Czym jest grupa w usłudze ActiveDirectory? Tworzenie, modyfikacja i zarządzanie.
Grupa jest zbiorem kont użytkowników, komputerów i innych grup, który może być zarządzany, jako pojedynczy element. Użytkownicy i komputery należący do danej grupy są nazywani członkami grupy. Ten mechanizm zarządzania użytkownikami jest kluczowy przy administracji systemami Windows z rodziny Serwer. Dlatego poznanie go jest elementem niezbędnym by należycie zarządzać usługą Acive Directory a więc do dzieła.
Grupy dzielą się na wbudowane - są tworzone automatycznie podczas instalacji systemu i charakteryzują się tym, że nie można ich usuwać, oraz tworzone przez uprawnionych użytkowników już w zainstalowanym systemie. Grupy możemy podzielić jeszcze w jeden sposób a mianowicie - na grupy lokalne i grupy domenowe. Te pierwsze mogą być tworzone na osobnych komputerach nie podłączonych do sieci, komputerach wchodzących w skład grupy roboczej, lub komputerach należących do domeny, lecz nie będącej jej kontrolerami. Mogą one zawierać tylko konta użytkowników lokalnych danego komputera. Grupy domenowe mogą być tworzone tylko na kontrolerach domeny i zawierać konta użytkowników domenowych a nawet inne grupy domenowe.
Grupy lokalne
Do grup lokalnych stosuje się następujące reguły:
grup lokalnych używa się do nadawania uprawnień tylko do lokalnych zasobów i operacji na danym komputerze
grupy lokalne są umiejscowione w bazie SAM - lokalnej bazie kont komputera
do grupy lokalnej mogą należeć tylko konta użytkowników lokalnych, nie mogą do niej należeć konta użytkowników domenowych
grupa lokalna nie może być elementem żadnej innej grupy
grupy lokalne mogą być tworzone tylko przez członków grupy Administratorzy (Administrators) lub Operatorzy Kont (Account Operators)
Grupy te są widoczne w oknie programu Computer Management - Zarządzanie komputerem w pod folderze Grupy folderu Użytkownicy i grupy lokalne. Przystawkę tę można również wywołać wydając polecenie lusrmgr.msc Istnieje kilka wbudowanych grupy lokalnych, niektóre z nich to: Administratorzy (Administrators), Użytkownicy (Users), Użytkownicy o Rozszerzonych Uprawnieniach (Power Users), Operatorzy Kopii Zapasowych (Backup Operators), Operatorzy drukarek (Print Operators). Użytkownicy z tych grup mają przydzielone standardowe uprawnienia, opisane poniżej.
Członkowie grupy Administratorzy mają pełne prawa do wszystkich zasobów i operacji na lokalnym komputerze. Administratorzy mogą tworzyć, usuwać oraz modyfikować konta wszystkich użytkowników i grup. Mogą również nadawać uprawnienia do wszystkich zasobów komputera. Inne prawa, jakie posiada ta grupa to:
instalacja systemu operacyjnego oraz jego komponentów uwzględniając sterowniki, urządzenia sprzętowe, usługi systemowe itd.
instalacja pakietów Service Pack oraz łat hot fix.
naprawa systemu operacyjnego.
przejmowanie własności obiektów.
Członkowie grupy Użytkownicy mogą uruchamiać aplikacje, używać lokalnych i sieciowych drukarek, zamykać i blokować system, nie mogą natomiast zarządzać użytkownikami i grupami, udostępniać folderów, ani dodawać drukarek lokalnych.
Członkowie grupy Operatorzy Kopii Zapasowych mogą wykonywać kopie zapasowe folderów i odtwarzać foldery z tych kopii, niezależnie od praw dostępu do folderów i umieszczonych w nich plików. Mogą również logować się do lokalnych komputerów i zamykać system, ale nie mogą zmieniać ustawień mających związek z bezpieczeństwem.
Członkowie grupy Czytelnicy dzienników zdarzeń mogą odczytywać dzienniki zdarzeń z komputera lokalnego.
Członkowie grupy Goście mają domyślnie takie same prawa dostępu jak członkowie grupy Użytkownicy, z wyjątkiem konta Gość, które jest objęte dodatkowymi ograniczeniami.
Członkowie grupy Operatorzy konfiguracji sieci. Członkowie tej grupy mogą mieć niektóre uprawnienia administracyjne w celu zarządzania konfiguracją funkcji sieciowych.Użytkownik standardowy może tworzyć nowe połączenia sieciowe, ale może je zapisywać wyłącznie na własny użytek. Aby umożliwić komuś wykonywanie zadań konfiguracji, a jednocześnie nie udzielać mu uprawnień administratora, wystarczy dodać go do grupy Operatorzy konfiguracji sieci.
Członkowie grupy Operatorzy kopii zapasowych czyli użytkownicy należący do tej grupy mogą tworzyć i odtwarzać kopie zapasowe niezależnie od posiadanych uprawnień do plików i folderów. Grupa ta powinna zawierać wyłącznie konta osób odpowiedzialnych za wykonywanie kopii zapasowych.
Członkowie grupy Operatorzy kryptograficzni. Członkowie mają autoryzację do wykonywania operacji kryptograficznych.
Członkowie grupy Użytkownicy dzienników wydajności. Członkowie tej grupy mogą planować rejestrowanie liczników wydajności, włączać dostawców śledzenia i zbierać wyniki śledzenia zdarzeń, zarówno lokalnie, jak i za pomocą dostępu zdalnego do tego komputera. Użytkownicy kont z grup zwykłych użytkowników mogą: otwierać raporty wydajności i zmieniać ustawienia wyświetlania w trakcie przeglądania historycznych danych w Monitorze wydajności oraz używać Monitora niezawodności natomiast Użytkownicy dzienników wydajności mogą korzystać z uprawnień analogicznie do grupy użytkowników oraz przeglądać dane Monitora wydajności w czasie rzeczywistym i zmieniać sposób ich wyświetlania.
Użytkownicy DCOM - członkowie tej grupy mogą uruchamiać obiekty Distributed COM (DCOM), uaktywniać je i korzystać z nich.
IIS_IUSRS - członkowie tej grupy mogą pracować ze zdalnym serwerem Internet Information Server.
Replikator. Członkowie grupy Replikator mogą obsługiwać replikację plików w domenie, stacji roboczej lub serwerze.
Członkowie grupy Użytkownicy monitora wydajności. Członkowie tej grupy mogą zdalnie i lokalnie uzyskiwać dostęp do danych liczników wydajności.
Grupa Użytkownicy zaawansowani posiada mniejsze prawa do systemu niż grupa Administratorzy, ale większe niż grupa Użytkownicy. Domyślnie członkowie tej grupy posiadają uprawnienia odczytu i zapisu do większości katalogów systemu operacyjnego. Użytkownicy zaawansowani mogą wykonywać wiele operacji konfigurujących system takich jak zmiana czasu systemowego, ustawień wyświetlania, tworzenie kont użytkowników i udostępnianie zasobów. Osoby należące do grupy Użytkownicy zaawansowani mogą instalować większość oprogramowania, jednakże może dojść do sytuacji, kiedy uprawnienia tej grupy będą niewystarczające. Nie mogą natomiast modyfikować grup Administratorzy i Operatorzy Kopii Zapasowych, oraz tworzyć kopii zapasowych folderów i odtwarzać folderów z kopii zapasowych
Członkowie grupy Użytkownicy pulpitu zdalnego, uużytkownicy kont należących do tej grupy mogą logować się zdalnie.
Wbudowanych grup lokalnych nie można usuwać - próba usunięcia takiej grupy powoduje wypisanie komunikatu o błędzie.
Grupy domenowe
Grupy w Active Directory Domain Services (AD DS) są obiektami katalogu. Grupy możemy przyporządkować do domeny a także do dowolnej jednostki organizacyjnej. Po instalacji AD DS zostaje utworzony zbiór grup domyślnych ale nic nie stoi na przeszkodzie aby utworzyć sobie własne grupy.
Głównymi aspektami przemawiającymi za stosowaniem zasad grupy jest:
uproszczenie administracji dzięki zgrupowaniu kont, którym chcemy przydzielić takie same prawa np. dostęp do katalogu, podaną operację wykonujemy tylko raz, omijamy w ten sposób czynność związaną z przypisywaniem uprawnień indywidualnym użytkownikom. Takie nadanie uprawnień daje taki sam dostęp do zasobu dla wszystkich członków grupy. Czyli mówiąc wprost po co nadawać uprawnienia poszczególnym użytkownikom jak można je nadać grupie i następnie do grupy dodać poszczególnych użytkowników,
nowi członkowie dodawani do grupy, której przydzielono określone uprawnienia uzyskują takie same prawa jak grupa,
tworzenie list dystrybucyjnych poczty elektronicznej.
Grupy tworzone na kontrolerach domeny nazywane są grupami domenowymi i stosują się do nich następujące reguły:
Grup domenowych używa się do nadawania praw dostępu do zasobów i operacji na dowolnym komputerze należącym do domeny
Informacja a o grupach domenowych umiejscowiona jest w bazie Active Directory
Grupy domenowe dzielone są ze względu na typ - grupy bezpieczeństwa i grupy dystrybucyjne, oraz ze względu na zakres, zasięg (scope) - lokalne grupy domenowe, globalne grupy domenowe i uniwersalne grupy domenowe
Zasoby, do których nadawane są prawa grupom domenowym, nie muszą znajdować się na kontrolerze domeny, lecz mogą być umiejscowione na dowolnym komputerze należącym do tej domeny
Oprócz wymienionych wyżej rodzajów grup domenowych istnieją jeszcze tak zwane grupy specjalne. Do grup tych użytkownicy nie są przypisywani przez administratora lub innego uprawnionego użytkownika, lecz należą do nich domyślnie, lub stają się ich członkami poprzez wykonywanie określonych operacji. Np. z chwilą poprawnego zalogowania do domeny, użytkownik staje się członkiem grupy specjalnej Uwierzytelnieni użytkownicy (Authenticated Users). Przykłady innych grup specjalnych to Everyone i Domain Users. Grupy specjalne nie są widoczne w oknie programu Active Directory Users and Computers. Można im nadawać uprawnienia do zasobów, nie można natomiast zmieniać ani odczytywać przynależności użytkowników do grup specjalnych.
Grupy domyślne
Grupy domyślne są predefiniowanymi grupami zabezpieczeń tworzonymi automatycznie podczas instalacji domeny Active Directory. Grupom tym na starcie określono zestaw praw i przywilejów dzięki temu członkowie tych grup mogą wykonywać czynności związane z administracją domeny.
Rysunek 1 Grupy domyślne
Dodanie użytkownika do grupy powoduje uzyskanie przez niego:
wszystkich praw przypisanych do grupy
wszystkich uprawnień, która grupa ma nadane do współdzielonych zasobów
Grupy domyślne znajdują się w dwóch lokalizacjach a mianowicie w kontenerze Builtin (zasięg lokalnej domeny nie może być zmieniony ani typ grupy), druga lokalizacja to kontener Users (zasięg części grup globalny a części lokalny w domenie, można zmienić ich lokalizację przenosząc do innych jednostek organizacyjnych ale tylko w obrębie domeny).
Grupy w kontenerze Builtin
(http://technet.microsoft.com/pl-pl/library/cc756898%28v=ws.10%29.aspx)
Grupa |
Opis |
Domyślne prawa w systemie |
Account Operator - Operatorzy kont |
Członkowie tej grupy mogą tworzyć, modyfikować i usuwać konta użytkowników, grup, i komputerów znajdujących się w kontenerach Users, Computers i innych jednostkach organizacyjnych z wyłączeniem jednostki Domain Controllers. Członkowie tej grupy nie mają uprawnień do do modyfikowania grup Administrators i Domain Admin oraz nie mogą usuwać kont będącymi członkami tych grup. Mogą logować się lokalnie do kontrolerów domeny i mogą je wyłączać. Ponieważ grupa ta posiada znaczne możliwości należy dodawać do niej tylko zaufanych użytkowników. |
Zezwalanie na logowanie lokalne; Zamykanie systemu. |
Administrators - Administratorzy |
Członkowie tej grupy mają pełną kontrolę nad wszystkimi kontrolerami w domenie. Do grupy tej domyślnie należą grupy Domain Admins i Enterprie Admins oraz konto użytkownika Administrator. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników |
Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów. |
Backup Operators - Operatorzy kopii zapasowych |
Członkowie tej grupy mogą robić kopię bezpieczeństwa plików i ją odtwarzać na wszystkich kontrolerach w domenie niezależnie od indywidualnych uprawnień przypisanych do tych plików. Grupa ta może również logować do kontrolera domeny i go wyłączyć. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników. |
Wykonywanie kopii zapasowych plików i katalogów; Zezwalanie na logowanie lokalne; Przywracanie plików i katalogów; Zamykanie systemu. |
Guest - Goście |
Domyślnie członkiem jej jest grupa Domain Guest oraz konto Guest (domyślnie wyłączone) |
Nie posiada domyślnych praw |
Incoming Forest Trust Builders -Konstruktorzy przychodzącego zaufania lasu (pojawia się tylko w domenie katalogu głównego lasu) |
Członkowie tej grupy mogą tworzyć jednokierunkowe, przychodzące relacje zaufania do głównej domeny w lesie. Na przykład członkowie tej grupy znajdujący się w lesie A mogą utworzyć jednokierunkowe zaufanie lasu przychodzące z lasu B. To jednokierunkowe, przychodzące zaufanie lasu umożliwia użytkownikom w lesie A uzyskiwanie dostępu do zasobów w lesie B. Członkowie tej grupy mają przypisane uprawnienie Tworzenie przychodzącego zaufania lasu w domenie katalogu głównego lasu. Ta grupa nie ma członków domyślnych. |
Nie posiada domyślnych praw |
Network Configuration Operators - Operatorzy konfiguracji sieci |
Członkowie tej grupy mogą zmieniać ustawienia TCP/IP oraz odnawiać i usuwać adres IP na kontrolerach w domenie. Grupa nie ma domyślnych członków |
Nie posiada domyślnych praw |
Performance Monitor User - Użytkownicy monitora wydajności |
Członkowie tej grupy mogą lokalnie lub zdalnie monitorować liczniki wydajności na kontrolerach domeny nie będąc członkami grup Administrators lub Performance Log Users |
Nie posiada domyślnych praw |
Performance Log Users - Użytkownicy dzienników wydajności |
Członkowie tej grupy mogą lokalnie lub zdalnie zarządzać licznikami wydajności na kontrolerach domeny nie będąc członkami grupy Administrators |
Nie posiada domyślnych praw |
Pre-Windows 2000 Compatible Access - Dostęp zgodny z systemami starszymi niż Windows 2000 |
Członkowie tej grupy moją prawo czytania wszystkich użytkowników i grup w domenie. Grupa ta jest używana w celu zachowania wstecznej kompatybilności z systemami Windows NT 4.0 i wcześniejszymi |
Uzyskiwanie dostępu do tego komputera z sieci; Pomijanie sprawdzania przechodzenia. |
Print Operators -Operatorzy drukowania |
Członkowie tej grupy mogą zarządzać, tworzyć, współdzielić i usuwać drukarki przyłączone do kontrolerów domeny. Mogą również zarządzać obiektami drukarek w AD. Posiadają również prawo do lokalnego logowania się do kontrolera domeny i do jego wyłączenia. Nie posiada domyślnych członków. Ponieważ grupa ta może instalować i odinstalowywać sterowniki urządzeń na kontrolerach domeny, należy dodawać do niej tylko zaufanych użytkowników. |
Zezwalanie na logowanie lokalne; Zamykanie systemu. |
Remote Desktop User - Użytkownicy pulpitu zdalnego |
Członkowie tej grupy mogą zdalnie logować się do kontrolerów domeny. Nie posiada domyślnych członków |
Nie posiada domyślnych praw |
Replicator - Replikator |
Grupa ta wspiera replikację katalogu i jest używana na kontrolerach domeny przez usługę File Replication. Nie posiada domyślnych członków. Nie dodaje się użytkowników do tej grupy. |
Nie posiada domyślnych praw |
Server Operators - Operatorzy serwerów |
Członkowie tej grupy mogą na kontrolerach domeny logować się interakcyjnie, tworzyć i usuwać udostępnione zasoby, uruchamiać i zatrzymywać niektóre usługi, robić backup i go odtwarzać, formatować twardy dysk i wyłączać serwer. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników. |
Wykonywanie kopii zapasowych plików i katalogów; Zmienianie czasu systemowego; Wymuszanie zamknięcia systemu z systemu zdalnego; Zezwalanie na logowanie lokalne; Przywracanie plików i katalogów; Zamykanie systemu. |
Users - Użytkownicy |
Członkowie tej grupy mogą wykonywać najbardziej typowe zadanie jak uruchamianie aplikacji, używanie lokalnych i sieciowych drukarek, zablokowanie serwera. Domyślnie członkami są grupy Domain Users, Authenticated Users i Interactive. Dodatkowo każde konto użytkownika tworzone w domenie jest członkiem tej grupy. |
Nie posiada domyślnych praw |
Grupy w kontenerze Users
(http://technet.microsoft.com/pl-pl/library/cc756898%28v=ws.10%29.aspx)
Grupa |
Opis |
Domyślne prawa w systemie |
Cert Publisher - Wydawcy certyfikatów |
Członkowie tej grupy są uprawnieni do publikowania certyfikatów dla użytkowników i komputerów. Nie posiada domyślnych członków |
Nie posiada domyślnych praw |
DnsAdmins ( jest instalowana z usługą DNS) |
Członkowie tej grupy mają administracyjny dostęp do usługi serwera DNS. Nie posiada domyślnych członków. |
Nie posiada domyślnych praw |
DnsUpdateProxy ( jest instalowana z usługą DNS) |
Członkowie tej grupy są klientami DNS, mogącymi dokonywać dynamicznych aktualizacji w imieniu innych klientów jak np. serwery DHCP. Nie posiada domyślnych członków. |
Nie posiada domyślnych praw |
Domain Users - Użytkownicy domeny |
Grupa ta zawiera wszystkich domenowych użytkowników. Domyślnie, każde konto użytkownika tworzone w domenie staje się członkiem tej grupy automatycznie. Może być użyta do reprezentowania wszystkich użytkowników w domenie. |
Nie posiada domyślnych praw |
Domain Computers - Komputery domeny |
Grupa ta zawiera wszystkie stacje robocze i serwery przyłączone do domeny. Domyślnie każde stworzone konto komputera jest automatycznie członkiem tej grupy. |
Nie posiada domyślnych praw |
Domain Controllers - Kontrolery domen |
Grupa ta zwiera wszystkie kontrolery domeny w domenie. |
Nie posiada domyślnych praw |
Domain Guest - Goście domeny |
Grupa ta zawiera wszystkich domenowych gości |
Nie posiada domyślnych praw |
Domain Admins - Administratorzy domeny |
Członkowie tej grupy mają pełną kontrolę nad domeną. Domyślnie, grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domeny, stacjach roboczych i serwerach członkowskich w czasie, gdy są przyłączone do domeny. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników. |
Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów. |
Enterprise Admin - Administratorzy przedsiębiorstwa (pojawia się tylko w głównej domenie lasu) |
Członkowie tej grupy maja pełną kontrolę nad wszystkimi domenami w lesie. Domyślnie grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domen w lesie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w lesie należy dodawać do niej tylko zaufanych użytkowników |
Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów. |
Group Policy Creator Owner -Twórcy -właściciele zasad grupy |
Członkowie tej grupy mogą modyfikować zasady grup (GPO) w domenie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada znaczące prawa w domenie należy dodawać do niej tylko zaufanych użytkowników. |
Nie posiada domyślnych praw |
IIS_WPG (instalowana z IIS) |
Grupa procesu roboczego Internet Information Services (IIS). |
Nie posiada domyślnych praw |
RAS and IAS Servers - Serwery RAS i IAS |
Serwery w tej grupie mają dostęp do właściwości zdalnego dostępu użytkowników |
Nie posiada domyślnych praw |
Schema Admins - Administratorzy schematu (pojawia się tylko w głównej domenie lasu) |
Członkowie tej grupy mogą modyfikować schemat Active Directory. Domyślnie członkiem tej grupy jest konto Administrators. Ponieważ grupa ta posiada znaczące prawa w lesie należy dodawać do niej tylko zaufanych użytkowników. |
Nie posiada domyślnych praw |
Cechy charakterystyczne grup w usłudze Active Directory zależą od poziomu funkcjonalności domeny. Poziomy funkcjonalności domeny umożliwiają włączanie funkcji, które wpływają na całą domenę i tylko na tę domenę. Dostępnych jest pięć poziomów funkcjonalności domeny: mieszany systemu Microsoft Windows 2000, macierzysty systemu Windows 2000, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Server 2008 R2
W poniższej tabeli opisano funkcje działające w całej domenie, które są włączone dla poziomów funkcjonalności domeny usług domenowych w usłudze AD systemu Windows Server 2008 R2. (http://technet.microsoft.com/pl-pl/library/cc771294.aspx)
Poziom funkcjonalności domeny |
Włączone funkcje |
Windows 2000 mieszany |
|
Windows 2000 lokalny (macierzysty) |
Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje:
|
Windows Server 2003 |
Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows 2000 lokalny, a także następujące funkcje:
|
Windows Server 2008 |
Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows Server 2003, a także następujące funkcje:
|
Windows Server 2008 R2 |
Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje z poziomu funkcjonalności domeny systemu Windows Server 2008, a także następujące funkcje:
|
Poziom funkcjonalności domeny
W następującej tabeli pokazano poziomy funkcjonalności domeny i obsługiwane dla każdego z nich kontrolery domeny. (http://technet.microsoft.com/pl-pl/library/cc771294.aspx)
Poziom funkcjonalności domeny |
Obsługiwane kontrolery domeny |
Windows 2000 mieszany |
System Windows NT 4.0 Windows 2000 Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 |
Windows 2000 macierzysty |
Windows 2000 Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2003 |
Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2008 |
Windows Server 2008 Windows Server 2008 R2 |
Windows Server 2008 R2 |
Windows Server 2008 R2 |
Gdy poziom funkcjonalności domeny zostanie podniesiony, do domeny nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład, jeśli poziom funkcjonalności domeny zostanie podniesiony do poziomu systemu Windows Server 2008 R2, nie będzie można dodawać do takiej domeny kontrolerów domeny z systemem Windows Server 2008.
Zasięg grup
Zasięg grupy określa nam obszar działania danej grupy, część grup może być użyta tylko w domenie lecz są takie, których obszar działania obejmuje cały las. Zasięg grupy ma wpływ na członków danej grupy a także ma wpływ na zagnieżdżanie (łączenie grup w grupy) samych grup. Dostępne są grupy o trzech zasięgach: domenowa grupa lokalna, globalna i uniwersalna.
Domenowe grupy lokalne
Członkami grup domenowych lokalnych mogą być inne grupy oraz konta z domen Windows Server. Grupy te jak sama nazwa mówi, ograniczają się do działania w domenie a nadawane uprawnienia ograniczają się do zasobów znajdujących się w domenie. Tak więc grupy o zasięgu domenowym lokalnym pomagają definiować i zarządzać dostępem do zasobów w pojedynczej domenie.
Członkami tych grup mogą być:
grupy o zasięgu globalnym,
grupy o zasięgu uniwersalnym,
konta,
inne grupy o zasięgu domenowym lokalnym,
kombinacja powyższych.
Można to zilustrować takim o to przykładem: naszym zadaniem jest dać dostęp do zasobu sieciowego kilku użytkownikom, możemy to wykonać dodając ich do listy uprawnień danego zasobu pozwalając im np. na zapis w danym katalogu. Operacja dodawania kolejnych użytkowników wymusi na nas ponowne wylistowanie uprawnień tego zasobu i dodanie nowych użytkowników do tej listy. Problematyczna również będzie operacja w której tym samy użytkownikom będziemy chcieli dać uprawnienie do innego zasobu np. będziemy chcieli dać im możliwość drukowania. Sprowadzi się to do tego, że ponownie będzie trzeba przypisać te konta do listy uprawnień drukarki.
Wykorzystując zalety strategii grup powyższe zadanie można by było zrealizować poprzez utworzenie grupy o zasięgu domenowym lokalnym i przypisując wszystkie uprawnienia do tej grupy. Następnie umieścić w niej wszystkie konta użytkowników mających prawo do tego zasobu, później dodawanie kolejnych użytkowników sprowadza się tylko do dodania ich kont do tej grupy a odpowiednie uprawnienia zostaną przypisane do użytkowników. Natomiast jeśli chcemy dać użytkownikom prawo do korzystania z drukarki należy tylko do listy uprawnień obiektu jakim jest drukarka dodać utworzoną grupę.
Grupy o zasięgu globalnym
Grupy globalne są głównie używane do udostępniania klasyfikowanego członkostwa w lokalnych grupach domeny dla pojedynczych podmiotów zabezpieczeń lub dla bezpośredniego przypisania uprawnień (w szczególności dla domen o mieszanym bądź tymczasowym poziomic funkcjonalności). Grupy globalne są często używane do gromadzenia użytkowników lub komputerów tej samej domeny i współdzielących takie same zadania, role bądź funkcje więc do grup globalnych należą konta oraz inne grupy lecz tylko z domeny w której dana grupa globalna została zdefiniowana. Czyli można dodać do grupy globalnej utworzonej w np. domenie FiliaWarszawa konto Jan Kowalski z tej domeny lecz już niemożliwe jest dodanie konta Beata Tryla znajdującego się w domenie FiliaPoznan. Grupy te mogą mieć nadane uprawnienia w każdej domenie w lesie.
Wskazane jest, aby grup globalnych używać do codziennego zarządzania obiektami katalogu, takimi jak konta użytkowników i komputerów. Ponieważ grupy globalne nie są replikowane poza własną domenę, można często zmieniać listę ich członków bez generowania ruchu związanego z replikacją katalogu globalnego.
Grupy globalne:
Istnieją we wszystkich domenach i lasach o mieszanym, tymczasowym bądź macierzystym poziomie funkcjonalności.
Mogą mieć członków, którzy znajdujących się w tej samej domenie.
Mogą być członkiem lokalnej grupy komputera lub domeny.
Mogą mieć uprawnienia w dowolnej domenie (wliczając w to zaufane domeny innych lasów i domeny systemów wcześniejszych niż Windows 2003)
Mogą zawierać inne grupy globalne (oprócz poziomu funkcjonalności domeny Windows 2000 mieszany)
Grupa o zasięgu uniwersalnym
Do grup uniwersalnych mogą należeć inne grupy oraz konta z dowolnej domeny w lesie oraz grupom tym można przypisać uprawnienia w każdej domenie w lesie. Czyli w praktyce grup o zasięgu uniwersalnym używa się tam gdzie występuje potrzeba połączenia grup z różnych domen. Najczęściej strategia łączenia grup przebiega w ten sposób, że w pierwszej kolejności są tworzone grupy zasięgu globalnym a te z kolei są zagnieżdżane w grupach uniwersalnych. Zaletą tej strategii jest to, że zmiana, która jest dokonywana w grupie globalnej nie ma wpływu na grupę uniwersalną.
Grupy uniwersalne są stosowane w praktyce dla dużych lasów domen dzięki temu, że grupy uniwersalne z całego lasu mogą być przechowywane na specjalnych serwerach przechowując tak zwane wykazy globalne (Global Catalog). Ma to na celu skrócenie zdarzeń logowania i dostępu do zasobów w sytuacji gdy nasza organizacja ma infrastrukturę AD połączoną łączami WAN w kilku miastach lub państwach.
Grupy uniwersalne mogą być pomocne przy przedstawianiu i konsolidacji grup, które obejmują kilka domen oraz przy wykonywaniu wspólnych zadań w obrębie przedsiębiorstwa. Przydatną wskazówką może być wyznaczenie rzadko zmieniających się grup używanych w dużym zakresie, jako grup uniwersalnych.
Typy grup
Istnieją dwa typy grup: dystrybucyjne i zabezpieczeń.
Grupy dystrybucyjne są używane w aplikacjach e-mail, takich jak program Microsoft Exchange, podczas wysyłania wiadomości e-mail do grupy użytkowników. Głównym celem tego typu grupy jest gromadzenie obiektów pokrewnych, a nie udzielanie uprawnień. Grupy dystrybucyjne nie obsługują zabezpieczeń, dlatego nie mogą służyć do przypisywania uprawnień i nie są wyświetlane na poufnych listach kontroli dostępu (ang. Discretionary Access Control Lists). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.
Grupy zabezpieczeń za pomocą tych grup można przypisać prawa i uprawnienia użytkownika do grup użytkowników i komputerów. Prawa służą do określania czynności, jakie członkowie grupy zabezpieczeń mogą wykonać w domenie lub lesie, a uprawnienia służą do określenia zasobów sieciowych, do których może uzyskać dostęp członek grupy.
Przy użyciu grup zabezpieczeń można również wysłać wiadomości e-mail do wielu użytkowników. Wysyłanie wiadomości e-mail do grupy polega na wysyłaniu wiadomości do wszystkich członków tej grupy. Z tego względu grupy zabezpieczeń mogą służyć jako grupy dystrybucyjne.
Nawet jeśli grupy zabezpieczeń mają wszystkie funkcje grup dystrybucyjnych, to grupy dystrybucyjne są nadal potrzebne, ponieważ niektóre aplikacje mogą korzystać wyłącznie z tego typu grup.
Korzystając z grup zabezpieczeń można:
Przypisywać prawa w AD DS. Prawa użytkownika są tylko przywilejem grup zabezpieczeń czyli używaj ich gdy zależy ci na określeniu praw użytkownika bądź grupy w domenie/lesie.
Przypisywać uprawnienia do zasobów. Określają one, kto ma do czego dostęp i co może wykonać, np. Write lub Full Control. Domyślne grupy zabezpieczeń mają część uprawnień do obiektów w domenie nadane automatycznie (tabele powyżej).
Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń również mogą być użyte, jako listy e-mail. Wysyłając wiadomość e-mail do grupy, zostanie on wysłany do wszystkich jej członków.
Grupy specjalne
W Microsoft Windows Server 2008, oprócz grup znajdujących się w kontenerach Users i Builtin istnieją grupy specjalne (tożsamości specjalne), nieposiadające typowych list członków, które można by modyfikować. Mogą one reprezentować różnych użytkowników w różnym czasie w zależności od ich aktywności.
Anonymous Logon {Logowanie anonimowe) - grupa ta dotyczy użytkowników, którzy korzystają z zasobów sieci z pominięciem procesu uwierzytelnienia czyli bez użycia nazwy konta, hasła i nazwy domeny.
Everyone (Wszyscy) - grupa reprezentuje wszystkich bieżących użytkowników sieci, włączając w to gości i użytkowników z innych domen. Zawsze, kiedy użytkownik loguje się do sieci jest automatycznie dodawany do tej grupy
Network (Sieć) - grupa reprezentuje użytkowników, którzy uzyskują dostęp do zasobu poprzez sieć w przeciwieństwie do użytkowników, którzy korzystają z tego zasobu po uprzednim lokalnym zalogowaniu się do komputera, na którym jest udostępniony dany zasób. Kiedy użytkownik uzyskuje dostęp do zasobu w sieci jest automatycznie dodawany do tej grupy.
Interactive (Interakcyjni) - reprezentuje użytkowników zalogowanych lokalnie i uzyskujących dostęp do zasobu na tym komputerze. Zawsze, gdy użytkownik uzyskuje dostęp do zasobu na komputerze, na którym się lokalnie zalogował, jest automatycznie dodawany do tej grupy Interactive.
Authenticated Users (Użytkownicy uwierzytelnieni) - zawiera wszystkich użytkowników, którzy zostali uwierzytelnieni w sieci za pomocą ważnego konta użytkownika. Podczas przydzielania uprawnień, grupę Authenticated Users można używać zamiast grupy Everyone, dzięki czemu zabroniony zostanie anonimowy dostęp do zasobów.
Creator Owner (Twórca właściciel) - Grupa Creator Owner dotyczy użytkowników, którzy utworzyli lub są właścicielami zasobu. Przykładowo, jeśli użytkownik utworzył zasób, ale administrator stał się właścicielem tego zasobu, to administrator stanie się członkiem grupy Creator Owner.
Dialup - Grupa Dialup zawiera użytkowników, którzy połączyli się z siecią za pomocą łącza telefonicznego.
Grupy specjalne mogą być wykorzystywane do przypisywania praw użytkownika i uprawnień, lecz lista członków nie może być modyfikowana ani wyświetlana. Zasięg grupy nie dotyczy tożsamości specjalnych.
Tworzenie grup
W AD DS grupy są tworzone w domenach. Można do tego wykorzystać przystawkę Active Directory Users and Computers oraz narzędzie wiersza poleceń. Posiadając odpowiednie uprawnienia grupy można tworzyć w dowolnym miejscu struktury AD.
Active Directory Users and Computers - w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New następnie Group. W oknie New Object - Group podajemy nazwę grupy, oraz wybieramy jej zasięg i typ.
Rysunek 2 Tworzenie grupy
Podobnie jak podczas zakładania nowego konta użytkownika, również w przypadku grup należy podać dwie nazwy, właściwą oraz nazwę systemów starszych niż Windows 2000. Naturalnie zaleca się, żeby obie nazwy się nie różniły i były niezbyt długie. Następnie określamy zakres i typ grupy. Jeśli chcemy na przykład założyć konto zawierające pracowników Biura, w nazwie wpisujemy np. PracownicyBiura, a następnie zaznaczamy zakres interesujący nas zakres i typ grupy. Kliknięcie OK powoduje utworzenie grupy. Na koniec dodajemy do grupy konta użytkowników. Możemy to zrobić na dwa sposoby. Pierwszy to wybranie Właściwości grupy i naciśnięcie przycisku Dodaj na karcie Członkowie. Drugi sposób to zaznaczenie myszą przycisku CTRL kont użytkowników i wybranie menu Akcja - Dodaj do grupy. W wyświetlonym oknie wprowadzamy nazwę lub początek nazwy grupy i naciskamy OK. Wszystkie zaznaczone konta są w tym momencie umieszczane we wskazanej grupie.
Rysunek 3 Dodawanie do grupy
Dsadd group - Dodaje pojedynczą grupę do katalogu.
dsadd group nazwa_wyróżniająca_grupy [-secgrp {yes | no}] [-scope {l | g | u}] [-samid nazwa_SAM] [-desc opis] [-memberof grupa ...] [-members członek ...] [{-s serwer | -d domena}] [-u nazwa_użytkownika] [-p {hasło | *}] [-q] [{-uc | -uco | -uci}]
nazwa_wyróżniająca_grupy
Wymagana. Określa nazwę wyróżniającą grupy, który należy dodać. Jeżeli pominięto nazwę wyróżniającą, nazwa zostanie pobrana z wejścia standardowego (stdin).
-secgrp {yes | no}
Określa, czy grupa, która ma zostać dodana, jest grupą zabezpieczeń (yes), czy grupą dystrybucyjną (no). Domyślnie grupa jest dodawana jako grupa zabezpieczeń (yes).
-scope {l | g | u}
Określa, czy zakresem grupy, która ma zostać dodana, jest zakres lokalny w domenie (l), globalny (g) czy uniwersalny (u). W przypadku domeny trybu mieszanego zakres uniwersalny nie jest obsługiwany. Domyślnie ustawiany jest globalny zakres grupy.
-samid nazwa_SAM
Określa, że należy użyć nazwy SAM jako unikatowej nazwy konta SAM dla tej grupy (na przykład Operatorzy). Jeżeli ten parametr nie jest określony, zostanie wygenerowany na podstawie względnej nazwy wyróżniającej.
-desc opis
Określa opis grupy, którą należy dodać.
-memberof grupa ...
Określa grupy, do których należy dodać nową grupę.
-members członek ...
Określa członków, których należy dodać do nowej grupy.
{-s serwer | -d domena}
Ustanawia połączenie z określonym serwerem zdalnym lub z domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.
-u nazwa_użytkownika
Określa nazwę użytkownika używaną do logowania na serwerze zdalnym. Domyślnie w parametrze -u jest stosowana nazwa użytkownika, która została użyta do zalogowania danego użytkownika.
-p {hasło | *}
Określa, że do logowania na serwerze zdalnym należy używać hasła lub znaku *. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.
Wyszukiwanie grup domeny, do których należy dany użytkownik
Usługa Active Directory umożliwia elastyczne i pomysłowe zagnieżdżanie grup, przy czym:
Grupy globalne mogą być zagnieżdżane w innych grupach globalnych, uniwersalnych lub lokalnych grupach domeny.
Grupy uniwersalne mogą być członkami innych grup uniwersalnych lub lokalnych grup domeny.
Lokalne grupy domeny mogą należeć do innych lokalnych grup domeny.
Elastyczność zagnieżdżania grup jest potencjalnym źródłem złożoności i bez odpowiednich narzędzi byłoby bardzo trudno dokładnie określić, do których grup należy użytkownik, czy należy bezpośrednio lub pośrednio. Na szczęście, system Windows Server został wyposażony w polecenie DSGET, za pomocą którego można rozwiązywać takie problemy.
dsget user - wyświetla różne właściwości użytkownika w katalogu.
Istnieją dwie odmiany tego polecenia. Pierwsza odmiana umożliwia wyświetlenie właściwości wielu użytkowników. Druga odmiana umożliwia wyświetlenie informacji o członkostwie grup pojedynczego użytkownika.
Składnia: dsget user <NazwaWyróżniającaUżytkownika ...> [-dn] [-samid]
[-sid] [-upn] [-fn] [-mi] [-ln] [-display] [-fnp] [-lnp] [-displayp] [-effectivepso] [-empid] [-desc] [-office] [-tel] [-email] [-hometel] [-pager] [-mobile] [-fax] [-iptel] [-webpg] [-title] [-dept] [-company] [-mgr] [-hmdir] [-hmdrv] [-profile] [-loscr] [-mustchpwd] [-canchpwd] [-pwdneverexpires] [-disabled] [-acctexpires] [-reversiblepwd] [-part <NazwaWyróżniającaPartycji> [-qlimit] [-qused]] [{-s <Serwer> | -d <Domena>}] [-u <NazwaUżytkownika>] [-p {<Hasło> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}]
dsget user <NazwaWyróżniającaUżytkownika> [-memberof [-expand]] [{-s <Serwer> | -d <Domena>}] [-u <NazwaUżytkownika>] [-p {<Hasło> | *}] [-c][-q] [-l] [{-uc | -uco | -uci}]
Parametry:
-dn |
Pokazuje nazwę wyróżniającą użytkownika. |
-samid |
Pokazuje nazwę konta SAM użytkownika. |
-sid |
Pokazuje identyfikator zabezpieczeń użytkownika. |
-upn |
Pokazuje główną nazwę użytkownika. |
-fn |
Pokazuje imię użytkownika. |
-mi |
Pokazuje inicjał drugiego imienia użytkownika. |
-ln |
Pokazuje nazwisko użytkownika. |
-display |
Pokazuje wyświetlaną nazwę użytkownika. |
-fnp |
Pokazuje fonetyczny zapis imienia użytkownika. |
-lnp |
Pokazuje fonetyczny zapis nazwiska użytkownika. |
-displayp |
Pokazuje fonetyczny zapis wyświetlanej nazwy użytkownika. |
-effectivepso |
Pokazuje rzeczywisty obiekt ustawień hasła użytkownika. |
-empid |
Pokazuje identyfikator pracowniczy użytkownika. |
-desc |
Pokazuje opis użytkownika. |
-office |
Pokazuje lokalizację biura użytkownika. |
-tel |
Pokazuje numer telefonu użytkownika. |
Pokazuje adres e-mail użytkownika. |
|
-hometel |
Pokazuje domowy numer telefonu użytkownika. |
-pager |
Pokazuje numer pagera użytkownika. |
-mobile |
Pokazuje numer telefonu komórkowego użytkownika. |
-fax |
Pokazuje numer faksu użytkownika. |
-iptel |
Pokazuje numer telefonu IP użytkownika. |
-webpg |
Pokazuje adres URL strony sieci Web użytkownika. |
-title |
Pokazuje tytuł użytkownika. |
-dept |
Pokazuje dział użytkownika. |
-company |
Pokazuje informacje o firmie użytkownika. |
-mgr |
Pokazuje menedżera użytkownika. |
-hmdir |
Pokazuje katalog macierzysty użytkownika. Wyświetla literę dysku, do której jest zmapowany katalog macierzysty użytkownika (jeżeli ścieżka katalogu macierzystego jest ścieżką UNC). |
-hmdrv |
Pokazuje literę dysku macierzystego użytkownika(jeżeli katalog macierzysty jest ścieżką UNC). |
-profile |
Pokazuje ścieżkę profilu użytkownika. |
-loscr |
Pokazuje ścieżkę skryptu logowania użytkownika. |
-mustchpwd |
Pokazuje, czy użytkownik musi zmienić swoje hasło w trakcie następnego logowania. Wyświetla: tak (yes) lub nie (no). |
-canchpwd |
Pokazuje, czy użytkownik może zmienić swoje hasło. Wyświetla: tak (yes) lub nie (no). |
-pwdneverexpires |
Pokazuje, czy hasło użytkownika nigdy nie wygasa. Wyświetla: tak (yes) lub nie (no). |
-disabled |
Pokazuje, czy konto użytkownika jest wyłączone dla logowania czy nie. Wyświetla: tak (yes) lub nie (no). |
-acctexpires |
Pokazuje, kiedy wygasa konto użytkownika. Wyświetlane wartości: data wygaśnięcia konta lub ciąg "never",jeżeli konto nigdy nie wygasa. |
-reversiblepwd |
Pokazuje, czy jest dozwolone przechowywanie hasła użytkownika za pomocą odwracalnego szyfrowania (tak lub nie). |
<NazwaWyróżniającaUżytkownika> |
Wymagana. Nazwa wyróżniająca grupy do wyświetlenia. |
-memberof |
Wyświetla grupy, których członkiem jest użytkownik. |
-expand |
Wyświetla rekurencyjnie rozwiniętą listę grup, których członkiem jest użytkownik. |
{-s <Serwer> | -d <Domena>} |
|
|
-s <Serwer> łączy z kontrolerem domeny/wystąpieniem usług LDS w usłudze Active Directory o nazwie <Serwer>. |
|
-d <Domena> łączy z kontrolerem domeny usługi Active Directory w domenie <Domena>. Domyślnie: kontroler domeny usługi Active Directory w domenie logowania. |
-u <NazwaUżytkownika> |
Podłącza jako <NazwaUżytkownika>. Domyślnie: zalogowany użytkownik. Nazwa użytkownika może być w formacie: nazwa użytkownika,domena\nazwa użytkownika lub główna nazwa użytkownika (UPN). |
-p {<Hasło> | *} |
Hasło dla użytkownika <Nazwa użytkownika>. Jeżeli *, to pojawi się monit o hasło. |
-c |
Ciągły tryb działania: raportuje błędy, ale kontynuuje z następnym obiektem na liście argumentów, gdy określonowiele obiektów docelowych.Bez tej opcji polecenie kończy działanie po pierwszym błędzie. |
-q |
Tryb cichy: pomija wszystkie dane dla wyjścia standardowego. |
-L |
Wyświetla pozycje z zestawu wyników wyszukiwania w formacie listy. Domyślnie: format tabeli. |
{-uc | -uco | -uci} |
|
|
-uc Określa, że dane wejściowe z potoku lub dane wyjściowe do niego są w formacie Unicode |
|
-uco Określa, że dane wyjściowe do potoku lub pliku w formacie Unicode. |
|
-uci Określa, że dane wejściowe z potoku lub pliku są w formacie Unicode. |
-part <NazwaWyróżniającaPartycji> |
Podłącza do partycji katalogu z nazwą wyróżniającą <NazwaWyróżniającaPartycji>. |
-qlimit |
Wyświetla efektywny przydział użytkownika wewnątrz określonej partycji katalogu. |
-qused |
Wyświetla ilość przydziału użytkownika użytego na określonej partycji katalogu |
Przykład:
Wydając polecenie
dsget user cn=test,ou=proba,dc=firma,dc=local -memberof -expand
otrzymaliśmy wynik, który mówi nam do jakich grup należy użytkownik test należący do jednostki organizacyjnej proba.
"CN=grproba,OU=proba,DC=FIRMA,DC=local"
"CN=Użytkownicy domeny,CN=Users,DC=Firma,DC=local"
"CN=Użytkownicy,CN=Builtin,DC=Firma,DC=local"
Przełącznik -memberof zwraca wartość atrybutu MemberOf pokazując, do których grup użytkownik należy bezpośrednio. Poprzez dodanie przełącznika -expand, grupy te będą przeszukiwane rekurencyjnie, co utworzy pełną listę wszystkich grup, do których należy dany użytkownik domeny.
Strategie tworzenia grup
Strategia A L P
Jest to najbardziej efektywna metoda nadawania określonych uprawnień do zasobów lub operacji na lokalnej maszynie wielu użytkownikom jednocześnie. Nazwa metody jest skrótem utworzonym z pierwszych liter angielskich słów "Account", "Local" i "Permissions". Polega na dodaniu kont użytkowników lokalnych (Accounts) do grupy lokalnej (Local) , a następnie nadaniu tej grupie określonych uprawnień (Permissions).
Strategia A G DL P- przy pojedynczej domenie
Jest to najbardziej efektywna metoda nadawania określonych uprawnień do zasobów i operacji na maszynach należących do określonej domeny. Nazwa metody jest skrótem utworzonym z pierwszych liter angielskich słów Account, Global, Domain Local i Permissions. Polega na utworzeniu i dodaniu kont użytkowników domenowych (Accounts) do grup globalnych (Global), umieszczeniu tych grup w domenowej grupie lokalnej (Domain Local), która ma uprawnienia (Permissions) do zasobów w tej domenie.
Strategia A G U DL P - przy wielu domenach
Strategia ta polega na: utworzeniu grup globalnych w każdej domenie i umieszczenie w nich użytkowników z domeny, następnie tworzymy grupy uniwersalne i przypisujemy grupy globalne z każdej domeny do uniwersalnej, tworzymy grupę lokalną domenową i przypisujemy grupę uniwersalną do lokalnej domenowej by na końcu określić odpowiedni dostęp do zasobów i uprawnienia dla grup DL
Format LDIF (Data Interchange Format) protokołu LDAP (Lightweight Directory Access Protocol) jest pierwszą wersją standardu sieci Internet dla formatu plików, które mogą być używane do przeprowadzania operacji wsadowych w usłudze katalogowej podporządkowanej standardom protokołu LDAP. Format LDIF może być stosowany do eksportu i importu danych przy przetwarzaniu wsadowym dla operacji usługi Active Directory, takich jak dodawanie i modyfikowanie. Program narzędziowy nazwany LDIFDE został dołączony do systemu Windows Server dla obsługi operacji wsadowych bazujących na standardzie formatu plików LDIF.
Program narzędziowy wiersza poleceń LDIFDE został dołączony do wszystkich wersji systemu Windows Server. Program LDIFDE można uruchamiać stosując odpowiednie przełączniki w oknie wiersza poleceń lub powłoce polecenia.
Porady praktyczne i podsumowanie
Istnieją dwa typy grup: grupa zabezpieczeń i grupa dystrybucji. Grupom zabezpieczeń mogą być przypisywane uprawnienia, natomiast grupy dystrybucyjne używane są w kontenerach kwerend, takich jak pocztowe grupy dystrybucyjne i do tych grup nic mogą być przydzielane uprawnienia do zasobów.
Dobrą praktyką jest aby wykonać zadania administracyjne korzystać z polecenia Run As (Uruchom jako).
Uprawnienia zabezpieczeń grup są przydzielane poprzez listę ACL, podobnie jak dla innych podmiotów zabezpieczeń, takich jak użytkownik lub komputer.
Należy ograniczać liczbę użytkowników w grupie Administratorzy.
Wskazane jest używanie grup globalnych lub uniwersalnych zamiast domenowych lokalnych przy zarządzaniu uprawnieniami do obiektów Active Directory, które są replikowane przez katalog globalny.
Konta użytkowników należy dodawać do grupy o najbardziej restrykcyjnych zasadach zabezpieczeń.
Zmiana członkostwa w grupach uniwersalnych wiąże się z replikacją pomiędzy wszystkimi katalogami globalnymi w całym lesie. Dlatego unikamy sytuacji w której na liście członków grup uniwersalnych znajdowały by się konta pojedynczych użytkowników. Stosujemy strategię A G U DL P.
Jeśli to możliwe, zamiast tworzyć nową grupę, lepiej jest użyć grupy wbudowanej.
Możliwe jest przenoszenie grup pomiędzy domenami lecz dotyczy to tylko grup o zasięgu uniwersalnym. Prawa i uprawnienia przypisane do takiej przeniesionej grupy są tracone i musza być nadane na nowo.
Program LDIFDE jest narzędziem dołączonym do systemu Windows Server, które umożliwia import i eksport danych do/z usługi Active Directory.
Jeśli dysponujemy istniejącym katalogiem danych użytkownika, program LDIFDE można wykorzystać do eksportu potrzebnych danych, a następnie do zaimportowania ich do usługi Active Directory. Ogólnie mówiąc, jest to bardziej wydajny proces niż ręczne tworzenie pojedynczo każdego elementu. Pliki CSV są przydatne, o ile dane są prawidłowo sformatowane i posiadają wszystkie wymagane elementy ułożone w odpowiedniej kolejności.
W celu wykorzystania w usłudze Active Directory, program LDIFDE może zostać skopiowany do systemów Windows 2000 lub Windows XP.
Należy tworzyć grupy dopasowane do potrzeb administracyjnych .
Z grup lokalnych należy korzystać na komputerze, który nie jest członkiem domeny
Na komputerach z uruchomionym systemem Windows NT lub wcześniejszym, grupa Anonymous Logon domyślnie jest członkiem grupy Everyone.
Większość praw i uprawnień użytkownika należy przydzielać grupie Użytkownicy uwierzytelnieni, a nie grupie Wszyscy.
Jeśli domena, w której tworzysz grupę ma skonfigurowany poziom funkcjonalności, jako Windows 2000 mixed, możesz wybrać tylko grupę typu zabezpieczeń zasięgu domenowym lokalnym lub zabezpieczeń.
Modyfikowanie członkostwa grupy jest realizowane za pomocą konsoli Active Directory Users And Computers (Użytkownicy i komputery usługi Active Directory).
Określenie członkostwa w grupie dla podmiotów zabezpieczeń jest realizowane za pomocą zakładki Members Of (Członek grupy) znajdującej się na zakładce Security (Zabezpieczenia) we Właściwościach podmiotu zabezpieczeń. Określanie członków kontenera (grupy) jest realizowane za pomocą zakładki Members (Członkowie).
Wyszukiwarka