infrastructura IT pentru întreprinderea dvs.
Pentru a afla cum de a schimba caracteristicile grupurilor, a se vedea bara laterală „Evoluția grupurilor în Windows“. Nu va atinge grupurile locale definite în bazele de date ale sistemelor de securitate calculator autonome, precum și stații de lucru și servere de sine stătătoare în domeniu. Aceste grupuri locale pot fi folosite numai pe computerul local în scopul accesului la resursele locale care permit. Group, pe care o vom discuta în acest articol, poate fi folosit pentru a atribui permisiuni de a face apel la resursele în domeniu larg, iar în unele cazuri - în domeniul scalei forestiere.
Figura 1: Proprietățile grupului în Active Directory Users fereastra de scule și Calculatoare
Într-un e-mail poate fi folosit liste de distribuție și grupurile de securitate. Dar, mai important, puteți utiliza grupuri de securitate pentru a efectua legate de protecția datelor de sarcini administrative, cum ar fi atribuirea de permisiuni pentru resurse pe tratament, deoarece SID al grupului de securitate se adaugă la jeton de acces al utilizatorului Windows în timpul procesului de autentificare. grup de distribuire SID nu este adăugat la jeton de acces al utilizatorului din Windows, astfel încât grupul de distribuție nu poate fi utilizat pentru a efectua sarcini administrative legate de protecția datelor. Deoarece singurele grupuri de securitate pot fi folosite pentru atribuirea autorizațiilor de resurse de circulație în viitor, mă voi concentra pe grupuri de acest tip.
Ecranul 2: Avertizare afișată atunci când conversia unui grup de securitate la un grup de distribuire
grup Gama definește modul în care puteți utiliza acest grup într-un mediu multi-domeniu. În special, raza de acțiune a grupului determină dacă grupul poate conține utilizatori și grupuri din alt domeniu. În plus, gama a grupului determină dacă este acceptabil cu acest grup pentru a seta permisiunile pentru un apel la alte resurse de domeniu.
Tabelul 3 arată care directori de securitate (adică, utilizatori, calculatoare sau grupuri) pot fi membri ai unui grup global grup universal și grupul local de domeniu. În plus, aici vedem cazurile în care directori de securitate trebuie să fie localizate în domeniul în care este definit grupul (astfel de domenii din tabelul 3 sunt denumite SD), sau pot fi plasate într-un alt domeniu, care face parte din aceeași pădure (DO INT), sau un alt domeniu extern (OD-EXT).
Acum, că știți ce directori de securitate pot fi membri ai unui grup, este timpul pentru a ridica problema în cazul în care aceste grupuri pot fi folosite pentru a seta permisiunile pentru un apel la resursele. Tabelul 4 prezintă grupurile care oferă posibilitatea de a seta permisiuni pentru a fi difuzate numai resurse pentru domeniul dvs., în cazul în care gruparea corespunzătoare a fost determinată, și care permit chiar să setați permisiunile pentru un apel la alte resurse de domeniu. După cum se vede din tabelul 4, grupurile locale de domeniu sunt singurul tip de grupuri, ceea ce face imposibilă instalarea permisiuni la alte resurse de domeniu.
- grup global poate fi membru al celorlalte grupuri globale, grupuri universale sau grup local de domeniu.
- Universal Group poate fi membru al unui alt grup universal sau un grup de domeniu local, dar nu poate fi membru al unui grup global.
- Domeniul de membru al grupului local poate fi doar un alt grup local de domeniu.
- grup local de domeniu poate fi convertit într-un grup universal numai în cazul în cazul în care grupul local de domeniu nu include alți membri ai grupului local de domeniu. membru al grupului local de domeniu nu poate fi grup universal.
- grup global poate fi transformat în universal numai în cazul în care acest grup la nivel mondial nu face parte din celelalte grupuri la nivel mondial. grup universal nu poate fi membru al unui grup global.
- Într-un mediu multi-domeniu, transformarea grupului universal într-o globală permisă numai atunci când toți membrii grupurilor universale sunt definite în domeniul al grupului universal. grup global poate conține numai obiecte în domeniul său.
Deci, în multe organizații, utilizatorii schimbă în mod regulat o parte de organizare la alta. De regulă, fiecare rol presupune existența unor autorizații specifice face apel la unele resurse pentru Windows. Serviciul AD oferă posibilitatea de a crea grupuri la roluri organizaționale (de exemplu, operatorii de call center, dezvoltatori) și atribuiți permisiuni pentru a lucra cu resursele pentru aceste grupuri. În cazul în care rolul modificărilor de utilizator, administratorul este suficientă pentru a permite contului de utilizator în grupul respectiv. Această abordare este mult mai eficientă decât un simplu permisiunile contului reinstalre, în scopul de a oferi utilizatorului acces la resursele necesare pentru a îndeplini noul rol.
Iată câteva „reguli de aur“, care trebuie urmate pentru a controla accesul la resursele grupurilor:
Alegerea structurilor imbricate poate depinde, de asemenea, de doi factori. În primul rând - care deține și ce importanță sunt protejate de date. În cazul în care dezvăluirea de date este deosebit de periculos, responsabil pentru protecția acestora, administratorul trebuie să aibă un control deplin asupra căreia i se acordă acces. Astfel, cea mai bună politică în acest caz - nu folosiți o structură arborescentă. În schimb, ar trebui să utilizați un grup pentru a controla calitatea de membru și același grup - pentru furnizarea de permisiuni de acces la o resursă. Cu toate acestea, această abordare nu este optimă atunci când mai mulți utilizatori au nevoie de acces la o anumită resursă, iar proprietarul său nu vrea sau nu poate controla calitatea de membru al fiecărui utilizator în grupul corespunzător. În astfel de cazuri, are sens să organizeze mai multe grupuri și permite altor administratori pentru a gestiona utilizatorii lor în grupurile lor respective, și apoi să investească grupul într-un alt grup, prin care vom acorda permisiunea de a accesa resursa.
Al doilea factor care ar putea afecta decizia administratorului cu privire la formarea unei structuri de grup imbricate - este abilitatea de a recupera statutul de membru în grupuri AD după ștergerea accidentală a obiectelor AD. Cel mai greu lucru este restaurat apartenența la grupuri locale în cazul în care membrii acestor grupuri sunt situate într-un alt domeniu.
Notă o excepție importantă de la această regulă; vorbim despre retele mari de AD, ceea ce sugerează prezența a numeroase grupuri locale. Spre deosebire de grupurile de AD, grupuri de utilizatori de sistem local nu prevăd posibilitatea de a extinde de membru la sistemul de check-in și nu afectează dimensiunea acreditările Kerberos. Cu alte cuvinte, în acest caz, mai adecvată utilizarea non-locale grupuri de domeniu și sistem de grupuri locale.
- Pentru a oferi utilizatorilor acces la resursele distribuite pe mai multe domenii, utilizați grupuri universale. Pentru a face acest lucru, grupurile sociale la nivel mondial în grupuri universale, grupuri universale - în grupul local de domeniu, iar apoi utilizați grupuri locale pentru a seta permisiunile de circulație a resurselor.
- Utilizați grupuri universale în cazurile în care apartenența la grupul este aproape de statică. Atunci când apartenența la grup este supusă unor modificări frecvente, utilizați grupul de facilitator: adăugați utilizatori la un grup la nivel mondial, iar apoi introduceți acest grup la nivel mondial la grupul universal. Grupuri universale generează volume mai mari de trafic de rețea în rețele cu mai multe domenii, deoarece informațiile despre apartenența la grup universal sunt stocate în catalogul global, care este replicată la nivel de pădure.
Deci, urmați „regulile de aur“ de mai sus. În plus, vă recomandăm cititorilor să adere la următoarele principii: să încerce să creeze cât mai puțin posibil pentru a limita numărul de grupuri și niveluri de investiții. La urma urmei, cu atât mai mici grupuri și nivelurile de investiții, cu atât mai ușor un sistem de permise și cu atât mai ușor este de a găsi cauza unei probleme în cazul unor probleme.
Deci, ne-am uitat la caracteristicile de bază ale grupurilor AD și a dat seama cum să le folosească pentru a organiza gestionarea eficientă a permisiunilor de a utiliza resursele. Fără aceste cunoștințe, nu fac nici un singur administrator AD.
Zhan De Clercq ([email protected]) - un membru al Oficiului de Securitate Hewlett-Packard Corporation. Interesele sale includ managementul identității și problemele de securitate cu produsele Microsoft.
EVOLUTION GROUP WINDOWS
Tabelul 1: Nivelurile domeniilor funcționale
nivel de domeniu funcțional
Sistemele de operare utilizate pe controlerele de domeniu