Умелое обращение с пользовательскими группами экономит время и силы


Использование групп - особенно групп безопасности - заметно упрощает процесс управления предприятием. Пользовательские группы дают возможность назначать полномочия и права доступа в массовом порядке, что избавляет от необходимости работать с каждым пользователем многотысячного коллектива индивидуально.

Права доступа - это набор правил, связанных с такими объектами как папки, файлы или принтеры. Эти правила определяют, кто из пользователей будет иметь доступ к объектам и что они смогут делать с этими объектами, обратившись к ним. Например, права доступа к папке могут включать чтение, изменение и создание в папке файлов. Права доступа к принтеру могут включать право на удаление заданий (в том числе принадлежащих другим пользователям), изменение настроек принтера и установку драйверов. Полномочия пользователей определяют разрешенные действия пользователя по управлению системой, например, создание резервной копии диска или отключение системы.

Процесс формирования групп лучше рассматривать как включение пользователей в определенные группы, а не как разбиение всех пользователей на группы. Это облегчит восприятие ситуации, когда пользователь является членом более чем одной группы. Возможно также включение одной группы в другую и создание цепочки вложенных групп.

ТИПЫ ГРУПП

Первичных типов групп, поддерживаемых Windows 2000, два: группы безопасности (Security) и распространения (Distribution). Для назначения пользователям полномочий и прав доступа используются группы безопасности. Группы распространения применяются только для электронной почты. Группы этого типа выполняют те же функции, что и список рассылки (DL). При этом группы безопасности можно использовать в качестве списка рассылки, а группу распределения нельзя задействовать для назначения прав доступа и полномочий.

В Windows 2000 есть группы безопасности, соответствующие как локальным компьютерам (Local Groups), так и домену (Global Groups) - такой же подход прослеживается и в Windows NT. В Windows 2000 предусмотрен еще один вид групп безопасности - универсальные группы (Universal Group). Они распространяются на все предприятие и охватывают лес. Напомним, что лес - это набор из нескольких доменов Windows 2000, имеющих равные права в глобальном каталоге Active Directory (AD) и связанных между собой двусторонними доверительными отношениями. Универсальные группы существуют только в работающих в собственном режиме доменах Windows 2000, то есть только в том случае, когда выполнялась миграция на Windows 2000 всех контроллеров доменов предприятия.

ВСТРОЕННЫЕ И СТАНДАРТНЫЕ ГРУППЫ

В процессе инсталляции Windows 2000 автоматически создаются несколько групп, называемых встроенными. Для просмотра встроенных групп на компьютере, который не является контроллером домена, следует открыть в локальной консоли Microsoft Management Console оснастку Computer Management. Щелкните по значку MyComputer и выберите в меню пункт Manage. Раскройте пункт Local Users and Groups, а затем папку Groups. На правой панели отобразятся локальные встроенные группы, см. Экран 1. В Windows 2000 Advanced Server предусмотрены дополнительные встроенные группы для назначения Web-службам прав доступа и полномочий.

На сервере, настроенном для работы в качестве контроллера домена, контейнер Local Users and Groups недоступен, вследствие того, что контроллеры доменов предназначены для управления доменами, а локальные пользователи и группы не являются управляемыми объектами. В таком случае значок Local Users and Groups в оснастке Computer Manager покрывается красным крестиком, а если на нем щелкнуть, появляется сообщение об ошибке.

Контроллеры доменов содержат как встроенные, так и стандартные группы. Для просмотра этих групп выполните следующие действия:

Запустите в консоли Microsoft Management Console приложение Active Directory Users and Computers, выбрав из главного меню Programs, Administrative Tools.

Для просмотра встроенных групп выберите контейнер Builtin в левой панели. Информация о правах и полномочиях, назначенных каждой из групп, содержится в колонке Description.

Для просмотра стандартных групп выберите контейнер Users в левой панели. При этом в правой панели появится список пользователей домена (Экран 2). Заметьте, что некоторые стандартные группы предназначены для компьютеров, а не для пользователей.

ДОБАВЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ В ГРУППЫ

Каждый пользователь в домене автоматически является членом встроенной группы Users и стандартной группы Domain Users. Если нужно повысить уровень прав доступа или полномочий тех или иных пользователей, включите этих пользователей в соответствующую группу. Допустим, например, некоторым пользователям нужно дать полномочия для выполнения настроек принтеров. Такие права имеются у встроенной группы Print Operations, поэтому для назначения прав следует включить этих пользователей в указанную группу. Это можно сделать двумя способами:

  • С помощью закладки Member of (член группы) в окне Properties для пользователей.
  • С помощью закладки Members (состав) в окне Properties для групп.

    Ясно, что при добавлении большого числа пользователей к одной группе задача решается быстрее, если задействовать окно Properties группы, нежели окна Properties каждого пользователя. Порядок действия, однако, в обоих случаях одинаков. А именно, двойным щелчком по списку пользователей или групп необходимо раскрыть диалоговое окно Properties. Затем следует перейти к подходящему пункту. Нажмите кнопку Add; раскроется диалоговое окно со списком (Экран 3). Сделав выбор, нажмите Add и закройте окно, нажав OK для подтверждения изменений.

    ЦЕПОЧКИ ВЛОЖЕННЫХ ГРУПП

    Чтобы повысить уровень прав и полномочий целой группы пользователей, можно включить эту группу во вторую, имеющую большие права либо полномочия. Если нужно, например, разрешить всем пользователям управлять настройками принтеров, то можно изменить полномочия каждого сотрудника, включив группу Domain Users в группу Print Operations. Для этого откройте диалоговое окно Properties группы Print Operations и перейдите на закладку Members (Состав). Нажав на кнопку Add, откройте список групп, которые можно добавить в группу Print Operations, выберите группу Domain Users и нажмите Add для выполнения операции добавления. Затем дважды нажмите OK, закрывая диалоговые окна.

    Windows 2000 содержит набор правил, определяющих, какие типы групп можно добавлять к другим группам. Эти правила зависят от того, в каком режиме работает операционная система - в смешанном или собственном. Если Active Directory охватывает лес с множеством доменов, то количество правил, регулирующих создание цепочек групп, возрастает. Поэтому для упрощения процесса назначения прав и полномочий, когда одни группы включаются в другие, операционная система применяет правила автоматически и делает доступными для связывания только те группы, которые удовлетворяют правилам. Благодаря этому необходимость помнить все соответствующие правила отпадает.

    СОЗДАНИЕ ГРУПП

    Большинство администраторов создают группы и назначают права и полномочия в зависимости от местонахождения или обязанностей пользователя в рамках предприятия. Желая упростить, например, процесс назначения прав доступа к содержащим бухгалтерское программное обеспечение папкам, можно создать группу, состоящую из сотрудников бухгалтерского отдела. Теперь, вместо работы с большим списком отдельных пользователей, можно назначить права доступа целой группе.

    Для создания группы вызовите оснастку Active Directory Users and Computers, раскройте контейнер Users и выберите из раскрывающегося меню пункт New Group. В раскрывшемся диалоговом окне в ячейке Group Name введите имя создаваемой группы. Выберите область действия группы (Domain Local или Global). Группы Domain Local могут содержать пользователей только из текущего домена; если ОС работает в естественном режиме, то группы типа Domain Local могут содержать также группы типа Global и Universal из других доменов. Таким образом, ограничение области охвата Domain Local можно использовать для назначения полномочий только внутри текущего домена. Группы Global могут содержать пользователей и группы Global текущего домена. Эту область охвата можно применять для назначения полномочий в любом домене леса. В диалоговом окне также предлагаются оба основных типа групп, о которых было сказано выше - Security и Distribution. То есть можно создавать группы обоих видов.

    При нажатии OK Windows 2000 добавит группу к списку пользователей и групп. Для того чтобы обновить вид списка на экране и правильно расположить новую группу в алфавитном порядке, нажмите F5.

    Для добавления пользователей в новую группу щелкните по списку групп правой кнопкой мыши и выберите из меню пункт Properties. Двойной щелчок на группе открывает диалоговое окно Properties, только когда группу создала Windows 2000. Перейдите на вкладку Members (Состав) и нажмите Add. Укажите пользователей, которых вы хотите включить в эту группу, и снова нажмите Add. Затем дважды нажмите OK, сохраняя сделанные назначения.

    ИСПОЛЬЗОВАНИЕ ГРУПП ДЛЯ НАЗНАЧЕНИЯ ПОЛНОМОЧИЙ

    Группы нужны для быстрого назначения прав доступа большому числу пользователей. Предположим, например, что нужно установить права доступа для работы с содержащей бухгалтерское приложение папкой. Если группа, состоящая из сотрудников бухгалтерского отдела, уже создана, то назначение прав доступа для работы с папкой бухгалтерского приложения не составит труда.

    Откройте диалоговое окно Properties этой папки и перейдите на вкладку Security. Нажмите Add, выберите группу бухгалтерского отдела и присвойте ей нужные права доступа (обычно, полный доступ - Full Control). Если по каким-то причинам требуется присвоить нескольким пользователям иные права, то нажмите Add, укажите этих пользователей, и присвойте им права доступа, отличные от остальных. Если назначать разные права доступа разным сотрудникам приходится часто, то имеет смысл создать несколько групп. Для бухгалтерского отдела, например, можно создать две группы: AccntgHigh (сотрудники с полным доступом) и AccntgLow (сотрудники с ограниченными правами доступа).

    КОЛЛЕКТИВНАЯ ВЫГОДА

    Применение групп упрощает процесс управления пользователями. Чем больше пользователей, тем большее число групп, возможно, придется создать для достижения максимального эффекта. Критерий правильного оперирования с группами - минимум работы с отдельными пользователями. А следствие для большого предприятия - колоссальная экономия времени.


    Кэти Ивенс - Редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая "Windows 2000: The Complete Reference" (Osborne/McGraw-Hill). С ней можно связаться по адресу: kivens@win2000mag.com.