Многие начинающие системные администраторы, да и не начинающие, почему-то не используют группы в службе каталогов Active Directory, говоря, что в этом нет необходимости и вообще для чего они нужны. Но, такие сисадмины не правы, так как создавать группы, даже в маленьких организациях необходимо. А для чего это необходимо, попробуем сейчас разобраться.

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты.

Теперь ответим на вопрос «Зачем нужны группы в Active Directory?»

Лучше всего понять это, конечно же, на примере, пусть у нас будет маленькая организация и сложных задач нам не нужно делать.

Допустим, у нас есть какой-нибудь ресурс (пусть будет общая папка) и доступ к нему имеют только 3 пользователя, вы дали разрешение этим пользователям индивидуально каждому. Все хорошо, но допустим через некоторое время одному пользователю нужно убрать эти права, а другому наоборот дать (допустим, одного сотрудника понизили, а другого повысили). И если бы у вас была бы группа, ваше действия свелись к тому, что просто одного убрать из группы, а другого завести в нее (займет меньше минуты!). Но так как у вас нет группы на этот ресурс, поэтому вам необходимо будет делать много лишних манипуляций. Из этого следует, что создавать группы необходимо, для того чтобы давать разрешения или права сразу многим объектам в Active Directory, будь то пользователи или компьютеры. 

Данный пример самый простой, поэтому сразу же кидаться создавать группы не спешите, сначала нужно рассмотреть:

• Какие типы групп существуют?
• Какие области действий есть?
• Какую стратегию создания групп выбрать?

Да, да именно стратегию по созданию или использованию групп, так как от планирования того какие группы и с какими разрешениями необходимо создать зависит простота администрирования в дальнейшем.

В службе каталогов Active Directory есть уже встроенные группы, такие как: Администраторы, операторы архива, пользователи удаленного рабочего стола и еще много других. Для того чтобы, посмотреть какие есть группы или почитать описание, откройте контейнер Builtin в оснастке «Пользователи и компьютеры».

Давайте начнем с того, какие типы групп есть и как создать группу. Для создания группы откройте оснастку «пользователи и компьютеры» и на любом контейнере (организационной единице) кликните правой кнопкой мыши, выберите создать->группу. Откроется окно создания группы.

Затем вам нужно написать название вашей будущей группы, выбрать область действия и выбрать какой тип группы у вас будет, сразу скажу что «группа распространения» вам потребуется достаточно редко, а «группа безопасность» напротив, будет требоваться очень часто, так как является основной и часто используемой группой в Active Directory.

Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.

Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную.  Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Теперь поговорим о стратегии использования групп, компания Microsoft рекомендует следующею стратегию, я в принципе согласен с их стратегией, с помощью нее можно легко управлять разрешениями и правами в большой компании.

AGDLP - accounts > global groups > local groups > permissions.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Но если это для вас сложно или вы думаете что это просто не нужно вам то вы можете использовать стратегию AGP, т.е. глобальной группе предоставлять доступ к ресурсам, а в свою очередь в глобальную группу добавлять пользователей. На эту тему можно говорить и спорить долгое время.

Ну и в заключение подведем итог, группы в Active Directory – это хорошо! Их нужно использовать, по средствам вышеперечисленных стратегий, или другой своей стратегии.