Домашняя группа в Windows 10 – создание и настройка группы. Групп виндовс


Домашняя группа в Windows 10 – как создать, настроить и подключиться к группе

В коммерческих, учебных и прочих малых организациях бывает очень важно наладить удобный, быстрый и безопасный обмен файлами. В таких случаях вместо того, чтобы использовать для передачи данных интернет, компьютеры объединяются в локальную сеть. Cети могут быть как большими, так и малыми, иметь разную топологию, то есть способ соединения и тип. Основных типов два – клиент-сервер, когда один компьютер в локальной сети играет роль сервера, а другие представляют собой рабочие станции, и однорангоовая сеть, в которой все компьютеры равны.

Локальная сеть

Сети второго типа также называются рабочими группами и используются там, где нет необходимости в централизованном управлении. Существуют еще домашние группы – если можно так сказать, особый подвид рабочих групп, в которых при подключении нового устройства запрашивается пароль. Подобные группы обычно служат для обмена файлами в небольших организациях и домах/квартирах с несколькими ПК, отсюда, кстати, их название. Домашняя группа Windows 10 может включать до двух десятков машин, а как ее организовать и настроить мы поговорим ниже.

Создание и настройка домашней группы в Windows 10

Итак, как создать домашнюю группу в Windows 10? Для начала убедимся, что все компьютеры соответствуют трем главным требованиям, а именно: они должны быть подключены к одной сети (через роутер или Ethernet), иметь одинаковое название рабочей группы (Свойства системы – Изменить – WORKGROUP) и работать под управлением системы не ниже Windows 7.

Теперь приступим непосредственно к самой процедуре. Откроем командой control /name Microsoft.HomeGroup на своем компьютере апплет «Домашняя группа» и первым делом сделаем свою сеть частной. Для этого кликаем в текущем окне по ссылке «Изменение расположения в сети», после чего нажимаем кнопку «Да» на выехавшей справа панели.

Изменение расположения в сети

home-group-windows-10-3

viarum.ru

Получение списка членов локальной группы пользователей на серверах Windows

Как быстро составить список локальных администраторов на каждом сервере Windows? Задача непростая, если не знать, как правильно к ней подойти. Создать список членов группы пользователей на базе Active Directory можно с помощью целого ряда утилит командной строки, включая CSVDE и LDIFDE, но в случае с локальными учетными записями дело обстоит немного иначе.

Между тем, знание состава локальных групп безопасности необходимо для эффективного применения настроек групповой политики (Group Policy), которые в противном случае могут быть реализованы некорректно по целому ряду причин.

Решить эту проблему можно с помощью старой доброй команды net. Старушка net для меня священна — я до сих пор не могу отказаться от удобных однострочных команд, которые выручали меня все эти годы. Например, составить список пользователей, входящих в локальную группу администраторов на сервере Windows, можно следующей командой:

Net localgroup "Administrators"

В полученном списке будут перечислены все имена пользователей и групп, образующих локальную группу администраторов, в том числе пользователи, определенные в настройках групповой политики Active Directory.

Другой вариант — воспользоваться сценарием Windows PowerShell. Как и прочие сценарии, преобразованные из команд DOS, он включает в себя несколько строк. Чтобы получить описанный выше результат с помощью PowerShell, можно выполнить следующие команды:

$LocalGroup =[ADSI]"WinNT://Localhost/Administrators"$UserNames = @($LocalGroup.psbase.Invoke("Members"))$UserNames | foreach {$_.GetType().InvokeMember("Name", 'GetProperty', $null, $_, $null)}

Примечание: сценарий был создан с использованием примеров с сайта PowerShell Code Repository.

Когда вам в следующий раз понадобится быстро получить сведения о членах локальных групп пользователей, достаточно будет выполнить этот простой сценарий, вывод которого можно будет экспортировать в текстовый файл для хранения и аудита.

Автор: Rick Vanover Перевод SVET

Оцените статью: Голосов 3

www.winblog.ru

Специальные группы Windows и их перевод на русский язык

Вот уж не думал, что будет непросто найти перевод группы "Authenticated Users". Но всё-таки получилось! Ниже приведены названия специальных групп (не всех) и их перевод на русский язык (найденные экспериментально).

ВНИМАНИЕ! При поиске по фрагменту названия очень важно соблюдать регистр! Введя "СЕ" найдём группу "СЕТЬ", а вот введя "Сеть" - уже нет. Поэтому данные (по крайней мере по русскому переводу и по возможности на английском языке) приведены в соответствующем регистре.

Знаком * отмечены встроенные группы и идентификаторы. Некоторые группы не стали переводить, а оставили в английском варианте, например, LOCAL SERVICE.

* SYSTEM* система (Windows 7)* SYSTEM (Windows Server 2008)

* SERVICE* СЛУЖБА

* LOCAL SERVICE* LOCAL SERVICE (именно так!)

* NETWORK SERVICE* NETWORK SERVICE (именно так!)

* NETWORK* СЕТЬ

* BATCH* ПАКЕТНЫЕ ФАЙЛЫ

* INTERACTIVE* ИНТЕРАКТИВНЫЕ

* REMOTE INTERACTIVE LOGON* REMOTE INTERACTIVE LOGON (именно так!)

* DIALUP* УДАЛЕННЫЙ ДОСТУП

* EVERYONE* Все

* ANONYMOUS LOGON* АНОНИМНЫЙ ВХОД

* authenticated users* Прошедшие проверку

* IUSR* IUSR (именно так!)

* OWNER RIGHTS* ПРАВА ВЛАДЕЛЬЦА

* CREATOR OWNER* СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

* CREATOR GROUP* ГРУППА-СОЗДАТЕЛЬ

ADMINISTRATORАдминистратор

ADMINISTRATORSАдминистраторы

DOMAIN ADMINSАдминистраторы домена

USERSПользователи

DOMAIN USERSПользователи домена

GUESTГость

GUESTSГости

DOMAIN GUESTSГости домена

Конечно, это не полный список. Полный список будет зависеть от операционной системы, языка, включения в домен и других параметров/условий. Например, сюда не вошли:

* SELF* Дайджест проверка подлинности* Данная организация* Другая организация* КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ* ОГРАНИЧЕННЫЕ* ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ* Проверка подлинности NTLM* Проверка подлинности SChannel? PROXYACCOUNT OPERATORSBACKUP OPERATORSDnsAdminsDnsUpdateProxyHelpServicesGroupPRINT OPERATORSREPLICATORSERVER OPERATORSTelnetClientsАдминистраторы DHCPАдминистраторы SQLАдминистраторы WSUSАдминистраторы предприятияАдминистраторы схемыВладельцы-создатели групповой политикиДоступ DCOM службы сертификацииИздатели сертификатовКомпьютеры доменаКомпьютеры сервера терминаловКонтроллеры доменаКонтроллеры домена - только чтениеКонтроллеры домена предприятия - только чтениеКриптографические операторыОператоры архиваОператоры настройки сетиОператоры печатиОператоры сервераОператоры учетаПользователиПользователи DCOMПользователи DHCPПользователи доменаПользователи журналов производительностиПользователи системного монитораПользователи удаленного рабочего столаПред-Windows 2000 доступРепликаторСерверы RAS и IASСерверы лицензий сервера терминаловСертификат этой организацииСоздатели отчетов WSUS

kaktusenok.blogspot.com

Как создать рабочую группу в компьютерной сети (Windows) | Мой друг

Как создать рабочую группу в компьютерной сети

На небольших предприятиях, где количество компьютеров — до 20 штук компьютеры обычно соединяют в сеть для совместного доступа к файлам, папкам, принтерам и интернету при помощи рабочих групп. Домашние пользователи тоже сталкиваются с ситуацией, когда нужно обмениваться файлами со вторым-третьим компьютером (ноутбуком), совместно играть в игры, распечатывать на общем принтере. В данной статье изложена пошаговая инструкция того, как ввести новый компьютер под управлением Windows 7 и Windows Vista в состав такой рабочей группы либо создать такую группу «с нуля».

Откройте значок Система в Панели управления (Пуск - Панель управления - Система и безопасность - Система)

Откройте значок «Система» в Панели управления (Пуск — Панель управления — Система и безопасность — Система)

Нажмите ссылку "Изменить параметры" для того, чтобы настроить Имя компьютера, Название домена и Рабочей группы. Если появится предупреждения Контроля учётных записей - нажмите кнопку "Продолжить"

Нажмите ссылку «Изменить параметры» для того, чтобы настроить Имя компьютера, Название домена и Рабочей группы. Если появится предупреждение Контроля учётных записей — нажмите кнопку «Продолжить»

Нажмите кнопку "Изменить"

Нажмите кнопку «Изменить»

Введите имя компьютера (1), каким Вы хотите чтоб его видели другие участники Рабочей группы и название Рабочей группы (2)

Введите имя компьютера (1), каким Вы хотите чтоб его видели другие участники Рабочей группы и название Рабочей группы (2)

Имя компьютера должно быть уникальным в составе сети, коротким, написано английскими буквами. Название рабочей группы должно быть одинаковым на всех компьютерах данной рабочей группы, коротким и тоже английскими буквами.

Трижды нажмите кнопку "ОК" чтобы сохранить изменения и закрыть все диалоговые окна

Трижды нажмите кнопку «ОК» чтобы сохранить изменения и закрыть все диалоговые окна

Окно предупреждения о том, что потребуется перезагрузка системы

Окно предупреждения о том, что потребуется перезагрузка системы

Можно добавить какое-либо описание к имени компьютера (необязательно) и нажать кнопку «Закрыть»

Перезагрузить компьютер

Для того, чтобы изменения вступили в силу необходимо перезагрузить компьютер

Прописать IP- адреса

В случае, если параметры IP в Вашей сети не назначаются автоматически, их нужно прописать в ручную (уточните необходимость в данном пункте у администратора Вашей рабочей группы!). Для этого необходимо сделать следующие шаги:

Откройте значок "Просмотр сетевых компьютеров и устройств" в Панели управления (Пуск - Панель управления - Сеть и Интернет - Просмотр сетевых компьютеров и устройств)

Откройте значок «Просмотр сетевых компьютеров и устройств» в Панели управления (Пуск — Панель управления — Сеть и Интернет — Просмотр сетевых компьютеров и устройств)

Нажмите ссылку "Изменение параметров адаптера". Если появится предупреждение Контроля учётных записей - нажмите кнопку "Продолжить"

Нажмите ссылку «Изменение параметров адаптера». Если появится предупреждение Контроля учётных записей — нажмите кнопку «Продолжить»

На сетевом адаптере, при помощи которого Вы подключены к сети нажимаем правой кнопкой мыши и выбираем "Свойства"

На сетевом адаптере, при помощи которого Вы подключены к сети нажимаем правой кнопкой мыши и выбираем «Свойства»

Выбираем пункт "Протокол Интернета весии 4 (TCP/IPv4)" и нажимаем кнопку "Свойства"

Выбираем пункт «Протокол Интернета версии 4 (TCP/IPv4)» и нажимаем кнопку «Свойства»

(1) Прописываем IP-адрес. В нём первые три значения одинаковые у всех участников рабочей группы. Последняя цифра (2) - уникальная у каждого компьютера. Маска подсети (3), Основной шлюз (4) Предпочитаемый DNS-сервер - одинаковые на всех компьютерах

Прописываем IP-адрес (1). В нём первые три значения одинаковые у всех участников рабочей группы. Последняя цифра (2) — уникальная у каждого компьютера. Маска подсети, Основной шлюз (4) Предпочитаемый DNS-сервер (4) — одинаковые на всех компьютерах.

Общие значения для всей рабочей группы уточните у администратора, либо посмотрите на компьютере, который уже находится в составе данной группы. Основной шлюз и Предпочитаемый DNS-сервер необходимы для совместного доступа в Интернет. Если такого нет — тогда эти поля не заполняются.

Похожие материалы:

Как соединить два компьютера в сеть и раздать между ними интернет (для Windows XP)

Понравилась статья - поделись с друзьями:

Похожие записи:

www.1st.rv.ua

"Золотые правила" применения групп | Windows IT Pro/RE

Управление разрешениями в состоящих из множества пользователей и ресурсов распределенных вычислительных средах (таких как домены Windows Server 2003) - процесс утомительный и требующий значительного времени. Чтобы облегчить задачу администраторов, разработчики Windows ввели такие объекты как группы. Группы можно использовать для того, чтобы объединять пользователей или компьютеры, обладающие сходными характеристиками. Это позволяет упростить процедуру назначения разрешений на использование ресурсов Windows, например файлов и принтеров.

Но перед тем как рассказать о "золотых правилах" применения групп при назначении разрешений на использование ресурсов, я познакомлю вас с тем, какие бывают типы и диапазоны групп. Речь пойдет только о тех группах, которые можно определять и которыми можно управлять с помощью службы Active Directory (AD) в среде доменов Windows 2003 или Windows 2000.

О том, как изменялись характеристики групп, рассказано во врезке "Эволюция групп в Windows". Я не буду касаться локальных групп, определяемых в базах данных системы безопасности автономных компьютеров, а также на рабочих станциях и автономных серверах домена. Эти локальные группы могут использоваться только на локальных компьютерах для назначения разрешений на обращение к локальным ресурсам. Группы, которые мы будем обсуждать в данной статье, могут быть использованы для назначения разрешений на обращение к ресурсам в масштабе домена, а в отдельных случаях - в масштабе леса доменов.

Типы групп

В средах Windows 2003 и Windows 2000 применяются группы двух типов: группы рассылки (distribution groups) и группы безопасности (security groups). На Экране 1 показано, как выбирается тип группы в процессе создания новой группы в оснастке Active Directory Users and Computers консоли управления Microsoft Management Console (MMC).

Экран 1: Свойства группы в окне оснастки Active Directory Users and Computers

Группы рассылки можно использовать в качестве списков рассылки электронной почты (distribution list, DL) почтовых серверов на базе AD, таких, как Microsoft Exchange Server 2003 и Exchange 2000 Server. Группы рассылки демонстрируют тесную интеграцию между почтовыми серверами Exchange 2000 или более поздних версий и Windows 2000 или системами более поздних версий.

В качестве списков рассылки электронной почты можно использовать и группы безопасности. Но что еще более важно, группы безопасности можно задействовать для выполнения связанных с защитой данных административных задач, таких как назначение разрешений на обращение к ресурсам, потому что идентификатор SID группы безопасности добавляется к маркеру доступа пользователя Windows в ходе процесса аутентификации. SID группы рассылки не добавляется к маркеру доступа пользователя Windows, поэтому группы рассылки нельзя использовать для выполнения административных задач, связанных с защитой данных. Поскольку для назначения разрешений на обращение к ресурсам можно применять только группы безопасности, в дальнейшем я остановлюсь на группах этого типа.

Если домены сети организованы на корректных уровнях функционирования доменов, можно преобразовывать группы рассылки в группы безопасности и обратно на странице свойств группы в оснастке Active Directory Users and Computers. О функциональных уровнях доменов мы поговорим чуть позже. Система Windows предупредит вас о возможных последствиях этих действий с точки зрения авторизации, как показано на Экране 2. Допустим, у вас имеется группа безопасности, обеспечивающая назначение разрешений на обращение к ресурсам. Если вы превратите эту группу безопасности в группу рассылки, члены группы потеряют доступ к соответствующим ресурсам. Для одновременного изменения типа нескольких групп в ходе одной операции можно использовать реализованную в Windows 2003 утилиту командной строки Dsmod с параметром -secgrp [yes/no]. О том, как использовать программу Dsmod, рассказано в статье "Пять незаменимых инструментов для AD" (http://www.osp.ru/win2000/2004/08/177313/).

Экран 2: Предупреждение, отображаемое при преобразовании группы безопасности в группу рассылки

Доступность некоторых функций групп AD зависит от уровня функционирования домена. Функциональные уровни доменов - это система управления версиями, реализованная специалистами Microsoft в Windows 2003. Функциональный уровень домена зависит от версий операционных систем, установленных на контроллерах домена. В Таблице 1 показаны различные функциональные уровни доменов Windows 2003 и версии операционных систем, которые они поддерживают в контроллерах доменов. В Таблице 2 приведены функции групп AD, доступные для различных функциональных уровней доменов.

Диапазоны групп

При создании новой группы определяется ее диапазон - аналогично тому, как в ходе той же операции определяется тип группы. В средах Windows 2003 и Windows 2000 предусмотрено три диапазона групп: универсальный, глобальный и локальный диапазон домена. Кроме того, в системах Windows 2003 и Windows 2000 допускается использование двух вариантов диапазона локальной группы: доменный локальный диапазон и системный локальный диапазон. Группы с локальным диапазоном домена можно применять на любой системе домена. Группу с локальным диапазоном системы можно задействовать лишь на той системе, где эта группа определяется и хранится.

Диапазон группы определяет, каким образом можно использовать данную группу в многодоменной среде. В частности, диапазон группы определяет, может ли группа содержать пользователей и группы из другого домена. Кроме того, диапазон группы определяет, допустимо ли с помощью данной группы устанавливать разрешения на обращение к ресурсам другого домена.

В Таблице 3 показано, какие участники безопасности (т.е. пользователи, компьютеры или группы) могут быть членами универсальной группы, глобальной группы и локальной группы домена. Кроме того, здесь мы видим, в каких случаях участники безопасности должны быть расположены в том домене, где группа определяется (такие домены в Таблице 3 обозначены как SD), или их можно размещать в другом домене, входящем в состав того же леса (OD-INT), либо в другом внешнем домене (OD-EXT).

Теперь, когда вы знаете, какие участники безопасности могут быть членами той или иной группы, пора поставить вопрос о том, где можно использовать эти группы для установки разрешений на обращение к ресурсам. В Таблице 4 показано, какие группы обеспечивают возможность установки разрешений на обращение к ресурсам только своего домена, где соответствующая группа была определена, а какие позволяют еще устанавливать разрешения на обращение к ресурсам других доменов. Как видно из Таблицы 4, локальные группы доменов представляют собой единственный тип групп, который не дает возможности устанавливать разрешения на работу с ресурсами других доменов.

Диапазон групп также определяет, какие группы могут быть членами других групп; такие отношения между группами именуются вложением групп. Правила вложения групп определяются механизмом, который система Windows использует для выявления принадлежности группы пользователя к другим группам при регистрации пользователя в домене. В системах Windows 2003 и Windows 2000 применяются следующие правила вложения групп:

  • Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена.
  • Универсальная группа может быть членом другой универсальной группы или локальной группы домена, но не может быть членом глобальной группы.
  • Локальная группа домена может быть членом только другой локальной группы домена.

Если домен относится к однородному уровню функционирования домена, диапазон группы можно изменить на странице свойств этой группы в оснастке Active Directory Users and Computers. Для одновременного изменения диапазона нескольких групп воспользуйтесь реализованной в системе Windows 2003 утилитой командной строки Dsmod с параметром -scope [l/g/u]. При изменении диапазона группы действуют следующие ограничения:

  • Локальную группу домена можно преобразовать в универсальную группу лишь в том случае, если эта локальная группа домена не содержит других членов локальной группы домена. Локальная группа домена не может быть членом универсальной группы.
  • Глобальную группу можно преобразовать в универсальную лишь в том случае, если эта глобальная группа не входит в состав другой глобальной группы. Универсальная группа не может быть членом глобальной группы.
  • В многодоменной среде преобразование универсальной группы в глобальную допускается лишь тогда, когда все члены универсальной группы определены в домене этой универсальной группы. Глобальная группа может содержать лишь объекты, определенные в ее домене.

"Золотые правила"

Одна из главных проблем, с которой приходится сталкиваться администраторам Windows, состоит в том, что необходимо обеспечить максимальную эффективность управления доступом к ресурсам. Одно из "золотых правил" сводится к следующему: при назначении разрешений на обращение к ресурсам нужно оперировать не отдельными учетными записями, а целыми группами. Группы могут создавать уровень абстракции в модели авторизации, в результате чего снимается зависимость назначения разрешений от изменений на уровне учетных записей. Это правило применимо как к доменам Windows, так и к автономным системам.

Так, во многих организациях пользователи регулярно меняют одну организационную роль на другую. Как правило, каждая роль предполагает наличие конкретных разрешений на обращение к тем или иным ресурсам Windows. Служба AD предусматривает возможность создания групп для организационных ролей (скажем, операторы центров обработки вызовов, разработчики) и назначения разрешений на работу с ресурсами для этих групп. Если роль пользователя меняется, администратору достаточно включить учетную запись этого пользователя в состав соответствующей группы. Такой подход гораздо эффективнее, нежели простая переустановка разрешений учетной записи для того, чтобы обеспечить пользователю доступ к ресурсам, необходимым для выполнения новой роли.

Вот еще несколько "золотых правил", которым необходимо следовать при управлении доступом групп к ресурсам:

  • Применяйте глобальные группы для объединения пользователей, используйте локальные группы доменов для назначения разрешений на доступ к ресурсам и затем объединяйте глобальные группы в локальные группы доменов для применения параметров разрешений. Хотя это правило из арсенала Windows NT 4.0, предназначенное для компенсации отсутствия в данной операционной системе механизма делегирования и для преодоления имеющихся ограничений на размер баз данных, оно все еще применяется в многодоменных лесах Windows 2003 и Windows 2000. В сетях с однодоменными лесами Windows 2003 и Windows 2000 вложенные структуры групп и выбор диапазонов групп не играют столь важной роли. В этих конфигурациях необходимо воздерживаться от назначения разрешений пользователям напрямую и действовать через группы-посредники.

Выбор тех или иных вложенных структур может также зависеть от двух факторов. Первый - кому принадлежат и какую важность имеют защищаемые данные. Когда разглашение данных особенно опасно, ответственный за их защиту администратор должен иметь полный контроль над тем, кому предоставляется доступ. Таким образом, лучшая политика в этом случае - вообще не использовать вложенные структуры. Вместо этого следует задействовать одну группу для управления членством и ту же группу - для предоставления разрешений на обращение к ресурсу. Однако такой подход не является оптимальным, когда многим пользователям требуется доступ к тому или иному ресурсу, и его владелец не хочет или не может контролировать членство каждого пользователя в соответствующей группе. В таких случаях имеет смысл организовать несколько групп и предоставить другим администраторам возможность управлять своими пользователями в соответствующих группах, после чего вложить эти группы в другую группу, через которую и будут предоставляться разрешения на доступ к ресурсу.

Второй фактор, способный повлиять на решение администратора относительно формирования вложенной структуры групп, - это возможность восстановления членства в группах AD после непреднамеренного удаления объектов AD. Труднее всего восстанавливается членство в локальных группах доменов, если члены этих групп размещаются в другом домене.

  • В качестве общего правила я рекомендую применять в доменных сетях не системные локальные группы, а локальные группы доменов. При использовании системных локальных групп теряются преимущества доменов Windows, а именно, централизованное управление и возможности учета. Системными локальными группами нельзя управлять с помощью службы AD, и они не отображаются в списке групп, членом которых является учетная запись пользователя, в оснастке Active Directory Users and Computers. Кроме того, изменения, вносимые в сведения о членстве локальной системной группы, фиксируются не в журнале регистрации событий контроллера домена, а в журнале событий безопасности локальной машины.

Отметим одно важное исключение из этого правила; речь идет о крупных сетях AD, предполагающих наличие многочисленных локальных групп. В отличие от групп AD, локальные системные группы пользователей не предусматривают возможности расширения членства при регистрации в системе и не влияют на размер учетных данных Kerberos. Иначе говоря, в этой ситуации более целесообразно использовать не локальные группы доменов, а системные локальные группы.

  • Для предоставления пользователям доступа к ресурсам, распределенным по нескольким доменам, следует использовать универсальные группы. Для этого помещайте глобальные группы в универсальные группы, универсальные группы - в локальные группы доменов и затем используйте локальные группы доменов для установления разрешений на обращение к ресурсам.
  • Применяйте универсальные группы в тех случаях, когда членство в группе близко к статическому. Когда же членство в группе подвержено частым изменениям, используйте группу-посредника: добавляйте пользователей в глобальную группу, а затем введите эту глобальную группу в состав универсальной группы. Универсальные группы генерируют более значительные объемы сетевого трафика в многодоменных сетях, поскольку сведения о членстве в универсальных группах хранятся в глобальном каталоге, который реплицируется в масштабах леса.

Отметим, что данное правило применимо только к службам AD Windows 2003 и AD Windows 2000, которые не находятся на функциональном уровне леса Windows 2003. В лесу Windows 2003 служба AD поддерживает новую функцию, именуемую репликацией связанных значений (linked-value replication, LVR). При изменении членства в группе эта функция позволяет реплицировать на контроллеры доменов не полные списки членов группы, а лишь внесенные в них изменения. Кроме того, данное правило не действует в многодоменных сетях, в которые входят серверы Exchange; при работе с ними необходимо использовать универсальные группы рассылки. В этих случаях не следует применять глобальные группы-посредники, поскольку серверы Exchange не позволяют расширять членство в глобальных группах, если они определены в других доменах.

Итак, следуйте изложенным выше "золотым правилам". Кроме того, я рекомендую читателям придерживаться следующего принципа: старайтесь создавать как можно меньше групп и ограничивать число уровней их вложения. Ведь чем меньше будет групп и уровней вложения, тем проще система разрешений и тем легче находить причины неполадок в случае возникновения проблем.

Итак, мы рассмотрели основные характеристики групп AD и выяснили, как с их помощью организовать эффективное управление разрешениями на использование ресурсов. Без этих знаний не обойтись ни одному администратору AD.

Жан Де Клерк ([email protected])  - член Security Office корпорации Hewlett-Packard. В круг его интересов входят вопросы управления идентичностью и обеспечения безопасности при использовании продуктов Microsoft.

ЭВОЛЮЦИЯ ГРУПП В WINDOWS

Пользователи Windows всегда имели возможность работать с группами. Модель, реализованная в Windows NT 4.0 и в более ранних версиях системы, проще модели, применяемой в Windows Server 2003 и Windows 2000. Ниже перечисляются основные различия между двумя моделями групп:

  • В Windows 2003 и в Windows 2000 предусмотрены два типа групп: группы безопасности и группы рассылки. В Windows NT 4.0 и в более ранних версиях были реализованы лишь группы безопасности.
  • В системах Windows 2003 и Windows 2000 применяются три диапазона групп: универсальный, глобальный и локальный. Кроме того, в Windows 2003 и в Windows 2000 предусмотрены два варианта диапазона локальных групп: доменный локальный диапазон и системный локальный диапазон. В версии Windows NT 4.0 используются лишь глобальный диапазон и системный локальный диапазон групп. Введение универсального диапазона - прямое следствие использования реализованного в службе Active Directory (AD) глобального каталога, который является функцией контроллера домена, обеспечивающей доступность объектов AD и подмножества их атрибутов в домене для контроллеров других доменов в лесу Windows 2003 или Windows 2000.
  • В версиях Windows 2003 и Windows 2000 возможно изменение типа и диапазона группы после ее создания. В Windows NT и более ранних версиях изменение типа и диапазона групп невозможно.
  • В версиях Windows 2003 и Windows 2000 предусматривается вложение групп одного и того же диапазона и типа. В Windows NT 4.0 и более ранних версиях допускается только вложение глобальных групп в системные локальные группы.
 

Таблица 1: Функциональные уровни доменов

Функциональный уровень домена Операционные системы, используемые на контроллерах доменов
Windows 2003 Windows 2003
Однородный тип Windows 2000 Windows 2003 и Windows 2000
Windows 2003 interim Windows 2003 и NT 4.0
Смешанный тип Windows 2000 Windows 2003, Windows 2000 и Windows NT 4.0
 

Таблица 2: Функциональный уровень домена и функциональные возможности групп 

  Функциональный уровень домена Windows 2003 или однородный уровень Windows 2000 Смешанный функциональный уровень домена Windows 2000 или функциональный уровень домена Windows 2003 Interim
Типы групп Группы безопасности и группы рассылки Группы безопасности и группы рассылки
Диапазоны групп Универсальный, глобальный и локальный диапазоны домена Глобальный и локальный диапазоны домена
Совместное использование групп Все компьютеры домена совместно используют локальные группы домена Контроллеры домена совместно используют локальные группы домена
Вложение групп Универсальная группа может быть членом другой универсальной группы или локальной группы доменаЛокальная группа домена может быть членом другой локальной группы доменаТолько глобальные группы могут вкладываться в локальные группы доменов Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы доменаВложение других групп не допускается
Модификация групп Диапазон и тип групп могут быть изменены Диапазон и тип групп не могут быть изменены

Таблица 3: Ограничения на членство в группах

  Могут содержать пользователей и компьютеры в SD* OD- OD- INT** EXT*** Могут содержать доменные локальные группы в SD OD- OD- INT EXT Могут содержать глобальные группы вSD OD- OD- INT EXT
Универсальных группах Да Да Нет Нет Нет Нет Да Да Нет
Глобальных группах Да Нет Нет Нет Нет Нет Да**** Нет Нет
Доменных локальных группах Да Да Да Да**** Нет Нет Да Да Да

*того же домена** других доменов в том же лесу***других внешних доменов или доменов в других лесах****только на функциональном уровне доменов Windows 2003 или доменов Windows 2000 однородного типа  

Таблица 4: Ограничения на использование групп

  Позволяют устанавливать разрешения на обращение к ресурсу в том же домене Позволяют устанавливать разрешения на обращение к ресурсу в другом домене
Универсальные группы Да Да
Глобальные группы Да Да
Доменные локальные группы Да Нет

www.osp.ru

Группы в Windows Server 2008

Группы в Windows Server 2008

Группы в Windows Server 2008 R2 делятся на два вида: группы доступа и группы рассыл­ки. Кроме того, они могут быть разными по области действия, т.е. локальными для компь­ютера, локальными для домена, глобальными или универсальными.

Группы доступа

Группа доступа (security group) является наи­более знакомым администраторам типом групп. Группы этого типа применяются для массового назначения прав доступа к ресурсам и тем самым упрощения администрирования крупных групп пользователей. Группы доступа могут создавать­ся для каждого отдела в организации. Например, администратор может создать для пользователей из отдела маркетинга группу доступа под названием Marketing (Маркетинг), а затем предоставить этой группе права на получение доступа только к каким-то конкретным каталогам в среде.

Как уже упоминалось ранее, у каждой груп­пы доступа имеется ассоциируемый с ней уни­кальный идентификатор безопасности (Security Identifier — SID), во многом подобно тому, как он имеется у каждого отдельного пользователя в AD DS. Уникальность SID позволяет обеспечивать безопасность объектов и ресурсов в домене. Эта концепция также объясняет, почему нельзя просто удалить или переименовать группу для получения тех же прав, которые были у старой группы.

Группы рассылки

Предлагаемая в Windows Server 2008 R2 концепция групп рассылки (distribution group) впервые появилась еще в Windows 2000 Server вместе с реализацией Active Directory. По сути, под группой рассылки подразумевается такая группа, члены которой могут полу­чать отправляемые группе почтовые сообщения с помощью протокола SMTP (Simple Mail Transfer Protocol — простой протокол электронной почты). В Windows Server 2008 R2 этой функциональностью может пользоваться любое приложение, которое способно применять AD DS для выполнения поиска в адресных книгах.

cmd4win.ru

Перевод групп Windows – FX-Files.ru

Пришлось как-то искать перевод группы "Authenticated Users". И вот, что получилось. Ниже приведены названия специальных групп (не всех) и их перевод на русский язык.

ВНИМАНИЕ! При поиске по фрагменту названия очень важно соблюдать регистр! Введя "СЕ" найдём группу "СЕТЬ", а вот введя "Сеть" - уже нет. Поэтому данные (по крайней мере по русскому переводу и по возможности на английском языке) приведены в соответствующем регистре.

Знаком " * " отмечены встроенные группы и идентификаторы. Некоторые группы не стали переводить, а оставили в английском варианте, например, LOCAL SERVICE.

* SYSTEM* система (Windows 7)* SYSTEM (Windows Server 2008)

* SERVICE* СЛУЖБА

* LOCAL SERVICE* LOCAL SERVICE (именно так!)

* NETWORK SERVICE* NETWORK SERVICE (именно так!)

* NETWORK* СЕТЬ

* BATCH* ПАКЕТНЫЕ ФАЙЛЫ

* INTERACTIVE* ИНТЕРАКТИВНЫЕ

* REMOTE INTERACTIVE LOGON* REMOTE INTERACTIVE LOGON (именно так!)

* DIALUP* УДАЛЕННЫЙ ДОСТУП

* EVERYONE* Все

* ANONYMOUS LOGON* АНОНИМНЫЙ ВХОД

* authenticated users* Прошедшие проверку

* IUSR* IUSR (именно так!)

* OWNER RIGHTS* ПРАВА ВЛАДЕЛЬЦА

* CREATOR OWNER* СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

* CREATOR GROUP* ГРУППА-СОЗДАТЕЛЬ

ADMINISTRATORАдминистратор

ADMINISTRATORSАдминистраторы

DOMAIN ADMINSАдминистраторы домена

USERSПользователи

DOMAIN USERSПользователи домена

GUESTГость

GUESTSГости

DOMAIN GUESTSГости домена

Конечно, это не полный список. Полный список будет зависеть от операционной системы, языка, включения в домен и других параметров/условий. Например, сюда не вошли:

* SELF* Дайджест проверка подлинности* Данная организация* Другая организация* КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ* ОГРАНИЧЕННЫЕ* ПОЛЬЗОВАТЕЛЬ СЕРВЕРА ТЕРМИНАЛОВ* Проверка подлинности NTLM* Проверка подлинности SChannel? PROXYACCOUNT OPERATORSBACKUP OPERATORSDnsAdminsDnsUpdateProxyHelpServicesGroupPRINT OPERATORSREPLICATORSERVER OPERATORSTelnetClientsАдминистраторы DHCPАдминистраторы SQLАдминистраторы WSUSАдминистраторы предприятияАдминистраторы схемыВладельцы-создатели групповой политикиДоступ DCOM службы сертификацииИздатели сертификатовКомпьютеры доменаКомпьютеры сервера терминаловКонтроллеры доменаКонтроллеры домена - только чтениеКонтроллеры домена предприятия - только чтениеКриптографические операторыОператоры архиваОператоры настройки сетиОператоры печатиОператоры сервераОператоры учетаПользователиПользователи DCOMПользователи DHCPПользователи доменаПользователи журналов производительностиПользователи системного монитораПользователи удаленного рабочего столаПред-Windows 2000 доступРепликаторСерверы RAS и IASСерверы лицензий сервера терминаловСертификат этой организацииСоздатели отчетов WSUS

По мотивам: http://kaktusenok.blogspot.ru/2012/08/windows_16.html

fx-files.ru