Занятие 1. Основные понятия

(Продолжительность занятия 30 минут)

Группа — это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Организация учетных записей в группы значительно упрощает решение каждодневных административных задач. На этом занятии Вы познакомитесь с основными понятиями и терминами, применяемыми в этой области.

• объяснить назначение локальных и глобальных групп;
• перечислить сходства и различия между локальными и глобальными группами;
• объяснить, где создаются локальные и глобальные группы.

Пользователи и группы

Принадлежность к конкретной группе определяет значительную часть возможностей пользователя сети и конкретного компьютера, так как при этом он получает все привилегии и права группы. Группы — очень удобный метод присвоения прав и привилегий сразу нескольким сотрудникам. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности.

Привилегии и права

Права доступа определяют правомочность выполнения конкретными пользователями различных действий с ресурсами, как-то: папками, файлами и принтерами. Поскольку управлять правами группы значительно проще, чем правами ее членов по отдельности, группы, как правило, применяют для управления доступом к ресурсам.

Привилегии регулируют права пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.

Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и привилегии всех групп, в которых состоит.

Локальные и глобальные группы

Группы бывают двух типов: локальные и глобальные.

Локальные группы

Применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп домена.

Кроме того, локальные группы обеспечивают пользователям привилегии, необходимые для решения различных системных задач на локальном компьютере:

изменения системного времени, резервного копирования файлов и т.п. В состав Windows NT входит несколько встроенных локальных групп с заранее заданными привилегиями. Например, встроенной группе Administrators (Администраторы) предоставлено право создавать учетные записи пользователей и групп, выполнять резервное копирование файлов и изменять конфигурацию системы.

В состав локальной группы могут входить учетные записи пользователей и глобальные группы любого домена, с которым установлены необходимые доверительные отношения.

Глобальные группы

Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана. В состав глобальной группы не могут входить ни локальные, ни другие глобальные группы. На рисунке показаны три глобальные группы домена Домен1.

Хотя глобальным группам можно также присвоить права доступа к ресурсам, их обычно применяют только для объединения учетных записей пользователей домена. Чтобы предоставить членам глобальной группы права доступа к ресурсу, ее просто включают в соответствующую локальную группу.

В состав Windows NT входят несколько встроенных глобальные групп, например группа Domain Users (Пользователи домена). По умолчанию к этой группе добавляются все учетные записи домена. В отличие от локальных, глобальные группы не обладают никакими заранее заданными правами.

Где создаются локальные группы

Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, создается на этом компьютере. Если же ресурс расположен на одном из контроллеров домена, локальная группа для него создается на главном контроллере домена (Primary Domain Controller, PDC). В этом случае главный контроллер домена предоставляет необходимую информацию об учетных записях и защите остальным контроллерам домена.

Ниже показаны локальная группа База данных на компьютере, где находится сама база данных, и локальная группа Печать (она может находиться как на главном, так и на резервном контроллере домена), которая обеспечивает доступ пользователей к сетевому принтеру.

Создание локальных группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, выполняется с помощью утилит User Manager (Диспетчер пользователей) или User Manager for Domains (Диспетчер пользователей доменов). Локальные группы для ресурсов, расположенных на контроллере домена, создаются на главном контроллере домена средствами утилиты User Manager for Domains.

Где создаются глобальные группы

Глобальные группы всегда создаются на главном контроллере домена, к которому относятся учетные записи. Например, глобальные группы домена Домен1 создаются на его главном контроллере, а глобальные группы домена Домен2 — на главном контроллере домена Домен2.

Глобальную группу главного контроллера домена можно создать с любого компьютера, на котором запускается User Manager for Domains (Диспетчер пользователей доменов).

Видеоролик «Локальные и глобальные группы»

Этот шестиминутный видеоролик познакомит Вас с локальными и глобальными группами в однои многодоменных сетях. Полный сценарий видеоролика Вы найдете в разделе «Course Materials» прилагаемого к курсу компакт-диска. ^ Запуск видеоролика из меню Start (Пуск)

1. Вставьте в дисковод прилагаемый к книге компакт-диск.
2. В меню Start (Пуск) выберите последовательно пункты Programs (Программы), Network Administration Training и затем щелкните пункт Local and Global Groups Video.

> Запуск видеоролика с компакт-диска

1. Запустите Windows NT Explorer (Проводник Windows NT).
2. Дважды щелкните файл Open.htm, находящийся в корневом каталоге компакт-диска.
3. Щелкните в центре экрана, чтобы перейти на главную страничку.
4. Щелкните ссылку Course Materials.
5. На странице Contents щелкните ссылку Local and Global Groups Video.
6. Чтобы установить требуемые библиотеки DLL и запустить видеоролик, следуйте инструкциям в текстовом поле.

Примечание Если Вы провели установку, как описано в разделе «Об этой книге», или уже запускали видеоролики на своем компьютере, то Вам не нужно устанавливать библиотеки.

> Вопросы к видеоролику

Вы лучше усвоите основные темы видеоролика, ответив на приведенные ниже вопросы. Это можно сделать и во время просмотра, но все-таки разумнее сначала посмотреть его целиком, а потом проверить себя.

1. Каково назначение локальных групп?

   ответ

2. Каково назначение глобальных групп?

   ответ

3. Где создаются локальные группы?

   ответ

4. Где создаются глобальные группы?

   ответ

Пример применения групп в однодоменной сети

Предположим, Парижский филиал компании «Разноимпорт» располагает одно- доменной сетью, в состав которой входят главный и резервный контроллеры домена, а также сервер, не являющийся контроллером домена. На резервном контроллере домена хранится база данных «Счета», а на сервере — база данных «Товары». Всем пользователям сети необходим доступ к обеим базам данных.

1. На каком компьютере Вы создадите глобальную группу для упорядочения учетных записей? Почему?

   ответ

2. На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Счета»? Почему?

   ответ

3. На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Товары»? Почему?

   ответ

4. Как Вы обеспечите членам глобальной группы доступ к базам данных?

   ответ

Пример применения групп в многодоменной сети

Предположим, Парижский филиал компании «Разноимпорт» расширил свою сеть, включив в нее домен Лондонского филиала. Оба отделения располагают своими базами данных «Товары», причем пользователям необходим доступ к обеим базам данных. Между доменами установлены соответствующие доверительные отношения.

1. На каком компьютере Вы создадите глобальную группу для упорядочения учетных записей? Почему?

   ответ

2. На каком компьютере Вы создадите локальную группу, обеспечивающую доступ к базе данных «Счета»? Почему?

   ответ

3. Как обеспечить членам созданной глобальной группы доступ к базам данных «Товары» каждого из отделений?

   ответ

Резюме

• Группы упрощают администрирование, так как права и привилегии присваиваются нескольким пользователям одновременно.
• Локальные группы применяются для предоставления пользователям доступа к сетевым ресурсам на локальном компьютере. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп одного или нескольких доменов.
• Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT Workstation, создается на этом компьютере. Для ресурсов, находящихся на одном из контроллеров домена, локальная группа создается на главном контроллере домена.
• Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана.
• Глобальные группы всегда создаются на главном контроллере домена.

Дополнительную информацию о ...	Вы найдете в...
учетных записях групп	главе 2, «Working with User and Group Accounts», документа Microsoft Windows NT Server Concepts .and Planning
предоставлении прав	главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning', главе 5, «Защита сетевых ресурсов с помощью прав доступа», настоящего курса; главе 6, «Защита сетевых ресурсов средствами NTFS», настоящего курса
привилегиях	главе 2, «Working with User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning