Главное меню
Вы здесь
8. Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
См. примечание после табл. 25.1.
К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Локальные группы в домене:
| Администраторы (Administrators) |
| Гости (Guests) |
| Операторы архива (Backup Operators) |
| Операторы печати (Print Operators) |
| Операторы сервера (Server Operators) |
| Операторы учета (Account Operators) |
| Пользователи (Users) |
| Репликатор (Replicator) |
| Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess) |
Глобальные группы:
| Администраторы домена (Domain Admins) |
| Владельцы-создатели групповой политики (Group Policy Creator Owners) |
| Гости домена (Domain Guests) |
| Издатели сертификатов (Cert Publishers) |
| Компьютеры домена (Domain Computers) |
| Контроллеры домена (Domain Controllers) |
| Пользователи домена (Domain Users) |
Универсальные группы:
| Администраторы предприятия (Enterprise Admins) |
| Администраторы схемы (Schema Admins) |
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:
| ВСЕ (Everyone) — объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов. |
| СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально). |
| ИНТЕРАКТИВНЫЕ (Interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс. |
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы:
| 1. | Выберите подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберите в появившемся меню команду Создать | Группа (Group), либо нажмите кнопку Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов. |
| 2. | В открывшемся окне диалога Новый объект — Группа в поле Имя группы (Group name) введите имя создаваемой группы. По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)). |
| 3. | Установите переключатель Тип группы (Group type) в одно из положений, соответствующее типу создаваемой группы: Группа безопасности (Security) или Группа распространения (Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения. |
| 4. | Установив в одно из положений переключатель Область действия группы (Group scope), выберите подходящую область действия создаваемой группы. Область действия группы определяет, где может быть видна данная
группа (уровень доступности) и какие типы объектов могут быть ее членами (табл. 25.2). |
Таблица 25.2. Соответствие области действия и других свойств группы
| Область действия | Уровень доступности группы | Тип объектов, допустимых в качестве членов группы |
| Локальная в домене (Domain Local) | Отдельный домен | Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее — только в основном, native, режиме домена) |
| Глобальная (Global) | Лес | Пользователи, а также глобальные и универсальные группы |
| Универсальная (Universal) | Лес | Пользователи и глобальные группы (только в основном режиме домена) |