Презентация для Лабораторной работы №3.
advertisement
Администрирование информационных систем Учетные записи групп Цели занятия: • локальные и глобальные группы • доменная архитектура Вспомнить: • различия между рабочей группой и доменом • различия между контроллером домена и сервером Основные понятия • Группа — это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Организация учетных записей в группы значительно упрощает решение каждодневных административных задач. Пользователи и группы • Принадлежность к конкретной группе определяет значительную часть возможностей пользователя сети и конкретного компьютера, так как при этом он получает все привилегии и права группы. Группы — очень удобный метод присвоения прав и привилегий сразу нескольким сотрудникам. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности. • Привилегии и права • Права доступа определяют правомочность выполнения конкретными пользователями различных действий с ресурсами, как-то: папками, файлами и принтерами. Поскольку управлять правами группы значительно проще, чем правами ее членов по отдельности, группы, как правило, применяют для управления доступом к ресурсам. • Привилегии регулируют права пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера. • Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и привилегии всех групп, в которых состоит. Локальные и глобальные группы • Группы бывают двух типов: локальные и глобальные. Локальные группы • Применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп домена. • Кроме того, локальные группы обеспечивают пользователям привилегии, необходимые для решения различных системных задач на локальном компьютере: – изменения системного времени, – резервного копирования файлов и т.п. • В состав Windows NT входит несколько встроенных локальных групп с заранее заданными привилегиями. Где создаются локальные группы • Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции, создается на этом компьютере. Если же ресурс расположен на одном из контроллеров домена, локальная группа для него создается на главном контроллере домена (Primary Domain Controller, PDC). В этом случае главный контроллер домена предоставляет необходимую информацию об учетных записях и защите остальным контроллерам домена. • Ниже показаны локальная группа База данных на компьютере, где находится сама база данных, и локальная группа Печать (она может находиться как на главном, так и на резервном контроллере домена), которая обеспечивает доступ пользователей к сетевому принтеру. • Создание локальных групп для доступа к ресурсу, находящемуся на сервере или рабочей станции под управлением Windows NT , выполняется с помощью утилит User Manager (Диспетчер пользователей) или User Manager for Domains (Диспетчер пользователей доменов). Локальные группы для ресурсов, расположенных на контроллере домена, создаются на главном контроллере домена средствами утилиты User Manager for Domains. Глобальные группы • Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана. В состав глобальной группы не могут входить ни локальные, ни другие глобальные группы. На рисунке показаны три глобальные группы домена Домен1. • Хотя глобальным группам можно также присвоить права доступа к ресурсам, их обычно применяют только для объединения учетных записей пользователей домена. Чтобы предоставить членам глобальной группы права доступа к ресурсу, ее просто включают в соответствующую локальную группу. • В состав Windows NT входят несколько встроенных глобальные групп, например группа Domain Users (Пользователи домена). По умолчанию к этой группе добавляются все учетные записи домена. В отличие от локальных, глобальные группы не обладают никакими заранее заданными правами. Где создаются глобальные группы • Глобальные группы всегда создаются на главном контроллере домена, к которому относятся учетные записи. Например, глобальные группы домена Домен1 создаются на его главном контроллере, а глобальные группы домена Домен2 — на главном контроллере домена Домен2. Однодоменная сеть Windows NT Основной и резервный контроллеры • Домен - это основная единица администрирования и обеспечения безопасности в Windows NT. Для домена существует общая база данных учетной информации пользователей домена (user accounts) и ресурсов домена - компьютеров (computer accounts) и принтеров (printer accounts). Пользователь домена выполняет один логический вход в домен и получает доступ сразу ко всем разрешенным ресурсам этого домена. Структура домена • Членами домена являются как пользователи, так и компьютеры. При отсутствии доменной организации каждый компьютер Windows NT хранит собственную базу учетных данных пользователей - SAM (Security Access Manager). В этой базе хранится вся необходимая системе информация о пользователе имя, пароль (в зашифрованном виде) и так называемый SID Security Identifier. Идентификатор SID играет ключевую роль в процессе предоставления пользователю доступа к защищенным ресурсам системы - файлам, принтерам и т.п. В списке прав доступа ресурса ACL хранится информация о конкретных номерах SID, которым разрешен тот или иной вид доступа. Каждый SID является уникальным числом. При изменении имени пользователя его SID не изменяется. • Компьютер домена также характеризуется именем и идентификатором SID, между которыми имеется такое же соотношение, как и между именем и идентификатором SID пользователя. • В домене обязательно есть сервер Windows NT Server, выполняющий роль первичного контроллера домена - Primary Domain Controller, PDC. Этот контроллер хранит первичную копию базы данных учетной информации пользователей домена SAM PD. Все изменения учетной информации сначала производятся именно в этой копии. Основной контроллер домена всегда существует в единственном экземпляре. • Кроме основного контроллера, в домене могут существовать несколько резервных контроллеров - Backup Domain Controllers, BDC. Эти контроллеры хранят реплики базы учетных данных. Все резервные контроллеры в дополнение к основному могут обрабатывать запросы пользователей на логический вход в домен. База данных SAM BD всегда является копией (с точностью до интервала синхронизации) базы SAM PD. • Резервный контроллер домена решает две задачи: 1. Он становится основным контроллером при отказе последнего. 2. Уменьшает нагрузку на основной контроллер по обработке запросов на логический вход пользователей. • Если сеть состоит из нескольких сетей, соединенных глобальными связями, то в каждой из составляющих сетей должен быть по крайней мере один резервный контроллер домена. • Членами домена могут быть также компьютеры, на которых установлены Windows NT Server, не назначенные на роль PDC или BDC. Такие серверы называются отдельно стоящими серверами (Stand-alone servers) или серверами - членами доменами (Member servers). На таких компьютерах, освобожденных от функций аутентификации пользователей и ведения справочной базы данных, могут более производительно выполняться ответственные приложения или файл- и принтсервисы. Stand-alone серверы не могут быть оперативно переконфигурированы в PDC или BDC, для этого требуется переинсталляция. • Рабочая станция Windows NT Workstation и сервер Windows NT Server, не выполняющий роль PDC или BDC, могут динамически изменять свое членство в домене, а серверы PDC и BDC - только при инсталляции системы. Поэтому при инсталляции очень важно правильно выбрать принадлежность компьютера, назначенного на роль контроллера домена, тому или иному домену. Транзитная аутентификация в однодоменной сети • Если пользователь входит с рабочей станции в домен, то рабочая станция не обращается для аутентификации в свою базу SAM, а выполняет транзитную аутентификацию. • Транзитная аутентификация заключается в поиске первичного или вторичного контроллеров домена и передаче им данных о пользователе. Контроллер домена, получив данные пользователя, выполняет просмотр своей базы SAM PD или SAM BD и на основании хранящихся там данных выполняет процедуру аутентификации. Естественно, что прошедшему аутентификацию пользователю присваивается SID, хранящийся в базе SAM контроллера домена, а не той рабочей станции, с которой пользователь выполняет логический вход. • Если у разделяемых ресурсов всех серверов домена данный SID включен в списки прав доступа ACL, то пользователь после входа в домен автоматически получает соответствующие права доступа к этим ресурсам. • Таким образом, централизованная справочная служба контроллеров PDC и BDC обеспечивает свойство единственности логического входа в систему - пользователь не должен каждый раз проходить через процедуру аутентификации при попытке получить доступ к ресурсам нового сервера Windows NT Server. Многодоменная сеть Windows NT • Доверительные отношения • Для того, чтобы не заводить учетную информацию на одного и того же пользователя в разных доменах, между доменами можно установить доверительные отношения. • Доверительные отношения обеспечивают транзитную аутентификацию, при которой пользователь имеет только одну учетную запись в одном домене, но может получить доступ к ресурсам всех доменов сети. Доверительные отношения между доменами • Доверяющий домен - trusting - предоставляет доступ к своим ресурсам пользователям из другого домена - доверяемого или trusted. Иногда доверяющий домен называют ресурсным, так как в нем находятся серверы, к ресурсам которых получают доступ пользователи, учетная информация которых находится в SAM контроллеров доверяемого домена, который называют поэтому учетным. • Доверительные отношения не являются транзитивными. Например, если домен А доверяет домену В, а В доверяет С, то это не значит, что А автоматически доверяет С. • Отношение доверия означает, что администратор доверяющего, ресурсного, домена может определять права доступа к ресурсам своего домена не только для своих пользователей, но и для пользователей доверяемого, учетного, домена. Таким образом, право доступа к ресурсам доверяющего домена для пользователей доверяемого домена является потенциальным, реализуемым только при условии согласия администратора доверяющего домена. Практически же ситуация обычно выглядит следующим образом: • В некотором учетном домене формируются глобальные группы. • Во всех доменах, доверяющих данному домену, администраторы включают глобальные группы учетного домена в локальные группы своего ресурсного домена. • Эти локальные группы уже наделены определенными правами по доступу к внутренним ресурсам домена. • Возникает интересная ситуация: с одной стороны, доступ к ресурсам регулируется администратором доверяющего домена, но с другой стороны, именно администратор учетного домена решает, в какую глобальную группу включить того или иного пользователя. Транзитная аутентификация в многодоменной сети • Пользователи могут входить в сеть из рабочих станций не только того домена, где хранится их учетная информация, но и из рабочих станций доменов, которые доверяют этому домену. • При входе в учетный домен с компьютера ресурсного домена также выполняется транзитная аутентификация. Пользователь в многодоменной сети полностью идентифицируется в сети составным именем в форме имя_домена\имя_пользователя. • Транзитная аутентификация происходит в двух случаях: – при начальном логическом входе в учетный домен с рабочей станции, – при использовании ресурсов доверяющего домена. Транзитная аутентификация выполняется в следующей последовательности: 1. Компьютер Windows NT при старте выполняет сервис Netlogon, с помощью которого обнаруживает контроллер своего домена (например, домена 2) на основе Windows NT Server. 2. Пользователь (например, пользователь 2) логически входит в компьютер домена 2, имея учетную информацию в домене 1. Он делает это изменяя имя домена в окне From с имени "домен 2" на имя "домен 1". 3. Контроллер домена 2 не может произвести аутентификацию пользователя, поскольку в запросе указано, что учетная информация пользователя находится в домене 1. 4. Аутентификационный запрос передается по доверительной связи в контроллер домена 1. Этот контроллер проверяет базу данных учетной информации домена 1 на наличие там данных о пользователе 2 и корректность введенного пароля. 5. Контроллер домена 1 аутентифицирует пользователя 2 и передает его идентификатор и идентификатор его группы контроллеру домена 2. Затем контроллер домена 2 передает эту информацию компьютеру Windows NT, через который осуществлял вход пользователь 2. Синхронизация контроллеров в сети Windows NT • Существует только один основной контроллер домена (PDC). Он управляет главной копией учетной базы данных домена, которая автоматически реплицируется на резервные контроллеры домена (BDC). Иногда может возникнуть потребность в повышении статуса резервного контроллера домена до основного, например, при проведении профилактических работ на первичном контроллере домена. Если PDC находится в рабочем состоянии, то он может поменяться ролями с BDC. Повышение статуса BDC до PDC приведет к тому, что статус PDC автоматически понизится до BDC. • Если же PDC отключен, то BDC также можно повысить до статуса PDC, но все последние изменения в его базе будут утеряны. • Синхронизация заключается в копировании новой информации о пользователях, группах и паролях с PDC на заданный BDC. Можно синхронизировать контроллеры двумя способами: – Если выбирается один из BDC, то с PDC синхронизируется только его база данных. – Если выбирается PDC, то база данных PDC будет синхронизироваться со всеми BDC домена. • Синхронизация с основным контроллером домена может быть необходима, когда администратор производит изменения в его учетной базе данных и хочет немедленно проверить их последствия без задержки во времени, связанной с периодичностью репликации. • Полная синхронизация учетной базы данных не является необходимой, если PDC и BDC работают на основе Windows NT. Это происходит потому, что PDC отслеживает уровень синхронизации для каждого BDC, что позволяет PDC управлять интенсивностью процесса частичной синхронизации. PDC посылает сообщение об изменении своей базы данных только тому BDC, который нуждается в изменениях, вместо того, чтобы синхронизировать все BDC. В каждом цикле репликации сообщения посылаются некоторому подмножеству BDC домена, что предотвращает одновременные ответы сразу от всех BDC. Это уменьшает пиковые значения сетевого трафика и загрузки PDC. • Параметры репликации: период репликации (по умолчанию - 5 минут), количество одновременно реплицируемых BDC (по умолчанию - 20), максимальное значение периода репликации и некоторые другие параметры. Все они хранятся в базе Registry. Четыре базовые модели организации доменов • Механизм доменов можно использовать на предприятии различными способами. В зависимости от специфики предприятия можно объединить ресурсы и пользователей в различное количество доменов, а также по-разному установить между ними доверительные отношения. • Microsoft предлагает использовать четыре типовые модели использования доменов на предприятии: 1. Модель с одним доменом 2. Модель с главным доменом 3. Модель с несколькими главными доменами 4. Модель с полными доверительными отношениями Модель с одним доменом • Эта модель подходит для организации, в которой имеется не очень много пользователей, и нет необходимости разделять ресурсы сети по организационным подразделениям. Главный ограничитель для этой модели - производительность, которая падает, с увеличением числа серверов в сети. Преимущества Недостатки •Наилучшая модель для предприятий с небольшим числом пользователей и ресурсов. •Централизованное управление пользовательской учетной информацией. •Нет нужды в управлении доверительными отношениями. •Локальные группы нужно определять только однажды. •Низкая производительность, если домен имеет слишком много пользователей и/или серверов. •Невозможность группирования ресурсов. Модель с главным доменом • Эта модель хорошо подходит для предприятий, где необходимо разбить ресурсы на группы в организационных целях, и в то же время количество пользователей и групп пользователей не очень велико. • Эта модель сочетает централизацию администрирования с организационными преимуществами разделения ресурсов между несколькими доменами. Модель с главным доменом • Главный домен удобно рассматривать как чисто учетный домен, основное назначение которого - хранение и обработка пользовательских учетных данных. Остальные домены в сети - это домены ресурсов, они не хранят и не обрабатывают пользовательскую учетную информацию, а поставляют ресурсы (такие как разделяемые файлы и принтеры) для всей сети. В этой модели пользовательскую учетную информацию хранят только основной и резервный контроллеры главного домена. Преимущества Недостатки •Наилучшая модель для предприятия, у которого не очень много пользователей, а разделяемые ресурсы должны быть распределены по группам. •Учетная информация может централизованно управляться. •Ресурсы логически группируются. •Домены отделов могут иметь своих администраторов, которые управляют ресурсами отдела. •Глобальные группы должны определяться только один раз (в главном домене). •Плохая производительность, если в главном домене слишком много пользователей и групп. •Локальные группы нужно образовывать в каждом домене, где они используются. Модель с несколькими главными доменами • Эта модель предназначена для больших предприятий, которые хотят поддерживать централизованное администрирование. Эта модель в наибольшей степени масштабируема. • В данной модели имеется небольшое число главных доменов. Главные домены используются как учетные домены, причем учетная информация каждого пользователя создается только в одном из главных доменов. • Сотрудники отдела Автоматизированных Информационных Систем (АИС) предприятия могут администрировать все главные домены, в то время как ресурсные домены могут администрировать сотрудники соответствующих отделов. • Каждый главный домен доверяет всем остальным главным доменам. Каждый домен отдела доверяет всем главным доменам, но доменам отделов нет необходимости доверять друг другу. Модель с несколькими главными доменами • Так как все ресурсные домены доверяют всем главным, то данные о любом пользователе могут использоваться в любом отделе предприятия. • Использование глобальных групп в этой модели несколько сложнее, чем в предыдущих. Если нужно образовать глобальную группу из пользователей, учетная информация о которых хранится в разных главных доменах, то фактически приходится образовывать несколько глобальных групп - по одной в каждом главном домене. В модели с одним главным доменом нужно образовать только одну глобальную группу. • Чтобы упростить решение этой проблемы, целесообразно распределять пользователей по главным доменам по организационному принципу, а не по какому-либо иному, например, по алфавитному. Преимущества Недостатки •Наилучшая модель для предприятия с •Как локальные, так и глобальные большим числом пользователей и группы должны определяться по центральным отделом АИС. несколько раз в каждом учетном домене. • •Хорошо масштабируется. •Необходимо управлять большим количеством доверительных отношений. •Ресурсы логически группируются. •В одном домене локализуются не все •Домены отделов могут иметь своих данные о пользователях. администраторов, которые управляют ресурсами отдела. Модель с полными доверительными отношениями • Эта модель обеспечивает распределенное администрирование пользователей и доменов. В этой модели каждый домен доверяет каждому. Каждый отдел может управлять своим доменом, определяя своих пользователей и глобальные группы пользователей, и они могут использоваться во всех доменах предприятия. Модель с полными доверительными отношениями • Из-за резкого увеличения числа доверительных отношений эта модель не подходит для больших предприятий. Для n доменов нужно установить n(n-1) доверительных отношений. • Перед созданием доверительных отношений с другим доменом администратор действительно должен быть уверен, что он доверяет администратору этого домена. Администратор доверяющего домена должен отдавать себе отчет в том, что после того, как он предоставляет права глобальным группам учетного (доверяющего) домена, администратор последнего может добавить в глобальную группу нежелательных или непроверенных пользователей. При администрировании главных доменов такая опасность также имеется. Но риск здесь ниже из-за того, что пользователей в главные домены добавляют сотрудники центрального отдела АИС, а не произвольно назначенный администратором сотрудник производственного отдела предприятия. Преимущества Недостатки •Наилучшим образом подходит для предприятий, на которых нет централизованного отдела АИС •Хорошо масштабируется в отношении количества пользователей. •Каждый отдел имеет полное управление над своими пользователями и ресурсами. •Как ресурсы, так и пользователи группируются по отделам. •Модель не подходит для предприятий с централизованным отделом АИС. •Нужно управлять очень большим количеством доверительных отношений. •Каждый отдел должен доверять администраторам других отделов том, что те не включат в состав своих глобальных групп нежелательных пользователей. Пример применения групп в однодоменной сети • Предположим, Парижский филиал компании «Разноимпорт» располагает однодоменной сетью, в состав которой входят главный и резервный контроллеры домена, а также сервер, не являющийся контроллером домена. На резервном контроллере домена хранится база данных «Счета», а на сервере — база данных «Товары». Всем пользователям сети необходим доступ к обеим базам данных. Пример применения групп в многодоменной сети • Предположим, Парижский филиал компании «Разноимпорт» расширил свою сеть, включив в нее домен Лондонского филиала. Оба отделения располагают своими базами данных «Товары», причем пользователям необходим доступ к обеим базам данных. Между доменами установлены соответствующие доверительные отношения. Резюме • Группы упрощают администрирование, так как права и привилегии присваиваются нескольким пользователям одновременно. • Локальные группы применяются для предоставления пользователям доступа к сетевым ресурсам на локальном компьютере. Обычно права доступа к ресурсу присваивают локальной группе, а затем в эту группу включают учетные записи пользователей и глобальных групп одного или нескольких доменов. • Локальная группа для доступа к ресурсу, находящемуся на сервере или рабочей станции, создается на этом компьютере. Для ресурсов, находящихся на одном из контроллеров домена, локальная группа создается на главном контроллере домена. • Глобальные группы организуют учетные записи пользователей домена по служебным обязанностям или географическому положению. Глобальная группа может содержать только учетные записи того домена, где она создана. • Глобальные группы всегда создаются на главном контроллере домена. Стратегия создания групп • Чтобы обеспечить контроль за пользователями и доступом к ресурсам, прежде всего организуйте пользователей в глобальные группы. Затем включите глобальные группы в состав локальных групп соответствующих ресурсов. Рекомендации при создании групп: 1. Изучите служебные обязанности пользователей домена и организуйте группы по сходным функциям или потребностям. Если торговому персоналу необходим доступ к цветному принтеру, а менеджерам — к сведениям о персонале, разделите пользователей на две группы: торговый персонал и менеджеры. 2. Для каждой группы пользователей со сходными потребностями создайте на соответствующем контроллере домена глобальную группу. Занесите учетные записи пользователей в соответствующие группы. 3. Создайте локальные группы в соответствии с потребностями пользователей в ресурсах. Если менеджерам необходим полный контроль за файлами папки «Сведения о сотрудниках», а торговому персоналу достаточно лишь читать эти файлы, создайте отдельные локальные группы для менеджеров и торгового персонала. – Если ресурс находится на сервере или рабочей станции, создайте локальную группу на этом компьютере. – Если ресурс находится на одном из контроллеров домена, создайте локальную группу на главном контроллере домена 4. Предоставьте локальной группе требуемые права доступа к ресурсу. 5. Включите глобальные группы в состав соответствующих локальных групп. Создание локальных и глобальных групп • Локальные группы предоставляют нескольким пользователям доступ к локальному ресурсу. Глобальные группы позволяют разделить пользователей доменов на структурные единицы по географическому или организационному признаку. Средства создания групп • В домене локальные и глобальные группы создаются с помощью утилиты User Manager for Domains (Диспетчер пользователей доменов). В рабочей группе можно формировать лишь локальные группы — средствами User Manager (Диспетчер пользователей), глобальные же группы в этой модели недоступны. • Ниже изображено окно утилиты User Manager for Domains (Диспетчер пользователей доменов). Все команды меню User (Пользователь) для управления учетными записями групп, за исключением команд New Global Group (Создать глобальную группу) и Select Domain (Выбрать домен), доступны и в утилите User Manager (Диспетчер пользователей). Требования для создания групп Для создании групп необходимы следующие условия. • Вы должны быть членом одной из встроенных групп Administrators (Администраторы) или Account Operators (Операторы учетных записей) компьютера, на котором создается группа. • Локальную группу можно создать на любом компьютере под управлением Windows NT. • Глобальную группу надо создавать на главном контроллере домена, однако сделать это можно с любого компьютера, на котором запускается User Manager for Domains (Диспетчер пользователей доменов): – с резервного контроллера домена; – с сервера, входящего в состав домена; • Названия глобальных групп должны быть уникальны в пределах домена, а названия локальных групп — в пределах компьютера. Названия групп не могут совпадать с названиями учетных записей пользователей. Создание глобальных групп • Прежде всего необходимо классифицировать пользователей доменов и сформировать структурные единицы, которые и послужат основой для глобальных групп. • Чтобы создать глобальную группу, присвойте ей имя и включите в нее пользователей. Создание локальных групп • Разработав организационную структуру и создав глобальные группы, можно приступить к формированию локальных групп. • Чтобы создать локальную группу, присвойте ей имя и включите в ее состав учетные записи пользователей и глобальных групп Вашего и доверенных доменов. Упражнения: 1. Планирование групп Предположим, пользователям Стамбульского и Квебекского доменов компании «Разноимпорт» необходим доступ к ресурсам обоих доменов. Вам — администратору сети компании — придется принять решение по следующим вопросам: •глобальные группы и членство в них для каждого из доменов; •локальные группы для каждого ресурса, включая местонахождение каждой группы; •включение глобальных групп в состав локальных для предоставления пользователям доступа к ресурсам. Запишите свои соображения в шаблон планирования групп. Название группы Локальная или глобальная Члены Местонахождение Занесите в шаблон планирования групп приведенные ниже сведения. •Имя группы — в графу «Название группы». •Тип группы — локальная или глобальная — в графу «Локальная или глобальная». •Учетные записи пользователей для каждой глобальной группы — в графу «Члены» (учетные записи пользователей Стамбульского и Квебекского доменов перечислены в приведенной ниже таблице; состав доменов одинаков). •Названия всех глобальных групп, которые будут включены в состав локальных групп, — в графу «Члены».. •Местонахождение сервера: главный контроллер домена, резервный контроллер или сервер — в графу «Местонахождение». Принимая решения, имейте в виду следующее: •всем сотрудникам необходим доступ к приложениям своего домена; •всем сотрудникам необходим доступ к принтеру Стамбульского отделения; •руководству и менеджерам обоих доменов необходим доступ к информации отдела кадров Квебекского домена; •руководству, менеджерам, торговым представителям и персоналу по обслуживанию клиентов необходим доступ к данным о клиентах, которые находятся в Квебекском домене; •сотрудникам бухгалтерий обоих доменов необходим доступ к данным о счетах бухгалтерии Квебекского домена; •менеджерам обоих доменов необходим доступ к данным о сотрудниках, которые хранятся в Стамбульском домене. Заполняя шаблон, руководствуйтесь изображенной схемой доменов и дополнительной информацией. Учетная запись Описание Vice President 3 Вице-президент Director3 Руководитель отдела кадров SalesMgr3 Торговый менеджер SalesRep3 Торговый представитель CustomerSe rvice3-A Представитель службы работы с клиентами (ночная смена) CustomerSe rvice3-B Представитель службы работы с клиентами (дневная смена) Accounting Mgr3 Главный бухгалтер Accountant 3 Бухгалтер Тетр З Временный сотрудник 2.Создание глобальной группы Средствами утилиты User Manager for Domains (Диспетчер пользователей доменов) создайте глобальные группы, запланированные в упражнении «Планирование групп». Зарегистрируйтесь в системе по учетной записи Administrator. •В меню Start (Пуск) последовательно выберите пункты Programs (Программы), Administrative Tools (Администрирование), а затем щелкните пункт User Manager for Domains (Диспетчер пользователей доменов). •В меню User (Пользователь) щелкните пункт New Global Group (Создать глобальную группу). • Появится диалоговое окно New Global Group (Новая глобальная группа). •В поле Group Name (Название группы) введите название одной из групп Квебекского домена копании «Разноимпорт». Имя глобальной группы: – – – может содержать любые символы в верхнем или нижнем регистре, за исключением " / \[] : ; ¦ = , + * ? < >; особенно полезно, если оно кратко описывает назначение группы; не должно быть длиннее 20 символов. •В поле Description (Описание) опишите созданную глобальную группу, например определите служебные обязанности ее членов. Это поможет пользователям понять назначение группы. • Не закрывайте окно New Global Group (Создать глобальную группу). ^ Добавление членов в группу • Добавьте в только что созданную глобальную группу учетные записи пользователей, созданные на прошлом занятии • В списке Not Members (He входят в группу) диалогового окна New Global Group (Новая глобальная группа) выберите одну или несколько учетных записей Вашего шаблона. Чтобы выбрать несколько записей, нажмите клавишу CTRL и, не отпуская ее, щелкайте по очереди нужные записи. 1. Щелкните кнопку Add (Добавить). Все выбранные записи появятся в списке Members (Входят в группу). 2. Добавьте в группу все остальные учетные записи пользователей, а затем щелкните кнопку ОК, чтобы создать глобальную группу, включающую всех выбранных Вами пользователей. Обратите внимание на список Groups (Группы): в нем появилось имя созданной Вами глобальной группы, а ее значок дополнен изображением земного шара. Завершение упражнения • Создайте оставшиеся группы Квебекского домена из шаблона планирования групп и включите в их состав соответствующие учетные записи пользователей. 3.Создание локальной группы •В меню User (Пользователь) щелкните пункт New Local Group (Создать локальную группу). Появится диалоговое окно New Local Group (Новая локальная группа). Примечание В реальной ситуации для создания локальной группы на компьютере, не выполняющем функции контроллера домена, сначала надо выбрать его командой Select Domain (Выбрать домен) меню User (Пользователь). В поле Domain (Домен) этого диалогового окна наберите имя компьютера (например, \\Компьютер1). •В поле Group Name (Название группы) введите уникальное информативное название одной из локальных групп шаблона планирования из предыдущего занятия или из примера приложения. Название локальной группы: – должно кратко описывать ее назначение; – может содержать любые символы в верхнем или нижнем регистре, кроме символа обратной косой черты (\); – не должно быть длиннее 256 символов (однако в большинстве окон отображается не более 22 первых символов названия). •В поле Description (Описание) введите описание созданной локальной группы, например определите ресурс, доступ к которому она обеспечивает. Добавление членов в локальную группу • • • • • • В окне New Local Group (Новая локальная группа) щелкните кнопку Add (Добавить). На экране появится диалоговое окно Add Users and Groups (Добавить пользователя или группу). Убедитесь, что в списке List Names From (Показывать имена из...) выбран Ваш домен. Если это не так, выберите свой домен в этом списке. В списке Names (Имена) выберите одну или несколько глобальных групп, запланированных Вами для Квебекского домена компании «Разноимпорт», и щелкните кнопку Add (Добавить). Щелкните кнопку Add (Добавить), а затем — кнопку ОК. Выбранные глобальные группы появятся в списке Members (Входят в группу) диалогового окна New Local Group (Новая локальная группа). Щелкните кнопку ОК, чтобы создать локальную группу. Щелкните кнопку ОК еще раз. Обратите внимание на список Groups (Группы): в нем появилась созданная Вами группа, причем на ее значке изображен компьютер — признак локальной группы. Завершение упражнения • Создайте все остальные локальные группы Квебекского домена, перечисленные в шаблоне планирования групп, и включите в их состав соответствующие учетные записи пользователей.
