Лабораторная
работа № 2
Создание ГРУПП в сети windows Nt.
Администрирование пользователей и групп
1. Основные понятия
Группа
– это набор учетных записей (УЗ) пользователей с похожими служебными
обязанностями или потребностями в ресурсах. Пользователь получает все права
доступа и привилегии группы, в которую входит его УЗ. Группирование УЗ упрощает
работу администратора сети, так как ему достаточно назначать права доступа и
привилегии группам, чем каждому пользователю в отдельности. Право доступа
– это разрешение на выполнение определенного действия с ресурсами (папками,
файлами, принтерами). Привилегия – это разрешение на выполнение
определенной системной операции (создание УЗ, регистрация на локальном
компьютере, выключение сервера и т.п.). пользователь может быть членом
нескольких групп одновременно. При этом он приобретает права всех этих групп.
Различают локальные и глобальные группы.
Локальные
группы
Они
применяются для предоставления пользователям доступа к ресурсам локального
компьютера. Сначала создают локальную группу (ЛГ) и назначают ей право доступа
к ресурсу, затем в нее включают УЗ пользователей и УЗ глобальных групп данного
домена и доменов, с которыми установлены доверительные отношения. ЛГ также дают
пользователям привилегии на выполнение системных операций на локальном
компьютере (изменение системного времени, резервное копирование и т.п.). Наряду
с создаваемыми ЛГ, есть несколько встроенных ЛГ с заданными привилегиями.
Например, встроенной ЛГ Administrators разрешено создавать УЗ
пользователей и групп, выполнять резервное копирование файлов и изменять
конфигурацию системы.
ЛГ
для доступа к ресурсу, расположенному на одном из контроллеров домена, всегда
создается на главном контроллере домена (PDC), а для доступа к ресурсу,
расположенному на сервере или рабочей станции, создается на соответствующем
компьютере.
Локальные группы Печать и База
данных
|
|
 |
Глобальные
группы
Они
объединяют УЗ пользователей домена по служебным обязанностям или
географическому положению. Глобальная группа (ГГ) может содержать только УЗ
того домена, в котором она создана. Обычно ГГ не назначают прав доступа к
ресурсам, а просто включают ее в подходящую ЛГ. Наряду с создаваемыми ГГ, есть
несколько встроенных ГГ, например ГГ Domain Users [пользователи домена].
По умолчанию в нее включаются все УЗ домена. Встроенные ГГ не имеют заранее
заданных прав доступа.
Глобальные группы двух доменов
ГГ всегда создаются на главном
контроллере (PDC) того домена, к которому относятся УЗ в группе.
$
Упражнение: Просмотр видеоролика
"Локальные и глобальные группы"
Выберите пункт меню
Start ® Programs ® Network Administration Training ® Local and Global Groups Video.
2. Создание локальных и глобальных групп
Для
контроля доступа к ресурсам сети создают нужные ГГ и включают в них
пользователей. Затем эти ГГ включают в ЛГ, созданные для доступа к ресурсам.
Рекомендации
по созданию групп:
1) Изучите
служебные обязанности сотрудников компании и создайте на PDC каждого домена ГГ
по принципу сходства служебных функций или потребностей пользователей домена.
Например, если одним пользователям домена нужна информация о товарах, а другим
– информация о кадрах, то создайте две ГГ – Торговые консультанты и Руководители.
2) Включите
УЗ пользователей в созданные ГГ.
3) На
каждом компьютере, содержащем ресурс, создайте ЛГ в соответствии с
потребностями пользователей в ресурсе. Например, если руководителям нужен
полный контроль над папкой "Личные дела", а торговым работникам
достаточно лишь читать файлы этой папки, то создайте отдельные ЛГ для менеджеров
и торговых работников. При этом, если ресурс находится
·
на
одном из контроллеров домена, то создайте ЛГ на PDC;
·
на
сервере или рабочей станции, то создайте ЛГ на данном компьютере.
4) Назначьте
ЛГ права доступа к ресурсу.
5) Включите
ГГ в соответствующие ЛГ. Если ГГ и ЛГ принадлежат разным доменам, то для
включения ГГ в ЛГ нужно вначале установить доверительные отношения между
доменами.
! Упражнение:
Планирование групп
Пользователям Московского и Тверского доменов
сети компании "Сибмаркет" нужен доступ к ресурсам обоих доменов.
Ресурсы Московского домена: БД "Отдел кадров" и БД "Счета"
(компьютер – BDC), приложения (сервер 1), БД "Клиенты" (сервер 2).
Ресурсы Тверского домена: принтер (PDC), приложения (сервер 1), БД
"Сотрудники" (рабочая станция). Между этими доменами установлены
доверительные отношения. Каждый домен содержит УЗ, описанные в следующей
таблице.
|
УЗ
|
Описание пользователя
|
|
VicePresident
|
Вице-президент
|
|
Director
|
Директор по кадрам
|
|
SalesMgr
|
Менеджер по продажам
|
|
SalesRepres
|
Торговый представитель
|
|
SalesCons-N
|
Торговый консультант (ночной)
|
|
SalesCons-D
|
Торговый консультант (дневной)
|
|
AccountMgr
|
Главный бухгалтер
|
|
Accountant
|
Бухгалтер
|
|
Temp
|
Временный сотрудник
|
