Aranyszabálya csoportok, ablakok IT Pro

Informatikai infrastruktúra a vállalat

Ha szeretné megtudni, hogyan lehet megváltoztatni a jellemzői a csoportok, lásd az oldalsáv „Az evolúció a csoportok Windows”. Nem érek helyi csoportok meghatározása az adatbázisokban az autonóm számítógépes biztonsági rendszereket, valamint a munkaállomások és szerverek önálló a tartományban. Ezek a helyi csoportok csak akkor használható a helyi számítógépen a hozzáférés célja a helyi erőforrások ezt lehetővé teszik. Csoport, amely megbeszéljük ezt a cikket, lehet, hogy van jogosultsága, hogy fellebbezni erőforrások tartományra kiterjedő, és bizonyos esetekben - a tartomány az erdő skála.

1. ábra: A tulajdonságok a csoport aktív szerszám ablak Directory felhasználók és számítógépek

Egy e-mail terjesztési listák is használhatók, és a biztonsági csoportok. De még ennél is fontosabb, akkor biztonsági csoportok elvégzéséhez kapcsolódó adatok védelmét az adminisztrációs feladatok, mint például az engedélyek kiosztása az erőforrások kezelésére, mivel a SID a biztonsági csoport adunk a Windows felhasználói hozzáférési token a hitelesítési eljárás során. SID terjesztési csoport nem felvenni a Windows felhasználói hozzáférési token, így a terjesztési csoportot nem lehet használni, hogy végre kapcsolatos adminisztratív feladatokat az adatvédelem. Mivel az egyetlen biztonsági csoportokat lehet használni megbízást erőforrások forgalomba engedélyek a jövőben fogok összpontosítani ilyen csoportok.

2. képernyő: Figyelmeztetés jelenik meg, ha váltani egy biztonsági csoportot a terjesztési csoport

Tartomány a csoport határozza meg, hogyan lehet használni ezt a csoportot Többtartományos környezetben. Különösen, a tartományban a csoport határozza meg, hogy a csoport tartalmazhat a felhasználók és csoportok a másik domén. Ezen túlmenően, a tartományban a csoport határozza meg, hogy elfogadható-e ez a csoport engedélyeinek beállításához fordul a másik domain források.

3. táblázat mutatja, hogy mely biztonsági tagjai (például a felhasználók, számítógépek vagy csoportok) tagjai lehetnek egy univerzális csoport globális csoport és a tartomány helyi csoport. Ezen kívül, itt látjuk az eseteket, amelyekben biztonsági tagjai kell elhelyezni a tartományt, ahol a csoport meghatározott (ilyen doméneket a 3. táblázatban nevezzük SD), vagy lehet őket helyezni egy másik tartományban, amely része az azonos erdőben (OD INT), vagy más külső tartomány (OD-EXT).

Most, hogy már tudja, hogy melyik biztonsági tagjai lehetnek a csoport tagjai, itt az ideje, hogy felmerül a kérdés, ahol ezek a csoportok is használhatók engedélyeinek beállításához fordul a források. 4. táblázat mutatja, hogy mely csoportok is lehetőséget ad a engedélyeinek beállítása keringés forrásokat csak a tartományban, ahol a megfelelő csoportba került meghatározásra, és amelyek lehetővé teszik még engedélyeinek beállítása fordul a másik domain források. Amint a 4. táblázat, a helyi tartomány csoportok csak ilyen jellegű csoportok, ami lehetetlenné teszi, hogy telepíteni engedélyeket a másik domain források.

• Global csoport tagja lehet a többi globális csoportokat, univerzális csoportok vagy tartományon belüli csoport.
• Universal csoport tagja lehet egy másik univerzális csoport, vagy egy helyi tartományi csoportot, de nem lehet tagja egy nemzetközi csoport.
• tartományon belüli csoport tagja is csak egy tartományon belüli csoportot.

• Domain helyi csoport lehet alakítani egy univerzális csoport csak abban az esetben, ha a tartományon belüli csoport nem tartalmazza más tagjai a domain helyi csoport. tartományon belüli csoport tagja nem lehet univerzális csoport.
• globális csoport lehet alakítani az univerzális csak akkor, ha ez a globális csoport nem része a másik globális csoportokat. Universal csoport nem lehet tagja egy nemzetközi csoport.
• Egy több tartományi környezetben, az átalakulás az egyetemes csoportból nemzetközi megengedhető csak ha minden tagja az egyetemes csoportok meghatározása a tartomány az egyetemes csoport. A globális csoport tartalmazhat csak a tárgyak saját domain.

Tehát, sok szervezet, a felhasználók rendszeresen változtatni egy szervezeti részéből a másikba. Általános szabály, hogy minden szerepet feltételezi a konkrét engedélyekre fellebbezni néhány Windows erőforrásokat. AD szolgáltatás lehetővé teszi, hogy hozzon létre csoportokat a szervezeti szerepek (például call center szolgáltatók, fejlesztők), és jogokat együttműködni a forrásokat e csoportok számára. Ha a szerepe megváltozik a felhasználó, a rendszergazda elégséges ahhoz, hogy a felhasználói fiók a megfelelő csoportba. Ez a megközelítés sokkal hatékonyabb, mint egy egyszerű újratelepítés fiókengedélyeket annak érdekében, hogy a felhasználó számára a hozzáférést a szükséges forrásokat eleget az új szerepet.

Íme néhány „aranyszabályt” kell követni való hozzáférés vezérlésére a forrásokat a csoport:

A választás a beágyazott struktúrák attól is függhet, két tényező. Először - kié és milyen jelentőségű védett adatokat. Amennyiben az adatok nyilvánosságra hozatala különösen veszélyes, felelős a védelmi, a rendszergazda teljes mértékben ellenőrzése alatt, aki az engedélyt. Így a legjobb politika ebben az esetben - nem használ egymásba ágyazott struktúrát. Ehelyett meg kell használni egy csoportot, hogy ellenőrizzék tagság és az azonos csoportba - biztosító hozzáférési jogosultsága az erőforráshoz. Ez a megközelítés azonban nem optimális, ha több felhasználó számára hozzáférést kell biztosítani az adott forrás, és a tulajdonos nem akarja, vagy nem tudja ellenőrizni a tagság minden felhasználó a megfelelő csoportba. Ilyen esetekben érdemes szervezni több csoport, és lehetővé teszi más rendszergazdák a felhasználók számára saját csoportokat, majd befektetni a csoport egy másik csoport, amelyen keresztül engedélyt kap az erőforrás elérését.

A második tényező, amely hatással lehet a rendszergazda döntését a kialakulása egy beágyazott csoport szerkezetének - az a képesség, hogy visszaszerezze tagság AD csoportban után véletlen törlése AD tárgyakat. A legnehezebb dolog helyreáll tagság tartományon belüli csoportok, ha e csoportok tagjai található egy másik tartományban.

Megjegyzés egy fontos kivétel ez alól a szabály; beszélünk a nagy hálózatok AD, ami arra utal, jelenléte számos helyi csoportok. Ezzel ellentétben az AD csoportban, a helyi rendszer felhasználói csoportok nem biztosítják a lehetőséggel bővül a tagság a check-in rendszert, és nem befolyásolja a méret a Kerberos hitelesítési adatait. Más szóval, ebben az esetben megfelelőbb használata nem helyi tartomány csoportok és a helyi csoportok rendszert.

• Ahhoz, hogy a felhasználók az erőforrásokhoz való hozzáférés elosztva több domaint használja univerzális csoportokat. Ehhez helyezze a globális csoportokat univerzális csoportok univerzális csoportok - a tartomány helyi csoport, majd a tartomány helyi csoportok engedélyeinek beállítása keringés források.
• Használja univerzális csoportok azokban az esetekben, ahol a csoport tagságát közel van a statikus. Amikor a csoport tagság gyakran változik, akkor a csoport moderál: adjunk a felhasználók a globális csoportot, majd adja meg ezt a globális csoport az egyetemes csoport. Az univerzális csoportok generál nagyobb mennyiségű hálózati forgalom több területre kiterjedő hálózatok, mert információt az egyetemes csoport tagság tárolja a globális katalógus, ami lemásolható erdőszintű.

Tehát, kövesse a fenti „aranyszabályt”. Ezen kívül, azt javasoljuk, hogy az olvasók tartsa be a következő alapelveket: megpróbál létrehozni a lehető legkisebb mértékben korlátozza a csoportok száma és a beruházások szintjét. Végtére is, a kisebb csoportok, és a beruházások szintjét, annál könnyebb a rendszer lehetővé teszi, és a könnyebb megtalálni az okát a probléma problémák esetén.

Tehát, megnéztük az alapvető jellemzői a csoportok AD és rájött, hogyan kell használni őket, hogy szervezzenek hatékony kezelése jogosultsággal az erőforrásokat. Ezen ismeretek nélkül nem csinál egyetlen adminisztrátor AD.

Zhan De Clercq ([email protected]) - tagja a Biztonsági Hivatal Hewlett-Packard Corporation. Érdeklődési körébe személyazonosság-kezelési és biztonsági kérdések a Microsoft termékeket.

EVOLUTION GROUP WINDOWS

1. táblázat: Funkcionális domének szintek

Funkcionális domain szinten

A használt operációs rendszerek tartományvezérlőkön

Kapcsolódó cikkek

• Csoport szabályokat, a szabályok betartásának az garanitiey hátul - ACA csoport 12 lépésben

• A kérdések első csoportja - a szabályok a piramis vagy energiatermelés

• Pirostikery - mini tűzoltó, azok meghatározása, jellemzői, szabályai és alkalmazása