Занятие 3. Создание локальных и глобальных групп

(Продолжительность занятия 30 минут)

Локальные группы предоставляют нескольким пользователям доступ к локальному ресурсу. Глобальные группы позволяют разделить пользователей доменов на структурные единицы по географическому или организационному признаку. На этом занятии Вы научитесь создавать и использовать локальные и глобальные группы.

• создавать локальные группы и добавлять в них пользователей локального и доверенных доменов;
• создавать глобальные группы и добавлять к ним пользователей;
• удалять локальные и глобальные группы.

Средства создания групп

В домене локальные и глобальные группы создаются с помощью утилиты User Manager for Domains (Диспетчер пользователей доменов). В рабочей группе можно формировать лишь локальные группы — средствами User Manager (Диспетчер пользователей), глобальные же группы в этой модели недоступны.

Ниже изображено окно утилиты User Manager for Domains (Диспетчер пользователей доменов). Все команды меню User (Пользователь) для управления учетными записями групп, за исключением команд New Global Group (Создать глобальную группу) и Select Domain (Выбрать домен), доступны и в утилите User Manager (Диспетчер пользователей).

Требования для создания групп

Для создании групп необходимы следующие условия.

• Вы должны быть членом одной из встроенных групп Administrators (Администраторы) или Account Operators (Операторы учетных записей) компьютера, на котором создается группа.
• Локальную группу можно создать на любом компьютере под управлением Windows NT.
• Глобальную группу надо создавать на главном контроллере домена, однако сделать это можно с любого компьютера, на котором запускается User Manager for Domains (Диспетчер пользователей доменов):
  • с резервного контроллера домена;
  • с сервера, входящего в состав домена;
  • с любого компьютера под управлением Windows NT Workstation или Windows 95, на котором установлены клиентские средства администрирования.
• Названия глобальных групп должны быть уникальны в пределах домена, а названия локальных групп — в пределах компьютера. Названия групп не могут совпадать с названиями учетных записей пользователей.

Создание глобальных групп

Прежде всего необходимо классифицировать пользователей доменов и сформировать структурные единицы, которые и послужат основой для глобальных групп.

Чтобы создать глобальную группу, присвойте ей имя и включите в нее пользователей.

> Создание глобальной группы

В этом упражнении Вы средствами утилиты User Manager for Domains (Диспетчер пользователей доменов) создадите глобальные группы, запланированные на предыдущем занятии (упражнение «Планирование групп»). Если Вы не заполнили шаблон планирования групп предыдущего занятия, воспользуйтесь примером из приложения «Шаблоны планирования».

1. Зарегистрируйтесь в системе по учетной записи Administrator.
2. В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование), а затем щелкните пункт User Manager for Domains (Диспетчер пользователей доменов).
3. В меню User (Пользователь) щелкните пункт New Global Group (Создать глобальную группу). • Появится диалоговое окно New Global Group (Новая глобальная группа).
4. В поле Group Name (Название группы) введите название одной из групп Квебекского домена копании «Разноимпорт» (см. шаблон планирования групп предыдущего занятия или пример в приложении). Имя глобальной группы:
   • может содержать любые символы в верхнем или нижнем регистре, за исключением " / \[] : ; ¦ = , + * ? < >;
   • особенно полезно, если оно кратко описывает назначение группы;
   • не должно быть длиннее 20 символов.
5. В поле Description (Описание) опишите созданную глобальную группу, например определите служебные обязанности ее членов. Это поможет пользователям понять назначение группы.

   Не закрывайте окно New Global Group (Создать глобальную группу). ^ Добавление членов в группу

В этом упражнении Вы добавите в только что созданную глобальную группу учетные записи пользователей, сгенерированные командным файлом Chapter3.cmd (см. раздел «Прежде всего» в начале этой главы). Чтобы отличать их от учетных записей других глав курса, к их именам добавлен номер этой главы — 3.

1. В списке Not Members (He входят в группу) диалогового окна New Global Group (Новая глобальная группа) выберите одну или несколько учетных записей Вашего шаблона. Чтобы выбрать несколько записей, нажмите клавишу CTRL и, не отпуская ее, щелкайте по очереди нужные записи.
2. Щелкните кнопку Add (Добавить).

   Все выбранные записи появятся в списке Members (Входят в группу).

3. Добавьте в группу все остальные учетные записи пользователей, а затем щелкните кнопку ОК, чтобы создать глобальную группу, включающую всех выбранных Вами пользователей.

   Обратите внимание на список Groups (Группы): в нем появилось имя созданной Вами глобальной группы, а ее значок дополнен изображением земного шара.

> Завершение упражнения

• Создайте оставшиеся группы Квебекского домена из шаблона планирования групп и включите в их состав соответствующие учетные записи пользователей.

Создание локальных групп

Разработав организационную структуру и создав глобальные группы, можно приступить к формированию локальных групп.

Чтобы создать локальную группу, присвойте ей имя и включите в ее состав учетные записи пользователей и глобальных групп Вашего и доверенных доменов.

> Создание локальной группы

1. В меню User (Пользователь) щелкните пункт New Local Group (Создать локальную группу). Появится диалоговое окно New Local Group (Новая локальная группа).

   ---

   Примечание В реальной ситуации для создания локальной группы на компьютере, не выполняющем функции контроллера домена, сначала надо выбрать его командой Select Domain (Выбрать домен) меню User (Пользователь). В поле Domain (Домен) этого диалогового окна наберите имя компьютера (например, \\Компьютер1).

   ---

2. В поле Group Name (Название группы) введите уникальное информативное название одной из локальных групп шаблона планирования из предыдущего занятия или из примера приложения. Название локальной группы:
   • должно кратко описывать ее назначение;
   • может содержать любые символы в верхнем или нижнем регистре, кроме символа обратной косой черты (\);
   • не должно быть длиннее 256 символов (однако в большинстве окон отображается не более 22 первых символов названия).
3. В поле Description (Описание) введите описание созданной локальной группы, например определите ресурс, доступ к которому она обеспечивает.

> Добавление членов в локальную группу

1. В окне New Local Group (Новая локальная группа) щелкните кнопку Add (Добавить).

   На экране появится диалоговое окно Add Users and Groups (Добавить пользователя или группу).

2. Убедитесь, что в списке List Names From (Показывать имена из...) выбран Ваш домен. Если это не так, выберите свой домен в этом списке.
3. В списке Names (Имена) выберите одну или несколько глобальных групп, запланированных Вами для Квебекского домена компании «Разноимпорт», и щелкните кнопку Add (Добавить).

   Обратите внимание на список Add Names (Добавить имена): в нем появились названия выбранных Вами групп.

   ---

   Примечание Если в реальной ситуации Вам понадобится добавить глобальные группы из других доменов, выберите нужный домен в списке List Names From (Показывать имена из...). Если домен, к которому принадлежит необходимая глобальная группа, отсутствует в списке, то он либо отсутствует физически (например, нет сетевого соединения), либо между доменами не установлены необходимые доверительные отношения.

   ---

4. Щелкните кнопку Add (Добавить), а затем — кнопку ОК.

   Выбранные глобальные группы появятся в списке Members (Входят в группу) диалогового окна New Local Group (Новая локальная группа).

5. Щелкните кнопку ОК, чтобы создать локальную группу.
6. Щелкните кнопку ОК еще раз.

   Обратите внимание на список Groups (Группы): в нем появилась созданная Вами группа, причем на ее значке изображен компьютер — признак локальной группы.

> Завершение упражнения

Создайте все остальные локальные группы Квебекского домена, перечисленные в шаблоне планирования групп, и включите в их состав соответствующие учетные записи пользователей.

> Анализ возможных комбинаций групп

В этом упражнении Вы проиграете всевозможные комбинации глобальных и локальных групп, чтобы выяснить, какие из них могут быть членами других групп. В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) попробуйте:

1. добавить глобальную группу в глобальную группу;
2. добавить глобальную группу в локальную группу;
3. добавить локальную группу в локальную группу;
4. добавить локальную группу в глобальную группу.

Какие комбинации допустимы?

ответ

Удаление групп

Удаляя группу, Вы фактически уничтожаете ее название, описание и присвоенные ей права. Однако этот процесс не затрагивает входящие в ее состав учетные записи.

Удаленную группу нельзя восстановить, поэтому прежде серьезно подумайте. Дело в том, что при удалении группы навсегда удаляется ее идентификатор защиты (Security Identifier, SID), который используется при определении прав доступа. Именно по этой причине права группы нельзя восстановить, даже создав новую группу с тем же именем.

> Удаление учетной записи группы

1. В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) дважды щелкните глобальную группу Accountants (Бухгалтерия).

   Обратите внимание на список членов группы в диалоговом окне Global Group Properties (Свойства глобальной группы).

2. Щелкните кнопку Cancel (Отмена), чтобы вернуться в окно User Manager for Domains.
3. Убедившись, что группа Accountants (Бухгалтерия) выбрана, в меню User (Пользователь) щелкните команду Delete (Удалить).

   На экране появится следующее сообщение:

   «Каждой группе соответствует уникальное значение идентификатора защиты, которое не связано с именем группы. После удаления даже создание новой группы с тем же именем не вернет права доступа к ресурсам, присвоенным данной группе».

4. Щелкните кнопку OK — и группа будет удалена.

   Убедитесь, что имена членов группы не были удалены — они по-прежнему перечислены в окне утилиты User Manager for Domains. Итак, удаление учетной записи группы не удаляет ее членов.

5. Закройте User Manager for Domains (Диспетчер пользователей доменов).

Резюме

• В сети, основанной на доменной модели, локальные и глобальные группы создаются с помощью утилиты User Manager for Domains (Диспетчер пользователей доменов).
• В сети, основанной на модели рабочей группы, локальные группы создаются с помощью утилиты User Manager (Диспетчер пользователей).
• Для создании групп необходимо быть членом одной из встроенных групп Administrators (Администраторы) или Account Operators (Операторы учетных записей) компьютера, на котором создается группа.
• Локальную группу можно создать на любом компьютере под управлением Windows NT. Глобальная группа должна создаваться на главном контроллере домена
• Глобальная группа может входить в состав только локальной группы. Локальная группа не может быть членом никакой другой группы.

Дополнительную информацию о ...	Вы найдете в...
создании групп	главе 2, «Working with User and Group Accounts», документа Microsoft Windows NT Server Concepts and Planning
доверительных отношениях между доменами	главе 1, «Managing Windows NT Server Domains», документа Microsoft Windows NT Server Concepts and Planning
присвоении прав группам	главе 5, «Защита сетевых ресурсов с помощью прав доступа», настоящего курса; главе 6, «Защита сетевых ресурсов средствами NTFS», настоящего курса