Управление локальными и глобальными группами
Без группового администрирования управление пользователями было бы довольно сложной задачей. Основная идея — присваивать права доступа только группам, а затем управлять правами отдельных пользователей, включая или удаляя их из различных групп по мере необходимости. Если следовать этому принципу, вам почти не придется задавать права доступа к ресурсам для отдельных пользователей. Учетным записям пользователей практически не назначаются никакие права — все они наследуются от групп, к которым принадлежат пользователи.
Хороший подход к реализации безопасности пользователей в NT заключается в том, чтобы создать группу для каждого ресурса в сети. Для каждого ресурса будет существовать группа, управляющая доступом к нему. После создания таких групп вам придется в основном управлять группами и их членами, а не конкретными ресурсами.
В Windows NT существует два вида групп: локальные и глобальные. Локальные группы доступны лишь в локальном домене; глобальные группы распространяются за пределы доменов. Вы должны хорошо понимать это принципиальное отличие. Другое важное отличие заключается в том, что локальные группы могут содержать и пользователей, и другие группы, тогда как глобальные группы содержат только пользователей. Никакие локальные или глобальные группы не могут входить в другую глобальную группу.
Итак, если вы хотите предоставить домену Engineering доступ к цветному принтеру в домене Marketing, следует создать глобальную группу (например, EngnrPrint) и разрешить ей доступ к принтеру. Снова обратите внимание: тот факт, что домен Marketing доверяет глобальной группе EngnrPrint доступ к цветному принтеру, вовсе не означает, что один домен обладает какими-либо дополнительными правами для ресурсов другого домена, если такие права не были специально заданы.
Как упоминалось выше, в NT существует несколько встроенных локальных и глобальных групп, которым по умолчанию назначаются определенные привилегии. В табл. 5.1 перечислены эти группы (локальные и глобальные) вместе со стандартными членами и описаниями.
Таблица 5.1. Встроенные группы в NT
| Название группы | Стандартные члены | Локальная/ глобальная | Описание |
| Account Operators (операторы учетных записей) |
Нет | Локальная | Члены группы могут администрировать учетные записи пользователей и групп |
| Administrators (администраторы) | Администраторы домена, Администратор |
Локальная | Члены группы обладают неограниченными возможностями администрирования компьютер/домен |
| Backup Operators (операторы архива) | Нет | Локальная | Члены группы имеют доступ с целью архивации файлов |
| Domain Admins (администраторы домена) | Администратор | Глобальная | Назначенные администраторы домена |
| Domain Guests (гости домена) | Гость | Глобальная | Все гости домена |
| Domain Users (пользователи домена) | Администратор | Глобальная | Все пользователи домена |
| Guests (гости) | Гость | Локальная | Пользователи, которым был предоставлен доступ к компьютеру/домену |
| Everyone (Все) | Все | Глобальная/ локальная | Все пользователи |
| Print Operators (операторы печати) | Нет | Локальная | Члены группы могут администрировать принтеры домена |
| Replicators (репликаторы) | Нет | Локальная | Поддержка репликации файлов в домене |
| Server Operators (операторы сервера) | Администратор | Локальная | Члены группы могут администрировать серверы домена |
| Users(пользователи) | Пользователи домена | Локальная | Обычные пользователи |
• Full Control (Полный доступ) —
пользователи могут добавлять, читать и изменять файлы, изменять разрешения для каталогов и становиться владельцами каталогов и файлов.
• List (Право просмотра) — пользователи могут получать списки файлов и подкаталогов данного каталога.
• Read (Право чтения) — пользователи могут читать файлы и запускать приложения из каталога.
• Add (Право добавления) — пользователи могут добавить в каталог новые файлы, но не могут изменить их.
• Add & Read (Право добавления и чтения)
— пользователи могут добавлять и читать файлы в каталоге, но не могут их изменять.
• Change (Право изменения) — пользователи могут добавлять, читать и изменять содержимое файлов каталога.
• No Access (Нет доступа) — пользователи не могут обратиться к каталогу (даже если они являются членами других групп, которым такой доступ разрешен).
Совет
Когда пользователь принадлежит нескольким группам домена, приоритетным является право с минимальными ограничениями. Например, если пользователь имеет полный доступ для одной группы и право чтения — для другой, то в результате он будет иметь привилегии полного доступа. Кстати говоря, отсутствие доступа означает ПОЛНОЕ ОТСУТСТВИЕ ДОСТУПА!
