Windows NT. Сдача сертификационного экзамена

       

Управление локальными и глобальными группами


Без группового администрирования управление пользователями было бы довольно сложной задачей. Основная идея — присваивать права доступа только группам, а затем управлять правами отдельных пользователей, включая или удаляя их из различных групп по мере необходимости. Если следовать этому принципу, вам почти не придется задавать права доступа к ресурсам для отдельных пользователей. Учетным записям пользователей практически не назначаются никакие права — все они наследуются от групп, к которым принадлежат пользователи.

Хороший подход к реализации безопасности пользователей в NT заключается в том, чтобы создать группу для каждого ресурса в сети. Для каждого ресурса будет существовать группа, управляющая доступом к нему. После создания таких групп вам придется в основном управлять группами и их членами, а не конкретными ресурсами.

В Windows NT существует два вида групп: локальные и глобальные. Локальные группы доступны лишь в локальном домене; глобальные группы распространяются за пределы доменов. Вы должны хорошо понимать это принципиальное отличие. Другое важное отличие заключается в том, что локальные группы могут содержать и пользователей, и другие группы, тогда как глобальные группы содержат только пользователей. Никакие локальные или глобальные группы не могут входить в другую глобальную группу.

Итак, если вы хотите предоставить домену Engineering доступ к цветному принтеру в домене Marketing, следует создать глобальную группу (например, EngnrPrint) и разрешить ей доступ к принтеру. Снова обратите внимание: тот факт, что домен Marketing доверяет глобальной группе EngnrPrint доступ к цветному принтеру, вовсе не означает, что один домен обладает какими-либо дополнительными правами для ресурсов другого домена, если такие права не были специально заданы.

Как упоминалось выше, в NT существует несколько встроенных локальных и глобальных групп, которым по умолчанию назначаются определенные привилегии. В табл. 5.1 перечислены эти группы (локальные и глобальные) вместе со стандартными членами и описаниями.


Таблица 5.1. Встроенные группы в NT



Название группы Стандартные члены Локальная/ глобальная Описание
Account Operators (операторы учетных записей)

Нет Локальная Члены группы могут администрировать учетные записи пользователей и групп
Administrators (администраторы) Администраторы домена, Администратор

Локальная Члены группы обладают неограниченными возможностями администрирования компьютер/домен
Backup Operators (операторы архива) Нет Локальная Члены группы имеют доступ с целью архивации файлов
Domain Admins (администраторы домена) Администратор Глобальная Назначенные администраторы домена

Domain Guests (гости домена) Гость Глобальная Все гости домена
Domain Users (пользователи домена) Администратор Глобальная Все пользователи домена
Guests (гости) Гость Локальная Пользователи, которым был предоставлен доступ к компьютеру/домену
Everyone (Все) Все Глобальная/ локальная Все пользователи
Print Operators (операторы печати) Нет Локальная Члены группы могут администрировать принтеры домена
Replicators (репликаторы) Нет Локальная Поддержка репликации файлов в домене

Server Operators (операторы сервера) Администратор Локальная Члены группы могут администрировать серверы домена
Users(пользователи) Пользователи домена Локальная Обычные пользователи
Кроме того, каждая группа обладает определенным типом доступа на уровне каталогов:

• Full Control (Полный доступ) —

пользователи могут добавлять, читать и изменять файлы, изменять разрешения для каталогов и становиться владельцами каталогов и файлов.

• List (Право просмотра) — пользователи могут получать списки файлов и подкаталогов данного каталога.

• Read (Право чтения) — пользователи могут читать файлы и запускать приложения из каталога.

• Add (Право добавления) — пользователи могут добавить в каталог новые файлы, но не могут изменить их.

• Add & Read (Право добавления и чтения)

— пользователи могут добавлять и читать файлы в каталоге, но не могут их изменять.

• Change (Право изменения) — пользователи могут добавлять, читать и изменять содержимое файлов каталога.

• No Access (Нет доступа) — пользователи не могут обратиться к каталогу (даже если они являются членами других групп, которым такой доступ разрешен).

Совет

Когда пользователь принадлежит нескольким группам домена, приоритетным является право с минимальными ограничениями. Например, если пользователь имеет полный доступ для одной группы и право чтения — для другой, то в результате он будет иметь привилегии полного доступа. Кстати говоря, отсутствие доступа означает ПОЛНОЕ ОТСУТСТВИЕ ДОСТУПА!


Содержание раздела