Автор: Владислав Спектор
Как и каталоги в файловой системе, OU нужны для организации множества объектов в иерархию, что дает возможность ими управлять. На самом деле нам ведь нужны конечные объекты, так же как нужны файлы в файловой системе. Все остальное просто помогает нам справляться с большим их количеством, распределять их, классифицировать, а также управлять, причем желательно сразу массами объектов.
OU, например, помогают отделить компьютеры от пользователей, от принтеров и от Групп. Т.е. OU используются для группировки объектов, а также для задания прав и политик по отдельным OU. Также можно делегировать права администрирования по специфическим OU. Group Policy, например, чаще всего назначаются по OU.
Группы же используются для предоставления доступа к ресурсам, к тем же OU или файлам и папкам.
Важно не путать OU и группы, хотя и те и другие могут объединять пользователей, компьютеры и другие сетевые сущности.
OU – это концентрация определенных типов ресурсов – пользователей и компьютеров, а в реальной жизни – людей и средств производства. OU нельзя давать права на другие объекты, но ими самими можно владеть. Аналогия OU с прользователями в реальной жизни - Города с их жителями. При помощи OU можно делегировать управление набором принтеров, т.к. нельзя создать группу принтеров, но можно – OU принтеров.
Если определенным администраторам нужно дать управление набором серверов, то можно создать Группу админов, OU из этих серверов, и, затем, делегировать группе админов управление этим OU.
Групповые Политики также применяются к OU, но не к группам. Исключение – политики учетных записей (account policy), т.е. настройка паролей и блокировка аккаунтов. Политики учетных записей применяются только на уровне всего домена, когда уже безразлично, идет ли речь о Группах или OU (хотя в Windows 2008 это уже не абсолютная истина).
Groups – это хозяева, им даются права на Домены, OU, а также на диски, папки и файлы.
Можно сказать, что Группы – это колониальные страны (типа Англии), а OU или Домены – это их колонии.
Теперь только о группах.
Сначала о традиционно ориентированных, существовавших в эпоху Windows NT.
Local Groups - привязаны к местным ресурсам своего Домена (как женщины к дому).
Global Groups – включают пользователей из своего Домена, а к ресурсам (папке, принтеру), как правило, непосредственно не привязываются (что чаще характерно для мужского населения, обычно менее привязанного к дому).
Local Groups – могут включать в себя Users или Global Groups из своего или из других Доменов, наподобие того, как женщины могут включать в свой круг мужчин из своей или других стран и предоставлять им какие-либо ресурсы.
Global Groups – могут входить в Local Groups своего или других Доменов, наподобие того как мужчины входят в круг женщин своей или других стран и пользуются определенными типами их ресурсов.
Т.е., Локальные Группы как бы притягивают к себе Глобальные Группы, в том числе и из других Доменов, хотя сами за пределы своих Доменов не выходят. А Глобальные Группы, наоборот, стремятся выйты за рамки своих Доменов и воспользоваться их ресурсами (хотя и своими не пренебрегают).
Существует принцип AGDLP: Account-Global Group-Domain Local Group-Permissions. Это значит, что рекомендуется аккаунты пользователей включать в Глобальные Группы, их в свою очередь в Локальные Группы, а последние, присоединять непосредственно к ресурсам. Такое построение обеспечивает, в итоге, наиболее простое управление ресурсами и задание на них прав, кроме того, легко обнаружить, кому какие права даны в соответствии с принадлежностью к группе. Нередко, правда, бывает, что права на ресурсы даются случайно и необдуманно, сразу пользователям, без включения их в какие-либо группы, что порождает хаос, который затем очень трудно исправить. Попробуйте просканировать все папки и файлы на предмет обнаружения того, какой пользователь к ним привязан и с какими правами. Фактически – это невозможно. Лучше все делать заранее. Однако, правильный подход требует предварительного продумывания и первоначальной затраты усилий. Все же это лучше, чем потом заниматься тушением пожаров.
С 2000 года (и Windows 2000) началось повальное разложение, появились группы нетрадиционной ориентации. Global Groups теперь могут включать в себя Global Groups, а Local Groups могут включать в себя Local Groups. Конкретные аналогии можете придумать сами.
Кроме того, появились совершенно новые образования – Universal Groups. Их часто называют Универсальными Группами, но точно также их можно назвать Вселенскими Группами, т.к. Universe – это Вселенная. Они - своего рода космополиты-международники. Здесь разложение достигло апогея – эти могут включать в себя кого угодно и откуда угодно, а сами входят куда угодно и в кого угодно. Исключения - Universal Groups не могут входить в Global Groups и не могут включать в себя Local Groups.
Но и теперь, как и раньше, Global Groups выходят за пределы Домена, а Local Groups могут включать в себя группы из других доменов. Local Groups привязаны к ресурсу (женщины к дому), а Global Groups, как и армии, состоящие из мужчин, выходят на захват чужих ресурсов и территорий (других Доменов с их пользователями, компьютерами и принтерами).
В 2000 году появились также Локальные Группы Домена. Вероятно их удобно использовать в случае изменения конкретного локального ресурса. Если расшаренная папочка переместилась на другой сервер, например, то не нужно создавать другую локальную группу и перемещать туда все группы и пользователей. Достаточно привязать Локальную Группу Домена к новому ресурсу.
Принцип AGDLP претерпел изменения и теперь существует принцип AGUDLP: Account-Global Group-Universal Group-Domain Local Group-Permissions. Не всегда обязательно применять его в полной мере, все зависит от конкретных обстоятельств. Но всегда нужно стараться включать пользователей в группы.
А теперь по порядку.
Типы Групп AD.
1. Локальные Группы Машины – находятся в SAM (Security Account Manager), могут включать Глобальные Группы, Локальные Группы своего Домена, Универсальные Группы.
2. Локальные Группы Домена – создаются только на DC. Являются подмножеством возможностей Глобальных Групп. Они могут содержать Глобальные Группы из любого другого домена, но их можно включать только в Локальные Группы своего Домена. Они могут также содержать другие Локальные Группы своего Домена.
3. Глобальные Группы Домена – могут помещаться в другие Глобальные Группы своего Домена.
Они выходят за пределы своего домена в поисках ресурсов. Их направление - вовне. Глобальные Группы включают в себя пользователей и Глобальные Группы своего домена и предназначены для включения в локальные ресурсные группы как своего, так и других доменов.
4. Универсальные Группы – сочетают достоинства как локальных групп (могут содержать другие группы), так и глобальных групп (могут помещзться в другие группы). Они, как ферзь, сочетают достоинства ладьи и туры. Универсальные Группы сильно влияют на размер и скорость GC – и в этом их недостаток. GC знает не только названия Универсальных Групп, но и всех их членов.
Размер групп ограничен 5.000 членов, если функциональный уровень домена ниже чем Windows 2003. В Windows 2003 эта проблема решена. Она связано с ограничением количества изменений в одной транзакции при репликации (5.000) и с тем, что при единственном изменении членства в группе, передается весь список. Хотя ограничение количества изменений в одной транзакции и не снято, однако теперь возможна инкрементальная передача изменений в членстве.
Domain Users группой не являются, несмотря на сходство, и размер этой “не группы” ничем не ограничен.
Итак, обобщим.
То, что управляется – кидаем в OU. Тех, кто управляют – забрасываем в Группу. Затем Группе назначаем полномочия на OU.
И еще. Отдельный User может находиться только в одном OU, но в то же время принадлежать нескольким Группам. Мы можем жить только в одном Городе, но быть членами нескольких сообществ (комсомол, шахматный кружок и хор девочек-пенсионерок) одновременно. Т.е. OU – это место жительства пользователя, а Группа – его свойство или атрибут и таких атрибутов может быть несколько.