la o resursa partajata din calculatorul respectiv(de exemplu, utilitarul de creare a copiilor de siguranta de la distanta).
Adaugarea de membri la un grup
Pentru a adauga membri la un grup, folositi instrumentul Active Directory Users And Computers. In fereastra Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe grupul la care doriti sa adaugati un membru, efectuati clic pe Properties si apoi efectuati clic pe eticheta Members. In eticheta Members, efectuati clic pe Add.
In lista Look In, selectati un domeniu din care se vor afisa conturile de utilizator si grupurile sau selectati optiunea Entire Directory(intregul catalog) pentru a vedea conturile de utilizator si grupurile din orice locatie a serviciilor de catalog Active Directory. Din aceasta lista, selectati contul de utilizator sau grupul pe care doriti sa il adaugati, dupa care efectuati clic pe butonul Add. Daca adaugati mai multe conturi de utilizator sau grupuri, puteti continua sa selectati contul sau grupul, dupa care efectuati clic pe butonul Add. Dupa ce ati terminat de adaugat conturi de utilizator sau grupuri la grupele selectate, efectuati clic pe butonul OK.
OBSERVATIE: Un cont de utilizator sau un grup pot fi adaugate la un grup si prin utilizarea etichetei Member Of din caseta de dialog Properties pentru contul de utilizator sau grupul respectiv. Aceasta metoda se foloseste pentru a adauga rapid un utilizator la un grup sau la mai multe grupuri.
Modificarea grupurilor
In afara de modificarea membrilor unui grup si de permisiunile acordate grupului respectiv, puteti modifica un grup prin schimbarea tipului si a domeniului de existenta a acestuia. De asemenea, puteti sterge grupuri atunci cand acestea nu mai sunt necesare.
Modificarea tipului de grup
Puteti modifica tipul unui grup de la securitate la distributie si invers in orice moment, atunci cand domeniul se gaseste in modul nativ. Nu puteti modifica tipul unui grup atunci cand domeniul se gaseste in modul combinat. Tipul unui grup se poate modifica din rubrica General al casetei de dialog Properties a grupului respectiv.
Modificarea domeniului de existenta al grupului
La aparitia unor modificari in retea, uneori este necesara modificarea domeniului de existenta al grupului. De exemplu, transformarea unui grup local de domeniu existent intr-un grup universal este necesara cand trebuie sa atribuiti permisiuni pentru a acorda utilizatorilor dreptul de acces la resurse situate in alte domenii. Domeniul de existenta al unui grup se modifica din rubrica General al casetei de dialog Properties a grupului respectiv.
Iata cateva aspecte importante pe care trebuie sa le retineti la modificarea domeniului de existenta a unui grup:
q Domeniul de existenta al unui grup poate fi modificat atunci cand domeniul se gaseste in modul nativ; aceasta schimbare nu este posibila daca grupul de afla in modul combinat.
q Un grup global poate fi convertit intr-un grup universal, dar numai daca grupul global convertit nu este membru al unui alt grup global.
q Un grup local de domeniu poate fi transformat intr-un grup universal, dar numai daca grupul local de domeniu pe care il convertiti nu contine un alt grup local de domeniu.
q Este imposibila modificarea domeniului de existenta a unui grup universal, deoarece toate celelalte grupuri au membri mai putini si domeniu de existenta mai putin extins decat acelea ale grupului universal.
Stergerea unui grup
Cand stergeti un grup, stergeti numai grupul si eliminati permisiunile si drepturile asociate acestuia. Stergerea unui grup nu implica si stergerea conturilor de utilizator membre ale grupului.
Fiecare grup creat are un identificator unic, care nu poate fi reutilizat, denumit identificator de securitate (SID). Windows 2000 foloseste SID pentru a identifica grupul si permisiunile atribuite acestuia. Cand stergeti un grup, Windows 2000 nu va mai folosi SID-ul grupului respectiv, chiar daca ulterior creati un grup cu acelasi nume. Ca atare, nu puteti restabili accesul la resurse printr-o noua creare a grupului.
Pentru a sterge un grup, deschideti instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe grup si apoi efectuati clic pe Delete.
Exercitii: Stergerea grupurilor
In acest exemplu, veti crea si veti adauga membri la un grup global, la un grup local de domeniu si la un grup universal.
Exercitiul 1: Crearea unui grup global si adaugarea de membri
In acest exercitiu, veti crea un grup global si veti adauga membri.
Pentru a crea un grup global intr-un domeniu
Intrati in sistem ca Administrator.
Deschideti instrumentul Active Directory Users And Computers.
In arborele de console, extindeti domain.com.
In arborele de console, efectuati clic pe Administration.
Efectuati clic cu butonul drept de mouse pe Administration, indicati spre New si apoi efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Managers in caseta Group Name.
Verificati daca optiunea Group Scope(domeniu de existenta a grupului) este setata la valoarea Global, daca optiunea Group Type(tipul grupului) este setata la valoarea Security, dupa care efectuati clic pe butonul OK.
Windows 2000 creeaza grupul si il afiseaza in ecranul cu detalii.
Pentru a adauga membri la un grup global
Efectuati clic pe Managers.
Caseta de dialog Managers Properties afiseaza proprietatile grupului.
Pentru a vizualiza membrii grupului, efectuati clic pe eticheta Members.
Acum, aceasta lista nu contine nimic.
Pentru a adauga un membru la grup, efectuati clic pe Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups(selectati utilizatori, contacte, calculatoare sau grupuri), in caseta Look In verificati daca este selectat domeniul dvs.
In lista, efectuati clic pe User One, dupa care efectuati clic pe butonul Add.
In lista, efectuati clic pe User Two, dupa care efectuati clic pe butonul Add.
Efectuati clic pe butonul OK.
Conturile de utilizator User One si User Two sunt acum membre ale grupului global Managers.
Efectuati clic pe butonul OK pentru inchide caseta de dialog Managers Properties.
Exercitiul 2: Crearea unui grup local de domeniu si adaugarea membrilor
In acest exercitiu veti crea un grup local de domeniu si ii veti adauga membri. Veti folosi grupul pentru a atribui permisiuni in vederea obtinerii accesului la o baza de date de inventar. Deoarece grupul se foloseste pentru atribuirea permisiunilor, acesta va fi un grup local de domeniu. Apoi, veti adauga membri la acest grup.
Pentru a crea un grup local de domeniu intr-un domeniu
Efectuati clic cu butonul drept de mouse pe Administration, efectuati clic pe New, dupa care efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Inventory (inventar) in caseta Group Name.
Pentru obtinerea Group Scope, efectuati clic pe optiunea Domain Local, iar pentru optiunea Group Type, confirmati selectarea valorii Security.
Efectuati clic pe butonul OK.
Windows 2000 creeaza grupul local de domeniu si il afiseaza in ecranul cu detalii.
Lasati deschisa fereastra Active Directory Users And Computers.
Pentru a adauga membri la un grup local de domeniu
Efectuati clic cu butonul drept de mouse pe Inventory si efectuati clic pe Properties.
Caseta de dialog Inventory Properties afiseaza proprietatile grupului,
Pentru a adauga un membru la grup, efectuati clic pe eticheta Members si apoi efectuati clic pe butonul Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups(selectati utilizatori, contacte, calculatoare sau grupuri), selectati optiunea Entire Directory(intreg catalogul) in caseta Look In.
Caseta de dialog Select Users, Contacts, Computers Or Groups afiseaza conturile de utilizator si grupurile din toate domeniile si afiseaza locatia fiecarui cont de utilizator sau grup sub forma domeniul Users. In cazul de fata exista un singur domeniu.
Efectuati clic pe capul de coloana Name.
Caseta de dialog Select Users, Contacts, Computers Or Groups afiseaza toate intrarile din lista, asezate in ordine alfabetica dupa nume.
Efectuati clic pe Managers.
Efectuati clic pe butonul Add, dupa care efectuati clic pe butonul OK.
In acest moment, grupul Managers este un membru al grupului local de domeniu Inventory.
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Inventory Properties.
Lasati deschisa fereastra Active Directory Users And Computers.
Exercitiul 3: Crearea unui grup universal si adaugarea membrilor
In acest exercitiu, veti crea un grup universal. Ulterior, veti determina care sunt membrii ce pot fi adaugati acestui grup.
Pentru a crea un grup universal
Efectuati clic cu butonul drept de mouse pe Administration, efectuati clic pe New, dupa care efectuati clic pe Group.
Va aparea caseta de dialog New Object-Group.
Tastati Universal1 in caseta Group Name.
Pentru optiunea Group Scope, efectuati clic pe optiunea Universal, iar pentru optiunea Group Type, confirmati selectarea valorii Security.
Efectuati clic pe butonul OK.
Windows 2000 creeaza grupul universal si il afiseaza in ecranul cu detalii.
Repetati etapele 1-4 pentru a crea un grup universal denumit Universal2.
Pentru a adauga membri intr-un grup universal
Efectuati clic cu butonul drept de mouse pe Universal1, dupa care efectuati clic pe Properties.
Va aparea caseta de dialog Universal1 Properties.
Efectuati clic pe eticheta Members, dupa care efectuati clic pe Add.
In caseta de dialog Select Users, Contacts, Computers Or Groups, selectati domeniul dvs. in caseta Look In.
In lista, efectuati clic pe Managers, dupa care efectuati clic pe Add.
Efectuati clic pe butonul OK.
Efectuati clic pe butonul OK pentru a inchide caseta de dialog Universal1 Properties.
Ati reusit sa adaugati grupul global Managers la grupul universal? De ce sau de ce nu?
Incercati sa repetati etapele 1-5 pentru a adauga grupul local de domeniu Inventory la grupul universal.
Ati avut la dispozitie grupul local de domeniu Inventory pentru a-l adauga la grupul universal? De ce sau de ce nu?
Inchideti caseta de dialog Select Users, Contacts, Computers Or Groups si caseta de dialog Universal1 Properties.
Exercitiul 4: Stergerea unui grup
In acest exercitiu, veti sterge un grup universal.
Pentru a sterge un grup universal
Efectuati clic cu butonul drept de mouse pe Universal2, dupa care efectuati clic pe Delete.
Cand vi se cere acest lucru, efectuati clic pe Yes pentru a sterge grupul numit Universal2.
Inchideti fereastra Active Directory Users And Computers.
Rezumatul lectiei
Serviciile de catalog Active Directory pun la dispozitia utilizatorului doua tipuri de grupuri: de securitate si de distributie. Grupurile de securitate se folosesc pentru a atribui sau a interzice drepturi si permisiuni unor grupuri de utilizatori de calculatoare, pentru a obtine accesul la resurse. Un grup de securitate are toate caracteristicile unui grup de distributie. Aplicatii precum Microsoft Exchange folosesc grupurile de distributie drept liste pentru functiile fara legaturi cu securitatea. Grupurile de distributie se folosesc cand unica functie a grupului nu este legata de securitate, cum ar fi trimiterea de mesaje e-mail unui grup de utilizatori simultan.
Grupurile de securitate si de distributie au un atribut legat de domeniul de existenta. Domeniul de existenta al unui grup determina cine poate fi membru al grupului si locul de utilizare a grupului respectiv in retea. Exista trei tipuri de domenii de existenta ale unui grup: universal, global si local de domeniu.
Dupa ce v-ati planificat grupurile, puteti folosi instrumentul Active Directory Users And Computers pentru crearea unui grup, adaugarea de membri la grup, modificarea tipului sau a domeniului de existenta al unui grup sau stergerea grupului. In serviciile de catalog Active Directory, puteti muta cu usurinta obiectele in interiorul structurii de domeniu si puteti localiza resursele din retea, indiferent de locatia fizica a obiectului.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 966
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved