Иллюстрированный самоучитель по Windows 2000
Создание
группы
В процессе установки домена Windows
2000 в нем создается несколько встроенных групп, обладающих определенным набором
прав. Их можно использовать для присвоения администраторам или пользователям
определенных ролей или прав доступа в домене.
См. примечание после табл. 25.1.
К встроенным относятся перечисленные
ниже группы. Эти группы служат для назначения разрешений доступа пользователям,
на которых возложено выполнение в данном домене каких-либо административных
функций.
Локальные группы
в домене:
|
Администраторы (Administrators)
|
|
Гости (Guests)
|
|
Операторы архива (Backup Operators)
|
|
Операторы печати (Print Operators)
|
|
Операторы сервера (Server Operators)
|
|
Операторы учета (Account Operators)
|
|
Пользователи (Users)
|
|
Репликатор (Replicator)
|
|
Совместимый с пред-Windows
2000 доступ (Pre-Windows 2000 CompatibleAccess)
|
Глобальные группы:
|
Администраторы домена (Domain
Admins)
|
|
Владельцы-создатели групповой
политики (Group Policy Creator Owners)
|
|
Гости домена (Domain Guests)
|
|
Издатели сертификатов (Cert
Publishers)
|
|
Компьютеры домена (Domain Computers)
|
|
Контроллеры домена (Domain
Controllers)
|
|
Пользователи домена (Domain
Users)
|
Универсальные группы:
|
Администраторы предприятия
(Enterprise Admins)
|
|
Администраторы схемы (Schema
Admins)
|
Универсальные группы создаются только
на контроллерах корневого (первого в лесе) домена. В зависимости от установленных
на сервере служб могут быть и дополнительные встроенные группы, локальные в
домене или глобальные. По умолчанию все встроенные локальные группы домена находятся
в папке
Builtin
объекта домена. Все встроенные глобальные группы находятся
в папке
Users.
Встроенные группы можно переносить в другие контейнеры
или подразделения в пределах домена.
По умолчанию каждая созданная в домене
учетная запись автоматически становится членом группы Пользователи домена. Кроме
того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer)
при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет
всех пользователей, имеющих полный административный доступ в домене. По умолчанию
Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все
учетные записи, с помощью которых можно зарегистрироваться в домене без пароля
и получить минимальные права доступа. По умолчанию Гости домена являются членами
локальной в домене группы Гости.
Помимо перечисленных выше встроенных
групп, при установке домена Windows 200G создаются особые группы, обладающие
дополнительными свойствами; среди них группы:
|
ВСЕ (Everyone) — объединяет
всех существующих и создаваемых пользователей сети, включая гостей и пользователей
других доменов.
|
|
СЕТЬ (Network) — объединяет
всех пользователей, получивших доступ к данному ресурсу по сети (в отличие
от пользователей, получивших доступ к ресурсу локально).
|
|
ИНТЕРАКТИВНЫЕ (Interactive)
— объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись
локально на компьютере, где находится этот ресурс.
|
Состав членов указанных трех групп
нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить
различные полномочия.
Помимо перечисленных выше встроенных
групп администратор может создать любое количество групп пользователей и предоставить
им необходимый набор прав и разрешений. Для создания группы:
1.
|
Выберите подразделение, где
следует создать группу, и нажмите правую кнопку мыши. Выберите в появившемся
меню команду
Создать
|
Группа
(Group), либо нажмите кнопку
Создание новой группы в текущем контейнере
(Create New Group in a
Current Container) на панели инструментов.
|
2.
|
В открывшемся окне диалога
Новый объект — Группа
в поле
Имя группы
(Group name) введите
имя создаваемой группы. По умолчанию вводимое имя группы автоматически заносится
в поле
Имя группы (пред-Windows 2000)
(Group name (pre-Windows 2000)).
|
3.
|
Установите переключатель
Тип
группы
(Group type) в одно из положений, соответствующее типу создаваемой
группы:
Группа безопасности
(Security) или
Группа распространения
(Distribution). Первый тип группы служит для предоставления пользователям
определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.
Второй тип группы служит только для распространения информации в сети, например
в качестве списков рассылки электронной почты. Следует отметить, что группы
безопасности могут использоваться в качестве групп распространения.
|
4.
|
Установив в одно из положений
переключатель
Область действия группы
(Group scope), выберите подходящую
область действия создаваемой группы.
Область действия группы
определяет,
где может быть видна данная
группа
(уровень доступности)
и какие типы объектов могут быть ее членами (табл. 25.2).
|
Таблица 25.2.
Соответствие
области действия и других свойств группы
Область действия
|
Уровень доступности группы
|
Тип объектов, допустимых в качестве
членов группы
|
Локальная в домене (Domain Local)
|
Отдельный домен
|
Пользователи, а также глобальные
и универсальные группы из всего леса, другие локальные группы из этого же
домена (последнее — только в
основном,
native, режиме домена)
|
Глобальная (Global)
|
Лес
|
Пользователи, а также глобальные
и универсальные группы
|
Универсальная (Universal)
|
Лес
|
Пользователи и глобальные группы
(только в основном режиме домена)
|