AD alapok - a csoportok
2004/05/20 15:05
2369 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A következő AD alapok részekben tartalmasabban fogunk foglalkozunk a felhasználói fiókokkal, csoportokkal és a számítógépfiókokkal.

A csoportok
Alapvető céljuk, hogy egyszerűsítsék felügyeletet, hiszen alkalmazásukkal egyszerre adhatunk engedélyeket, jogosultságokat a csoport összes tagjának. Egy csoport (group) besorolása tulajdonságai, jellemzői és működése alapján nagyon hasonlít egy felhasználói fiókra. A csoportok is összefoghatnak általunk létrehozott valós felhasználókat, de természetesen rendelkezünk számos gyári és különböző alkalmazások által létrehozott csoporttal is (gondoljunk az IIS 5.0-hoz szükséges biztonsági bővítmény, az IISLockdown alkalmazás által létrehozott Web Anonymous Users és Web Application Users csoportokra), csoportok is lehetnek helyiek vagy egy nagyobb egységhez tartozva, címtár alapúak, valamint a csoportok biztonsági azonosítói is hasonló módon alakulnak ki és épülnek fel mint a felhasználói fiókoknál. Fontos viszont, hogy a címtár legkisebb szervezeti elemét, a szervezeti egységeket nem keverhetjük össze a részben kompatibilitási okokból megmaradt, de számos új feladatot is kapott csoportokkal, amelyek nem tárolói, építőkockái a címtárnak, viszont a működéséhez elengedhetetlenek.

A fentiek szerint tehát csoportokba szervezhetjük a felhasználókat és a számítógépfiókokat, kapcsolattartókat és esetleg további csoportokat is. Az operációs rendszer és a címtárszolgáltatás telepítése után is készülnek alapértelmezett csoportok, az előbbiek helyi (pl. Administrators - Rendszergazdák), az utóbbiak tartományi (pl. Domain Admins - Tartománygazdák) hatókörrel rendelkeznek, viszont egy tartományvezérlő viszont már nem tartalmazhat helyi csoportot. Csoportból feladatkör szerint kétfélét használhatunk:

- Biztonsági csoport: A hagyományos biztonsági csoporttípus alkalmazásával a felhasználói és az erőforrások elérésére vonatkozó jogosultságok rendelhetők hozzá egyszerűen a csoport minden tagjához.

- Terjesztési csoport: Az elektronikus levelek egyszerű terjesztése céljából használjuk, mert amennyiben jelen van pl. egy Exchange kiszolgáló a tartományban, akkor a csoport neve egyben egy olyan e-mail cím is, amelyre levelet küldve az a csoport összes tagjához eljut. Terjesztési csoportot kizárólag akkor készítsünk, ha nincs a kiszemelt fiókoknak megfelelő biztonsági csoport, mert alaphelyzet szerint minden biztonsági csoportnak is lehet egy közös e-mail címe.

Fontos tudni még, hogy egy biztonsági csoportot terjesztési csoporttá, terjesztési csoportot pedig biztonsági csoporttá bármikor lehet konvertálni, feltéve, hogy a tartomány Windows 2000 natív vagy ennél magasabb funkcionalitási szinten működik.

Hatókör alapján is van lehetőség csoportok kialakítására, mégpedig annak megfelelően (akár biztonsági csoportról, akár terjesztési csoportról van szó) hogy egy csoport hatályossága a címtáron belül meddig terjed. E szempont alapján pedig három csoporttípus különböztethető meg:
- Tartományi lokális (Domain local group): tartományon belüli (azaz helyi, de nem a tagkiszolgálókon vagy a munkaállomásokon meglévő helyi!) csoportok tagjai a Windows Server 2003, Windows 2000 és Windows NT alapú tartományok csoportjai és fiókjai lehetnek. Egy ilyen típusú csoport tagjai lehetnek egyaránt a globális és az univerzális hatókörű csoportok, fiókok vagy akár más más, tartományon belüli csoportok. Tartományon belüli csoportnak viszont kizárólag tartományon belül adható engedély, ám a csoportok beágyazhatósága miatt az ilyen csoporthatókör előnyeit úgy tudjuk igazán praktikusan kihasználni egy többtartományos modell esetén, hogy egy globális hatókörű csoportot teszünk a tartományi lokális csoport tagjává.

- Globális (Global group):
egy ilyen hatókörű csoport tagja csak olyan fiók vagy csoport lehet, amely annak a tartománynak tagja, ahol a csoport létrehozásra került, viszont az ilyen hatókörű csoportnak az erdő bármelyik tartományában adható engedély. Ahhoz megértsük ennek a csoportnak a fontosságát, tudnunk kell, hogy a csoporttagsággal kapcsolatos adatok minden esetben replikálásra kerülnek az erdőn belül. Az ilyen csoporttípus kiválasztásánál viszont a replikáció nem lesz számottevő méretű, mert - a tagsági feltételek miatt - csak a tartományon belül következhet be.

- Univerzális (Universal group): a Windows 2000 tartományok újdonsága volt a szintén csak natív tartományi üzemmódban elérhető univerzális hatókörű csoport, melynek tagjai a tartományfa vagy az erdő bármely tartományában lévő csoportok és fiókok lehetnek és ezeknek az erdő szintén bármely tartományában adható is jogosultság. Adataik nem az erdő valamely tartományában, hanem a globális katalógisban tárolódnak. Ezeknek a tulajdonságoknak megfelelően kiválóan alkalmasak például arra, hogy több különböző tartomány globális hatókörű csoportjait tartalmazzák.

Ha új csoportot készítünk, akkor az új csoport az operációs rendszer alapértelmezése szerint globális hatókörű csoportként lesz beállítva. Ha ezen változtatni szeretnénk és ha Windows 2000 natív vagy Windows Server 2003 üzemmódban működik a tartományunk (de csak ekkor) az alábbi átalakítások végezhetők el:
- Tartományi lokális csoport univerzálissá: csak abban az esetben lehetséges, ha a megváltoztatni kívánt csoportba nincs beágyazva egy másik, tartományon belüli csoport.

- Globális csoport univerzálissá: szintén csak akkor engedélyezett, ha a megváltoztatni kívánt csoport nincs beágyazva másik globális hatókörű csoportba.

- Univerzális csoport globálissá: csak akkor tehető meg ez a változtatás, ha a megváltoztatni kívánt csoportnak nem tagja egy másik univerzális csoport.

- Univerzális csoport tartományi lokálissá: bármilyen esetben lehetséges.

Gál Tamás
gtamas@tjszki.hu

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek