Active Directory grupper

By , 21 april, 2009 13:07

AD har flere forskjellige gruppetyper (Domain local, Global, Universal) og i tilegg kan man velge om gruppen skal være distribusjonsgruppe eller sikkerhetsgruppe. Typisk benyttes distribusjonsgrupper for e-mail. Er man usikker på hva slags gruppe man oppretter må valget bli sikkerhetsgruppe, som er det vanligste gruppevalget.

-          Domain local groups (groupType = 4): Gruppene blir brukt til å styre tillatelser til ressurser som ligger i samme domene som gruppen. Kan konverteres til en Universial gruppe (Domain Local gruppen må inneholde en annen Domain Local gruppe for at man kan gjøre konvertering).  

o   Windows 2000 Mixed mode:

§  Kan inneholde: Bruker/PC/Server kontoer og kun globale grupper.

o   Native mode (W2000 eller WS2003)

§  Kan inneholde: Brukere/maskin- kontoer, andre Domain local groups fra samme domene og globale grupper

 

-          Global groups (groupType = 2): Typisk vil man bruke globale grupper nå man ønsker å gruppere brukere som for eksempel deler samme applikasjon. Globale grupper kan være medlem av andre globale grupper, domene lokale grupper og universal grupper. Kan konverters til Universal gruppe (Gruppen må inneholde en annen Global gruppe for å kunne konvertere).

o   Windows 2000 Mixed mode:

§  Kan inneholde: Bruker/maskin -kontoer. Kan gis tilgang til andre domener. Kan ikke ha andre grupper som medlemmer.

o   Native mode (W2000 eller WS2003)

§  Kan inneholde: Brukere/maskin –kontoer fra samme domene, andre globale grupper fra samme domene

 

-          Universal groups (groupType = 8):  disse gruppene brukes når man har trær eller skog som har Global Catalog (GC). Universal grupper kan neste globale grupper med det formål å tildele tillatelser til å tilknyttede ressurser i flere domener. I Windows 2003 kan ikke universale sikkerhetsgrupper  være medlem av en globale grupper, men kan være medlem av lokal gruppe.  Kan konverteres til enten Domain Local eller Global.

o   Windows 2000 Mixed mode:

§  Universal sikkerhetsgrupper finnes kun i domener som er native mode (nTMixedDomain = 0).

o   Native mode (W2000 eller WS2003)

§  Kan inneholde: Brukere/maskin –kontoer, globale grupper  og andre universal grupper

 

Ved nøsting av grupper lokalt og på tvers av domener er denne tabellen fin å bruke:

Group Type

Can Be Nested into Local

Can Be Nested into Domain Local

Can Be Nested into Global

Can Be Nested into Universal

Local

No

No

No

No

Domain Local

Yes

Yes, if in the same domain

No

No

Global

Yes

Yes

Yes, if in the same domain

Yes

Universal

Yes

Yes

No

Yes

 

-          For tildeling av ressurser i domenet må man også tenke på Built-in Groups. Dette er grupper som blir opprettet når man installerer Active Directory. Noen av de viktigeste Built-in gruppene i AD:

o   Account Operators: Medlemmer av denne gruppen vil ha rettigheter til å ”Allow logon locally” og med det å ”slå av” rettigheter lokalt på en server. Gruppens medlemmer har også mulighet til å opprette, endre eller slette brukere, grupper og maskiner i OU: Users og Computers.

o   Administrators: Medlemmer av Administrators har nesten alle brukerrettigheter, og har fulle rettigheter på alle servere og kan sette rettigheter på andre brukere.

o   Backup Operators: Denne gruppen har ingen medlemmer etter installasjon av AD. Alle medlemmer som blir lagt til denne gruppen får ”Allow logon locally, backu up files and directories, change the system time, Force shutdown fra remote, restore files and directoryes og slå av systemets rettigheter”.

o   Network Configuration Operators: Har rettigheten til å endre IP konfigurasjon på servere og klienter i domenet.

o   Incoming Forest Trust Builders: Har rettighet til å lage one way trust til root domenet

o   Print Operators: Meldemmene i Print Operators har rettigheter til å administrere printeressurser/objekter i AD. Har Allow logon locally.

o   Server Operators: Allow logon locally, og rettigheter til å ta backup av filer og mapper, endre systemtid, slå av maskiner remote, gjenopprette filer og mapper.

o   Remote Desktop Users: Kan logge seg på remote mot DC

o   Performance Log Users: Kan se på performance counters, log og feil på DC

o   Performance Monitor Users: Kan se på performance counter på DC

o   Users: Medlemmene av Users kan kjøre applikasjoner og bruke nettverksprintere.

Post to Twitter Post to Facebook Post to LinkedIn

Panorama Theme by Themocracy