Администрирование пользователей в лесу доменов
Ульи, ключи и подключи.
На самом верхнем уровни организации реестра находится корневой ключ, кото-
рый обычно называется ульем (hive) или разделом. В реестре содержатся пять ульев, по-
казанных на рис. 20.1, и все они постоянны (то есть жестко встроены в Windows Server
2003). Поскольку эти ульи жестко встроены, их невозможно удалять, модифицировать
или добавлять.
Ульи с содержимым
HKEY_CURRENT_CONFIG Текущая информация об аппаратной конфигурации.
HKEY_CLASSES_ROOT Ассоциации файлов и информация OLE.
HKEY_CURRENT_USER Информация о пользователях, работающих в настоящий
момент в системе, например, параметры рабочего стола
и сетевые подключения.
HKEY_USERS Информация учетных записей локальных пользователей.
Информация о каждом пользователе хранится в отдельном
подключе.
HKEY_LOCAL_MACHINE Информация и параметры системной конфигурации:
параметры оборудования, программного обеспечения
и безопасности.
По случайному совпадению некоторые из этих ульев также являются подключами
других ульев и связаны друг с другом. Эти ульи и соответствующие связанные с ними
пути перечислены в табл. 20.2.
Связи ульев
HKEY_CLASSES_ROOT HKEY_LOCAL_MACHINE\SOFTWARE\Classes
HKEY_CURRENT_CONFIG HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Hardware Profiles\Current
HKEY_CURRENT_USER HKEY_USERS (текущий пользователь)
Улей HKEY_LOCAL_MACHINE содержит различную информацию, относящуюся к
оборудованию (например, память, типы шин, драйверы устройств и так далее) и уста-
новленным в системе программам. Как видно на рис. 20.2, этот улей содержит пять
следующих подключей:
• HARDWARE
• SAM
• SECURITY
• SOFTWARE
• SYSTEM
Назначение этих пяти подключей объясняется в последующих разделах.
Типы групп
Active Directory Windows Server 2003 поддерживает два различных типа групп:
группы рассылки и группы доступа. Оба этих типа имеют свое специальное назначе-
ние и преимущества, и для их правильного использования необходимо четко уяснить
их характеристики.
Группы рассылки позволяют сгруппировать адресатов, пользователей или группы
в первую очередь для целей рассылки почтовых сообщений. Эти типы групп не могут
использоваться для предоставления или запрещения доступа к ресурсам доменов.
Списки разграничительного контроля доступа (Discretionary Access Control List —
DACL), используемые для предоставления или запрещения доступа к ресурсам или
определения прав пользователей, состоят из элементов контроля доступа (Access Con-
trol Entry — ACE). Группы рассылки не обладают возможностями управления безопас-
ностью и не могут использоваться в DACL. В некоторых случаях это может упростить
управление безопасностью, когда внешние поставщики должны упоминаться в адрес-
ных книгах, но не должны получать доступ к ресурсам в домене или лесу.
Группы доступа имеют возможность обеспечения безопасности и могут использо-
ваться для назначения прав пользователей и прав доступа к ресурсам или для приме-
нения групповых политик компьютеров и Active Directory. Использование групп дос-
тупа вместо отдельных пользователей упрощает администрирование. Группы можно
создавать для отдельных ресурсов или задач, и при изменении списка пользователей,
которым нужен доступ к каким-либо ресурсам, можно изменить только членство в
группах в соответствии с изменениями во всех ресурсах, используемых этой группой.
Для выполнения административных задач можно определить группы доступа для
различных уровней ответственности. Например, администратор сервера уровня 1
может иметь право изменять пароли пользователей и управлять рабочими станциями,
а администратор уровня 2 может иметь эти полномочия и еще право добавлять или
удалять объекты из конкретной организационной единицы или домена. Количество
возможных уровней ответственности огромно, поэтому одним из способов упрощения
администрирования в рамках предприятия может быть создание функциональной
структуры группы доступа. Группы доступа могут быть также использованы для почто-
вых целей, и в таком случае выполняют сразу две задачи.
С помощью локальных групп домена можно назначать полномочия для выполне-
ния административных задач в домене и для доступа к ресурсам, размещенным на кон-
троллерах домена. Эти группы могут содержать членов из любого домена леса, а также
другие группы в качестве своих членов. Локальным группам домена могут быть назна-
чены полномочия только в том домене, в котором они размещены.
Глобальные группы несколько более функциональны, чем локальные группы домена.
Эти группы могут содержать членов только из домена, в котором они расположены, но
им могут быть назначены права доступа к ресурсам или делегировано управление вы-
полнением административных задач или управление службами в нескольких доменах,
если между доменами установлены соответствующие доверительные отношения.
Универсальные группы могут содержать пользователей, группы, адресатов или
компьютеры из любого домена леса. Это упрощает необходимость ведения в одном
домене групп, члены которых принадлежат различным лесам. Членство в универсаль-
ных группах не должно широко применяться или часто изменяться, поскольку членство в группах реплицируется во все домены и заносится в глобальный каталог. Лучше
всего создать универсальную группу, охватывающую домены, но содержащую в каче-
стве членов только глобальные группы из каждого домена. Это уменьшает междомен-
ную репликацию.
Создание групп
При создании групп понимание характеристик и ограничений каждого из различных типов и областей действия — всего лишь полдела. При создании групп необходимо рассмотреть и то, как группа будет использована, и кто будет членами этой группы.
Группы обычно применяются для выполнения трех отдельных функций: делегирование административных прав, рассылка почтовых сообщений и обеспечение безопасости сетевых ресурсов, таких как общие файловые ресурсы и печатающие устройства. Чтобы лучше разобраться в использовании групп, ниже приведены примеры использования различных групп в различных ситуациях администрирования.
Администрирование пользователей в отдельном домене.
Если группа нужна для упрощения процесса предоставления прав на изменение па-
ролей пользователей в отдельном домене, достаточно организовать локальную группу
доступа домена или глобальную группу доступа. Реальные права пользователей домена
должны иметь локальные группы, применяемые только к их спискам управления дос-
тупом или настройкам, но эти локальные группы должны иметь в качестве своих чле-
нов глобальные группы. Если в модели с отдельным доменом некоторые права пользо-
вателей необходимо разрешить только на уровне домена, то достаточно создать ло-
кальную группу домена с пользователями в качестве членов. Но если нужно добавить
ту же самую группу пользователей в список управления доступом к ресурсу рядового
сервера или требуется создать полностью новый домен, то локальную группу домена
применять нельзя. Эта основная причина, по которой рекомендуется помещать поль-
зователей только в глобальные группы и назначать права доступа к ресурсам с помо-
щью локальных групп, содержащих в качестве членов глобальные группы. Вы сами все
поймете и оцените экономию времени на администрирование, когда примените эту
стратегию и многократно используете глобальные группы.
Администрирование пользователей в лесу доменов
Если один и тот же IT-персонал должен сопровождать несколько доменов, то даже
если уровни доменов установлены в режим Windows 2000 Mixed, группа DomainAdmins (Администраторы домена) каждого домена должна быть добавлена в группу
Administrators (Администраторы) каждого домена. Например, группа Administrators
домена A будет иметь в качестве членов группы Domain Admins доменов A, B и C. Эти
домены необходимо добавить, если ресурс или административная задача требует раз-
решения или запрещения доступа к ресурсу леса группам из каждого домена.
Если все домены леса выполняются на функциональном уровне Windows 2000 Na-
tive или Window Server 2003 Native Domain, можно создать универсальную группу дос-
тупа с именем Forest Admins (Администраторы леса) с группами Domain Admins в ка-
честве ее членов. Затем необходимо сконфигурировать только один элемент, чтобы
разрешить всем администраторам доступ по всему лесу для конкретного ресурса или
прав пользователя. Универсальные группы доступа полезны потому, что они могут со-
держать членов из каждого домена, но при правильно разработанной групповой стра-
тегии большинство ситуаций будут все-таки обрабатываться на уровне локальных и
глобальных групп домена.
Профиль пользователя
Профиль пользователя состоит из всех настроек, используемых для конфигуриро-
вания внешнего вида рабочего стола пользователя. Элементы, хранимые в профиле
пользователя — это избранные страницы Internet Explorer, конфигурации подклю-
ченных сетевых дисков и принтеров, почтовые профили, данные папки “Мои доку-
менты”, конфигурации или настройки конкретных приложений, параметры рабочего
стола и многое другое. Администраторам часто бывает необходимо обновлять или пе-
реконфигурировать профиль пользователя при необходимости изменения конфигу-
рации или при создании нового профиля.
Типы профилей
Доступно несколько типов профилей пользователя, дающих администраторам
большую гибкость при настройке и автоматизации параметров профиля. Хотя каждый
тип профиля, описанный в последующих разделах, предоставляет определенные воз-
можности, многие параметры профилей могут быть сконфигурированы и с помощью
групповых политик.
Групповые политики
Политики, для которых исторически сложилось название “системные политики”,
существуют на протяжении многих серверных версий продуктов Windows. Но в Win-
dows Server 2000, а теперь и в Windows Server 2003, групповые политики стали неотъ-
емлемой частью операционной системы. Групповые политики (Group Policy — GP)
применяются для донесения до пользователя стандартного набора мер безопасности,
управления, правил и опций. Кроме того, с их помощью можно сконфигурировать все
от входных сценариев и перенаправления папок до отключения службы Active Desktop
и запрета установки программ пользователями на их рабочих станциях.
Не нашли, что искали? Воспользуйтесь поиском по сайту:
©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|