Типы группы
security
Группы безопасности используются для управления доступом к ресурсам. Их также можно использовать как сообщения электронной почты списка рассылки.
Распределение
Группы распространения могут использоваться только для списков рассылки электронной почты или простой административной группы. Эти группы не может использоваться для управления доступом, потому что они не являются «включена безопасность». В доменах, в основном режиме тип группы могут быть преобразованы в любое время. В домены в смешанном режиме тип группы фиксированной во время создания и не может быть изменен.
Типы области
Универсальный
Универсальные группы могут быть использованы в любом месте того же леса Windows. Они доступны только в основном режиме предприятия. Универсальные группы могут быть простой подход для администраторов, некоторые из-за внутренних ограничений на их использование не существует. Пользователей можно напрямую присвоить универсальных групп, они могут быть вложенными и их можно использовать непосредственно с помощью списков управления доступом для обозначения разрешения на доступ в любом домене в рамках предприятия.
Универсальные группы хранятся в глобальном каталоге (GC); это означает, что все изменения, внесенные в эти группы engender репликации на все серверы глобального каталога для всего предприятия. Поэтому необходимо внести изменения в универсальные группы только после тщательного изучения преимуществ универсальных групп затрат в сравнении с нагрузку репликации повышение глобального каталога. Если организация имеет, кроме одного, хорошо организованной сети LAN, не снижение производительности должен быть сталкивались, хотя широко распределенных веб-узлов могут возникнуть серьезные последствия. Как правило организации, с помощью глобальных следует использовать универсальные группы только для сравнительно статических групп, в котором членство изменить редко.
Глобальная
Глобальные группы — это основная область группы, в котором пользователи находятся в домены в смешанном режиме. Глобальные группы могут находиться только в дескрипторах безопасности объектов ресурсов, которые находятся в одном домене. Это означает, что нельзя ограничить доступ к объекту, основываясь исключительно на членство пользователей в глобальную группу из другого домена.
Глобальные группы для пользователя, вычисляется при входе в домен. Поскольку глобальные группы на основе домена, изменения в глобальные группы не существует репликация глобального каталога, в течение всего предприятия.
В основном режиме домена глобальные группы могут быть вложены в друг с другом. Это полезно в том случае, когда администраторы имеются вложенные подразделения и требуется делегировать административные функции организационные единицы (OU) постепенно снижаться способом работы дерево Подразделений. В этом случае дерева глобальная группа может служить параллельной конструкции, для назначения таких прав, уменьшение
Локальный домен
Domain Local groups can be used for the direct assignment of access policies on specific resources that are not directly stored in Active Directory, (such as file server shares, printer queues, and so on).
Domain Local groups should not be used to assign permissions on Active Directory objects, because Domain Local groups cannot be evaluated in other domains, and parts of most Active Directory objects get replicated to other domains in the form of the GC. Access restrictions placed on Active Directory objects that are based on Domain Local group membership have no effect on GC queries that take place in groups other than the domain in which the Domain Local group originated.
Подписаться на:
Комментарии к сообщению (Atom)
0 коммент.:
Отправить комментарий