Active Directory grupper
Comments (0) AD har flere forskjellige gruppetyper (Domain local, Global, Universal) og i tilegg kan man velge om gruppen skal være distribusjonsgruppe eller sikkerhetsgruppe. Typisk benyttes distribusjonsgrupper for e-mail. Er man usikker på hva slags gruppe man oppretter må valget bli sikkerhetsgruppe, som er det vanligste gruppevalget.
- Domain local groups (groupType = 4): Gruppene blir brukt til å styre tillatelser til ressurser som ligger i samme domene som gruppen. Kan konverteres til en Universial gruppe (Domain Local gruppen må inneholde en annen Domain Local gruppe for at man kan gjøre konvertering).
o Windows 2000 Mixed mode:
§ Kan inneholde: Bruker/PC/Server kontoer og kun globale grupper.
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin- kontoer, andre Domain local groups fra samme domene og globale grupper
- Global groups (groupType = 2): Typisk vil man bruke globale grupper nå man ønsker å gruppere brukere som for eksempel deler samme applikasjon. Globale grupper kan være medlem av andre globale grupper, domene lokale grupper og universal grupper. Kan konverters til Universal gruppe (Gruppen må inneholde en annen Global gruppe for å kunne konvertere).
o Windows 2000 Mixed mode:
§ Kan inneholde: Bruker/maskin -kontoer. Kan gis tilgang til andre domener. Kan ikke ha andre grupper som medlemmer.
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin –kontoer fra samme domene, andre globale grupper fra samme domene
- Universal groups (groupType = 8): disse gruppene brukes når man har trær eller skog som har Global Catalog (GC). Universal grupper kan neste globale grupper med det formål å tildele tillatelser til å tilknyttede ressurser i flere domener. I Windows 2003 kan ikke universale sikkerhetsgrupper være medlem av en globale grupper, men kan være medlem av lokal gruppe. Kan konverteres til enten Domain Local eller Global.
o Windows 2000 Mixed mode:
§ Universal sikkerhetsgrupper finnes kun i domener som er native mode (nTMixedDomain = 0).
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin –kontoer, globale grupper og andre universal grupper
Ved nøsting av grupper lokalt og på tvers av domener er denne tabellen fin å bruke:
|
Group Type |
Can Be Nested into Local |
Can Be Nested into Domain Local |
Can Be Nested into Global |
Can Be Nested into Universal |
|
Local |
No |
No |
No |
No |
|
Domain Local |
Yes |
Yes, if in the same domain |
No |
No |
|
Global |
Yes |
Yes |
Yes, if in the same domain |
Yes |
|
Universal |
Yes |
Yes |
No |
Yes |
- For tildeling av ressurser i domenet må man også tenke på Built-in Groups. Dette er grupper som blir opprettet når man installerer Active Directory. Noen av de viktigeste Built-in gruppene i AD:
o Account Operators: Medlemmer av denne gruppen vil ha rettigheter til å ”Allow logon locally” og med det å ”slå av” rettigheter lokalt på en server. Gruppens medlemmer har også mulighet til å opprette, endre eller slette brukere, grupper og maskiner i OU: Users og Computers.
o Administrators: Medlemmer av Administrators har nesten alle brukerrettigheter, og har fulle rettigheter på alle servere og kan sette rettigheter på andre brukere.
o Backup Operators: Denne gruppen har ingen medlemmer etter installasjon av AD. Alle medlemmer som blir lagt til denne gruppen får ”Allow logon locally, backu up files and directories, change the system time, Force shutdown fra remote, restore files and directoryes og slå av systemets rettigheter”.
o Network Configuration Operators: Har rettigheten til å endre IP konfigurasjon på servere og klienter i domenet.
o Incoming Forest Trust Builders: Har rettighet til å lage one way trust til root domenet
o Print Operators: Meldemmene i Print Operators har rettigheter til å administrere printeressurser/objekter i AD. Har Allow logon locally.
o Server Operators: Allow logon locally, og rettigheter til å ta backup av filer og mapper, endre systemtid, slå av maskiner remote, gjenopprette filer og mapper.
o Remote Desktop Users: Kan logge seg på remote mot DC
o Performance Log Users: Kan se på performance counters, log og feil på DC
o Performance Monitor Users: Kan se på performance counter på DC
o Users: Medlemmene av Users kan kjøre applikasjoner og bruke nettverksprintere.
Themocracy