Creați grupuri în directoriul wow activă

Înainte de a crea grupuri ar trebui să știe care sunt diferitele grupuri de specii. Deoarece structura DS proiectat pentru a sprijini mass-media complexe și de mare distribuție, Active Directory include două tipuri de grupuri de domeniu cu trei domenii, în fiecare dintre ele, precum și grupul de securitate locale. Tipurile de grupuri și domeniul de aplicare a acestora sunt discutate în detaliu în următoarele subsecțiuni.

tipuri de grupuri

La rândul său, grupul de distribuție utilizat inițial aplicații de e-mail, și nu poate fi un principal de securitate. Cu alte cuvinte, acest tip de grup nu este obiectul de securitate. Din moment ce acest grup nu pot fi utilizate în scopul accesului la resurse, acesta este cel mai des folosit la instalarea Microsoft Exchange Server în caz, atunci când utilizatorii trebuie să combine într-un grup cu scopul de a trimite e-mail către un întreg grup.

Grupuri Domeniul de aplicare

Grupul domeniu de aplicare specifică un interval în care grupul este aplicat în cadrul domeniului. În afară de faptul că grupul poate conține utilizatori și calculatoare, ele pot fi membri ai altor grupuri, se referă la ACL, filtre și obiecte de politică de grup, și așa mai departe. Limita gamei de domeniul de acțiune al grupului poate fi determinată de locuri de muncă la nivel funcțional domeniu. Principalele grupuri de caracteristici domeniu de aplicare includ calitatea de membru (definirea directori de securitate care pot conține grup) replicare (definiția grupului regiunii de replicare) și accesibilitate (definiția de grup pentru localizarea, posibilitatea includerii acestui membru al grupului parte, adăugând un grup la lista ACL) . Există patru domenii de grupuri de acțiune locală:, domeniu local, la nivel mondial și universal. Să luăm în considerare fiecare dintre ele:

În unele cazuri, s-ar putea obține necesitatea de a transforma un domeniu de aplicare la altul în fața ta. De exemplu, datorită faptului că, în mod implicit, atunci când creați un grup, se pune accent pe grupul de securitate la nivel mondial, din greșeală, o puteți lăsa neschimbat, și de a crea un grup. După crearea grupului, domeniul său de aplicare poate fi schimbat pe caseta „General“ tab-ul Proprietăți grup de dialog, una dintre următoarele metode disponibile:

  • Grup Global universal în cazul în care grupul variabilă nu este membru al unui alt grup global;
  • grup local în domeniu, în universal, în cazul în care grupul nu conține un alt grup local de domeniu în calitate de membru;
  • grup global universal în cazul în care grupul nu conține în calitate de membru al unui alt grup universal;
  • Universal Group în grupul local în domeniu.

După cum puteți vedea, un grup global pur si simplu nu este posibil să se modifice un grup local în domeniu. În ciuda acestui fapt, puteți converti mai întâi grupul la nivel mondial într-o universală, și apoi a obține un grup universal - grupul local în domeniu.

La prima vedere, toate aceste grupuri de zone pot parea la fel, dar puteți vedea un exemplu simplu pentru o mai bună înțelegere a utilizării lor. Să presupunem că există două domenii. În primul domeniu (domeniul A) este dosarul care ar trebui să i se acorde acces la angajații din ambele domenii de vânzări. Domeniul de A. Accesul la acest dosar poate obține toți utilizatorii, dar pentru o utilizare mai rațională a utilizatorilor care ar trebui să beneficieze de acces, le puteți pune în grupul de securitate la nivel mondial. Dar grupul la nivel mondial „vânzări“ în domeniu nu poate accesa dosarul în consecință, un grup global „vânzări“ din domeniu care urmează să fie incluse într-un grup universal de domeniu A., spun „Accesul la resursele de domeniu A“. Apoi, în domeniul A trebuie să creeze un grup local în domeniu (de exemplu, „Accesul la materiale sensibile“), din moment ce un grup universal nu poate fi membru al unui grup global. Acum trebuie să includă în grupul „Acces la materiale clasificate“ grupului global „vânzări“ din domeniul A și grupul universal „Accesul la resursele de domeniu“ un domeniu B. Numai după aceea, membrii grupului „vânzări“ din ambele domenii vor avea permisiunea de a utiliza secretul documente situate în domeniul a.

Crearea unor grupuri folosind utilitarul de completare snap «Active Directory - Utilizatori și Calculatoare“

Deci, ca și conturi de utilizator, de a crea grupuri de cel mai ușor folosind utilitarul de completare snap funcționalitate «Active Directory. - utilizatori și computere“ Această metodă are o interfață grafică care vă permite să setați corect un grup de orice tip și cu orice domeniu de aplicare chiar și administratorii novice, care au deschis această completare snap-in pentru prima dată. Pentru a crea un grup prin utilizarea acestui snap-in, urmați acești pași:

Creați grupuri în directoriul wow activă

Fig. 1. pocnet «Active Directory - Utilizatori și Calculatoare“ și de a crea un nou grup

Creați grupuri în directoriul wow activă

Fig. 2. Caseta de dialog "New Object - Group"

Creați grupuri de instrumente de linie de comandă

Precum și pentru a crea conturi de utilizator, puteți crea grupuri utilizând linia de comandă utilitarul Dsadd. După ce specificați numele de comandă trebuie să specificați modificatorul de grup. care este un tip de grupuri de obiecte. După un modificator, specificați DN obiectului în sine și parametrii asociați. Sintaxa comenzii este următoarea:

În această comandă, parametrii suplimentari sunt relativ puține, pentru că toate acestea sunt descrise mai jos:

-secgrp. Acest parametru indică tipul grupului: de securitate (da) sau de distribuție (nr). În cazul în care nu este specificat, valoarea implicită pentru acest parametru este considerat a fi da;

-domeniul de aplicare. Parametrul curent specifică domeniul de aplicare al grupului. Opțiuni disponibile: domeniu local (l), la nivel mondial (g), sau universale (u). În mod implicit, precum și utilizând interfața GUI, domeniul de aplicare la nivel mondial este atribuit;

-samid. Acest parametru definește utilizarea pentru acest grup de numele SAM ca atribut grup unic sAMAccountName. Este de dorit ca numele și grupul sAMAccountName indică identic;

-desc. Acest parametru este responsabil pentru scurtă descriere a grupului;

-memberof. Acest parametru specifică una sau mai multe grupuri la care doriți să adăugați unul nou. În cazul în care mai multe grupuri, acestea ar trebui să fie adăugate printr-un spațiu;

-membri. Cu această opțiune puteți adăuga membri în grup. Statele membre ar trebui să fie specificat ca un nume de DN-și separate printr-un spațiu.

Fig. 3. Creați grupuri de Dsadd facilități de utilitate

Crearea unui grup cu comenzile și CSVDE LDIFDE

Creați grupuri în directoriul wow activă

Fig. 4. Prezentarea fișier CSV

Sintaxa comenzii este următoarea:

  • -i. Parametrul, care este responsabil pentru regimul de import. Dacă nu specificați această opțiune, comanda va folosi regimul implicit de export;
  • -f. Parametrul identifică numele fișierului, care este destinat pentru importuri sau exporturi;
  • -k. Parametru pentru continuarea importurilor, sărind peste toate erorile posibile;
  • -v. Opțiunea, utilizând care puteți afișa informații detaliate;
  • -j. Parametru responsabil pentru locația fișierului jurnal;
  • -u. Parametrul vă permite să utilizați modul Unicode.

Un exemplu folosind comanda:

utilitate LDIFDE care a fost descris în articolul „Crearea de conturi de utilizator în Active Directory». fișierele de import și de export în formatul Lightweight Directory Access Protocol Data Interchange Format (LDIF), și este folosit pentru a crea grupuri. În acest format de fișier, fiecare rând reprezintă un set separat de atribute, urmat de două puncte și o valoare curentă a atributului în sine. Precum și un fișier CSV, prima linie trebuie să fie un atribut DN. Aceasta este urmată de o changeType șir, care indică tipul de operațiune (adăuga, modifica sau șterge). Un exemplu de acest fișier:

Sintaxa comenzii este foarte simplu:

  • -i. Parametrul, care este responsabil pentru regimul de import. Dacă nu specificați această opțiune, comanda va folosi regimul implicit de export;
  • -f. Parametrul identifică numele fișierului, care este destinat pentru importuri sau exporturi;
  • -k. Parametru pentru continuarea importurilor, sărind peste toate erorile posibile;
  • -v. Opțiunea, utilizând care puteți afișa informații detaliate;
  • -j. Parametru responsabil pentru locația fișierului jurnal;
  • -d. Parametrul specificând rădăcina de căutare LDAP;
  • -f. Parametru pentru filtrul de căutare LDAP;
  • -p. Reprezintă zona sau adâncimea de căutare;
  • -l. Acesta este destinat pentru a indica o listă de atribute delimitate prin virgulă, care urmează să fie incluse în exportul obiectelor rezultate;

Grupuri creare utilizând PowerShell

Fig. 5. Creați grupuri cu Windows PowerShell

concluzie

În acest articol ai învățat despre grupuri din Active Directory. Ai învățat cum să se determine tipul de grup și a domeniului său de aplicare. În plus, ați învățat cum să creați un grup utilizând interfața cu utilizatorul, utilitati linie de comandă Dsadd, CSVDE și LDIFDE. De asemenea, script-ul a crea un grup utilizând cmdlet-ul shell-ul de comandă Nou-Windows PowerShell pentru grupul de anunțuri a fost luată în considerare. Intr-un articol viitor, veți învăța despre grupuri de planificare, membru al grupului de control, precum și atribute suplimentare ale conturilor de grup.