Active DirectoryГруппы (Groups)


The Presentation inside:

Slide 0

Active Directory Группы (Groups) www.kraulf.ru – На данном ресурсе можно получить этот ролик, а так же другое видео на тему IT. Вопросы, предложения или комментарии – [email protected] 1


Slide 1

Головной офис в Москве Дополнительный офис в Новосибирске Сеть 10.10.10.0/24 Сеть 20.20.20.0/24 10.10.10.1 20.20.20.1 10.10.10.2 dc01.stednet.ru 20.20.20.3 10.10.10.4 red.stednet.ru green.stednet.ru 10.10.10.5 black.stednet.ru Сотрудники: Генеральный директор Секретарь Зам. ген. директора Бухгалтерия Отдел продаж Отдел системного администрирования Отдел поддержки пользователей Сотрудники: Производство 2


Slide 2

IT Стандарты компании Stednet Генеральный директор - President Медведков Сергей Павлович – Medvedkov Sergey Pavlovich тел:1111 Отдел поддержки пользователей - HelpDesk Каменев Иван Николаевич – Kamenev Ivan Nikolaevich тел:2222 Секретарь - Secretary Смирнова Ирина Игоревна – Smirnova Irina Igorevna тел:1113 Заместитель генерального директора – Vice-president Путинов Михаил Петрович – Putinov Mikhail Petrovich тел:1112 Бухгалтерия - Accounting Иванова Мария Сергеевна – Ivanova Mariya Sergeevna тел:1253 Попова Светлана Николаевна – Popova Svetlana Nikolaevna тел:1256 Кузнецова Ирина Сергеевна – Kuznetsova Irina Sergeevna тел: 1268 Захарова Татьяна Федоровна – Zakharova Tatyana Fedorovna тел:1263 Чернова Галина Алексеевна – Chernova Galina Alekseevna тел: 1274 Отдел продаж - Sale Новиков Николай Анатольевич – Novikov Nikolay Anatolievich тел:1281 Титов Сергей Петрович – Titov Sergey Petrovich тел:1279 Сорокина Лариса Ивановна – Sorokina Larisa Ivanovna тел:1645 Белова Мария Сергеевна – Belova Mariya Sergeevna тел:1532 Производство - Production Петров Иван Николаевич – Petrov Ivan Nikolaevich тел:1233 Ларионов Александр Алексеевич – Larionov Aleksandr Alekseevich тел:1265 Волков Тарас Петрович – Volkov Taras Petrovich тел:1481 Морозов Николай Иванович – Morozov Nikolay Ivanovich 1044 Ткаченко Федор Владимирович – Tkachenko Fedor Vladimirovich тел: 1648 Иванов Андрей Семенович – Ivanov Andrey Semenovich тел: 1155 Отдел системного администрирования – System administration division Мезенцев Артем Федорович – Mezentsev Artem Fedorovich тел: 2221 ! Рекомендуется использовать стандарты в транслитерации: Alexandr Aleksandr Локальный администратор и его пароль на всех клиентских компьютерах: username: locadmin pass:Qwert111 Локальный администратор и его пароль на всех серверах: username: administrator pass:Asdfg111 Администратор домена: username: superadmin pass: Zxcv555 Имена пользователей в AD именуются исходя из принципа: фамилия +знак подчерк+первая буква имени Т.е. : Белова Мария Сергеевна = belova_m 3 Стандартный пароль при заведении нового пользователя: Qwerty555


Slide 3

GROUP (группы) Group (группа) – объект AD, который может хранить в себе другие объекты AD, такие как: Учетные записи пользователей Контакты Компьютеры Другие группы Группы предназначены для того, чтобы одновременно управлять сразу несколькими объектами. Вместо того чтобы работать отдельно с каждым объектом из какого-то множества объектов, можно это множество объектов поместить в одну группу и работать уже с одной группой. 4


Slide 4

GROUP (группы) Группы Безопасности Группы Распространения Типы групп Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности. Пример: 120-ти пользователям нашего предприятия необходимо предоставить доступ на чтение к сетевому ресурсу \\fileserv01\project Вместо того, чтобы предоставлять этот доступ отдельно каждому пользователю, мы создадим группу projectUsers, куда и поместим все 120-ть пользователей. После этого в AD мы предоставим право на чтение ресурса \\fileserv01\project группе projectUsers. Таким образом все пользователи кто находится в группе projectUsers получили право на чтение ресурса \\fileserv01\project Так как группа projectUsers создавалась для предоставления доступа, то она должна принадлежать к типу групп – группы безопасности. Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы, которые могут работать с AD. Пример: На нашем предприятии установлен MS Exchange, который в своей работе использует AD. Пользователь Ivanov_I работает в составе некой группы из 15 человек. Эта группа из 15 человек работает над одним проектом – сайтом www.kraulf.ru Каждому из этих 15-ти человек периодически приходится уведомлять остальных, используя электронную почту, что он внес какое-то новшество в www.kraulf.ru Поэтому этим пользователям, приходится периодически в MS Outlook вводить адреса всех 14-ти коллег, причем необходимо следить чтобы никто не был пропущен. Вместо этого можно создать группу распространения, куда необходимо поместить всех пользователей кто работает над этим проектом. И теперь можно адресовать письмо одной группе, а не каждому в отдельности. Направив письмо группе распространения его получат все кто входит в данную группу. 5


Slide 5

Область действия групп Область действия группы показывает в какой части сети можно назначать разрешения данной группе, а так же кто может входить в данную группу. В зависимости от области действия группы бывают следующих типов: Локальная группа домена Глобальная группа Универсальная группа Локальная группа домена - В данную группу можно вносить объекты из любых доменов. - Может использоваться для назначения доступа только к тем ресурсам, которые расположены в том же домене, где и была создана группа. Глобальная группа - В данную группу можно вносить объекты только того домена, в котором и была создана группа. - Может получать разрешения на доступ к ресурсам в любом домене. Универсальная группа - В данную группу можно вносить объекты из любых доменов. - Может получать разрешения на доступ к ресурсам в любом домене. 6


Slide 6

TOM JACK LINDA JULIA KRISTINA GARRY BILL RED GREEN PC01 PC02 PC03 COMP1 COMP2 DOMCON DC01 MAIN STEDNET.RU NVS.STEDNET.RU SPB.STEDNET.RU Задача: предоставить доступ на чтение к папке \\fileserv\project пользователям JACK, KRISTINA, GARRY, BILL и TOM. Решение: Так как перечисленные пользователи принадлежат различным доменам AD, необходимо создать локальную группу домена и поместить в нее перечисленных пользователей. Затем в AD указать что членам данной группы разрешен доступ к \\fileserv\project на чтение. FILESERV ADMIN JACK KRISTINA GARRY BILL TOM 7


Slide 7

TOM JACK LINDA JULIA KRISTINA GARRY BILL RED GREEN PC01 PC02 PC03 COMP1 COMP2 DOMCON DC01 MAIN STEDNET.RU NVS.STEDNET.RU SPB.STEDNET.RU Задача: предоставить доступ на чтение к каталогам \\fileserv\project и \\filestore\workdoc пользователям BILL и TOM. Решение: Так как перечисленные пользователи принадлежат одному домену, а ресурсы принадлежат к разным доменам, то необходимо создать ГЛОБАЛЬНУЮ ГРУППУ. В домене STEDNET.RU необходимо данной группе предоставить право на чтение папки \\fileserv\project В домене NVS.STEDNET.RU необходимо данной группе предоставить право на чтение папки \\filestore\workdoc FILESERV ADMIN BILL TOM FILESTORE 8


Slide 8

TOM JACK LINDA JULIA KRISTINA GARRY BILL RED GREEN PC01 PC02 PC03 COMP1 COMP2 DOMCON DC01 MAIN STEDNET.RU NVS.STEDNET.RU SPB.STEDNET.RU Задача: предоставить доступ на чтение к каталогам \\fileserv\project и \\filestore\workdoc пользователям BILL, TOM, JACK, JULIA, LINDA. Решение: Разным доменам принадлежат как перечисленные пользователи, так и перечисленные ресурсы. Поэтому необходимо создать УНИВЕРСАЛЬНУЮ ГРУППУ, и внести всех перечисленных пользователей в нее. Затем необходимо в домене STEDNET.RU предоставить данной группе доступ на чтение ресурса \\fileserv\project, а в домене NVS.STEDNET.RU этой же группе предоставить доступ на чтение \\filestore\workdoc. FILESERV ADMIN BILL TOM FILESTORE JACK JULIA LINDA 9


Slide 9

Права на создание групп: Правом на создание групп в Active Directory обладают пользователи, входящие в группы: - Администраторы предприятия (Enterprise Admins) - Администраторы домена (Domain Admins) - Операторы учета (Account Operators) Правом на создание групп на каком либо компьютере (рядовом сервере) обладают пользователи, входящие в группы: - Локальная группа компьютера Администраторы (Administrators) - Локальная группа компьютера Опытные Пользователи (Power Users) Список и описание встроенных групп: http://technet.microsoft.com/ru-ru/library/cc756898.aspx 10


×

HTML:





Ссылка: