Kurs: 6425: Rešavanje problema i konfiguracija Windows Server 2008 Active Directory Domain servisa Materijali vezani uz ovu lekciju: - Test strategije za korišćenje grupa - Strategije za korišćenje grupa (PDF dokument) Da bi mogli efikasno da koriste grupe objekata u Aktivnom direktorijumu, administratori koriste određene strategije za dodeljivanje različitih opsega (Scopes) grupa. Ova lekcija pokriva sposobnost i znanje koje je potrebno administratorima da bi mogli da koriste grupe na najbolji mogući način tako što će primeniti različite strategije sa grupama. Zasigurno ste upoznati sa svrhom grupisanja objekata, a to je njihovo sakupljanje i njihovo upravljanje u svojstvu jedinstvenog objekta. Primena upravljanja grupama u Aktivnom direktorijumu nije intuitivna, Aktivni direktorijum je napravljen da podrži različite, distribuirane sredine, tako da sadrži sedam različitih tipova grupa: dva tipa domenskih grupa: Security group - Sigurnosna grupa i Distribution group - Distributivna grupa, svaka sa po tri moguća scope-a (opsega): Domain local - Domensko lokalna, Global - Globalna, Universal - Univerzalna, kao i dodatnu lokalnu sigurnosnu grupu.
Slika 1: Kreiranje grupe u AD DS-u
Šta je GROUP NESTING?Koristeći umetanje (Nesting), ubacivanje, administratori mogu da dodaju grupu kao člana druge grupe. Administrator ubacuje grupe u druge grupe da bi konsolidovao upravljanje grupama.
Nesting opcije zavise umnogome od toga da li je funkcionalni nivo našeg Windows Server 2008 domena podešen na Windows 2000 Native ili Windows 2000 Mixed ili Windows Server 2003 ili Windows Server 2008. U domenima u kojima je funkcionalni nivo podešen na Windows 2000 Native ili viši nivo, članstvo grupa je utvrđeno na sledeći način:
Ne mogu se kreirati sigurnosne grupe (Security) niti konfigurisati da budu Univerzalne ako je domenski funkcionalni nivo podešen na Windows 2000 Mixed. Univerzalne grupe su podržane samo u Windows 2000 Native i novijim domenskim funkcionalnim nivoima.
Strategije grupaDa bi mogli efikasno da koriste grupe, administratori koriste određene strategije za dodeljivanje različitih opsega (Scopes) grupa. U jedinom domenu, najčešće se koriste Globalne i Domen lokalne grupe da bi dodelili određene dozvole za pristup resursima.
A G P strategijom administratori stavljaju korisničke naloge (A) u Globalne grupe (G) i nakon toga dodeljuju određene dozvole (P) za pristup resursima. Ograničenje ove strategije je to što komplikuje administraciju kada imamo mrežu sa višedomenskim okruženjem. Ako globalne grupe koje se prostiru na više domena zahtevaju da im se dodele iste dozvole, administrator mora da dodeli potrebne dozvole za svaku globalnu grupu posebno.
A DL P strategijom, administrator stavlja korisničke naloge (A) u domen lokalne grupe (DL) i nakon toga dodeljuje određene dozvole (P) za pristup resursima domen lokalnoj grupi. Ograničenje ove strategije je u tome što pomoću nje ne mozemo da dodeljujemo dozvole za pristup resursima izvan domena u kome se sama domen lokalna grupa nalazi. Ona smanjuje fleksibilnost pri rastu mreže.
Ovom strategijom administrator stavlja korisničke naloge (A) u globalne grupe (G), globalne grupe smešta u domen lokalne grupe (DL) i nakon toga domen lokalnim grupama dodeljuje određene dozvole (P) za pristup resursima. Ova strategija kreira fleksibilnist za rast mreže i uprošćava konfiguraciju dozvola.
Ovom strategijom administrator stavlja korisničke naloge (A) u globalne grupe (G), globalne grupe smešta u univerzalne grupe (U), univerzalne grupe smešta u domen lokalne grupe (DL) i nakon toga domen lokalnim grupama dodeljuje dozvole (P) za pristup resursima. Ova strategija se koristi u šumi sa više domena u kojoj administratori zahtevaju centralizovanu administraciju globalnih grupa. Postoji jedna mana koja se odnosi na univerzalne grupe. Ako koristite samo univerzalne grupe, globalni katalog se naduvava i javljaju se problemi sa replikacijom. U globalnom katalogu se nalaze svi nazivi grupa u šumi. Ali problem sa univerzalnim grupama je taj što se pored njihovih naziva u globalnom katalogu nalaze i svi mogući članovi u univerzalnim grupama. Admnistratori obično štede univerzalne grupe i koriste ih samo kad su zaista i potrebne.
Administratori koriste ovu strategiju da stave korisničke naloge (A) u globalne grupe (G), zatim globalnu grupu ubacuju u Lokalnu grupu (L) i njoj dodeljuju dozvole (P) za pristup resursima. Ograničenje ove strategije je ta što ne možemo da dodelimo pristup resursima koji se ne nalaze na lokalnom kompjuteru na kome se nalazi lokalna grupa.
|