BAZA ZNANJA

Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa

Modul: Konfiguracija objekata aktivnog direktorijuma i konfiguracija poverenja

Autor: Test Instruktor

Naziv jedinice: Strategije za korišćenje grupa

Da bi mogli efikasno da koriste grupe objekata u Aktivnom direktorijumu, administratori koriste određene strategije za dodeljivanje različitih opsega (Scopes) grupa. Ova lekcija pokriva sposobnost i znanje koje je potrebno administratorima da bi mogli da koriste grupe na najbolji mogući način tako što će primeniti različite strategije sa grupama.

Zasigurno ste upoznati sa svrhom grupisanja objekata, a to je njihovo sakupljanje i njihovo upravljanje u svojstvu jedinstvenog objekta. Primena upravljanja grupama u Aktivnom direktorijumu nije intuitivna, Aktivni direktorijum je napravljen da podrži različite, distribuirane sredine, tako da sadrži sedam različitih tipova grupa: dva tipa domenskih grupa: Security group - Sigurnosna grupa i Distribution group - Distributivna grupa, svaka sa po tri moguća scope-a (opsega): Domain local - Domensko lokalna, Global - Globalna, Universal - Univerzalna, kao i dodatnu lokalnu sigurnosnu grupu.

• Distribution groups - Distributivne grupe se koriste za e-mail aplikacije i ovaj tip grupe nema sigurnosne atribute (SIDs) tako da im se ne može dati dozvola za pristup resursima. Slanje e-mail poruke  Distributivnoj grupi, šalje poruku svim članovima takve grupe.
• Security groups - Sigurnosne grupe su poput korisničkih ili kompjuterskih naloga security principals i sadrže SIDs. Zato ove grupe mogu da se koriste za dodelu prava pristupa na osnovu ACL liste, ali takođe mogu da se koriste i kao Distributivne grupe za e-mail aplikacije.

Slika 1: Kreiranje grupe u AD DS-u

Šta je GROUP NESTING?

Koristeći umetanje (Nesting), ubacivanje, administratori mogu da dodaju grupu kao člana druge grupe. Administrator ubacuje grupe u druge grupe da bi konsolidovao upravljanje grupama.

Nesting opcije

Nesting opcije zavise umnogome od toga da li je funkcionalni nivo našeg Windows Server 2008 domena podešen na Windows 2000 Native ili Windows 2000 Mixed ili Windows Server 2003 ili Windows Server 2008.

U domenima u kojima je funkcionalni nivo podešen na Windows 2000 Native ili viši nivo, članstvo grupa je utvrđeno na sledeći način:

• Univerzalne grupe mogu da sadrže sledeće članove: korisničke naloge, kompjuterske naloge, univerzalne grupe, globalne grupe iz bilo kog domena u šumi.
• Globalne grupe mogu da sadrže sledeće članove: korisničke naloge koji se nalaze na istom domenu i druge globalne grupe koje se nalaze u istom domenu.
• Domenske lokalne grupe mogu da sadrže sledeće članove: korisničke naloge, univerzalne grupe, globalne grupe sa bilo kog domena u šumi. Takođe mogu sadržati i domenske lokalne grupe iz domena u kojima se same nalaze.

Ne mogu se kreirati sigurnosne grupe (Security) niti konfigurisati da budu Univerzalne ako je domenski funkcionalni nivo podešen na Windows 2000 Mixed. Univerzalne grupe su podržane samo u Windows 2000 Native i novijim domenskim funkcionalnim nivoima.

Strategije grupa

Da bi mogli efikasno da koriste grupe, administratori koriste određene strategije za dodeljivanje različitih opsega (Scopes) grupa. U jedinom domenu, najčešće se koriste Globalne i Domen lokalne grupe da bi dodelili određene dozvole za pristup resursima.
U mreži sa više domena, administratori kombinuju Globalne i Univerzalne grupe u strategiju.

A G P

A G P strategijom administratori stavljaju korisničke naloge (A) u Globalne grupe (G) i nakon toga dodeljuju određene dozvole (P) za pristup resursima. Ograničenje ove strategije je to što komplikuje administraciju kada imamo mrežu sa višedomenskim okruženjem. Ako globalne grupe koje se prostiru na više domena zahtevaju da im se dodele iste dozvole, administrator mora da dodeli potrebne dozvole za svaku globalnu grupu posebno.

A DL P

A DL P strategijom, administrator stavlja korisničke naloge (A) u domen lokalne grupe (DL) i nakon toga dodeljuje određene dozvole (P) za pristup resursima domen lokalnoj grupi. Ograničenje ove strategije je u tome što pomoću nje ne mozemo da dodeljujemo dozvole za pristup resursima izvan domena u kome se sama domen lokalna grupa nalazi. Ona smanjuje fleksibilnost pri rastu mreže.

A G DL P

Ovom strategijom administrator stavlja korisničke naloge (A) u globalne grupe (G), globalne grupe smešta u domen lokalne grupe (DL) i nakon toga domen lokalnim grupama dodeljuje određene dozvole (P) za pristup resursima. Ova strategija kreira fleksibilnist za rast mreže i uprošćava konfiguraciju dozvola.

A G U DL P

Ovom strategijom administrator stavlja korisničke naloge (A) u globalne grupe (G), globalne grupe smešta u univerzalne grupe (U), univerzalne grupe smešta u domen lokalne grupe (DL) i nakon toga domen lokalnim grupama dodeljuje dozvole (P) za pristup resursima. Ova strategija se koristi u šumi sa više domena u kojoj administratori zahtevaju centralizovanu administraciju globalnih grupa.

Postoji jedna mana koja se odnosi na univerzalne grupe. Ako koristite samo univerzalne grupe, globalni katalog se naduvava i javljaju se problemi sa replikacijom. U globalnom katalogu se nalaze svi nazivi grupa u šumi. Ali problem sa univerzalnim grupama je taj što se pored njihovih naziva u globalnom katalogu nalaze i svi mogući članovi u univerzalnim grupama. Admnistratori obično štede univerzalne grupe i koriste ih samo kad su zaista i potrebne.

Za više informacija, pogledajte Microsoft Knowledge Base Article 231273, Group Type and Scope Usage in Windows na: http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B231273
Globalni katalog je domenski kontroler koji čuva kopiju svih objekata Aktivnog direktorijuma u šumi. Globalni katalog smešta u svoju bazu kopiju svih objekata koji se nalaze u aktivnom direktorijumu u kom se i sam nalazi. Takođe, čuva deo kopije svih objekata iz svih domena u šumi.

A G L P

Administratori koriste ovu strategiju da stave korisničke naloge (A) u globalne grupe (G), zatim globalnu grupu ubacuju u Lokalnu grupu (L) i njoj dodeljuju dozvole (P) za pristup resursima. Ograničenje ove strategije je ta što ne možemo da dodelimo pristup resursima koji se ne nalaze na lokalnom kompjuteru na kome se nalazi lokalna grupa.