Red Line Software - мы помогаем вам управлять эффективностью работы вашего офиса.

В предыдущей статье этой серии я ознакомил вас с концепцией использования групп для управления контролем доступа в сети вместо открытия разрешений пользователям напрямую. Затем я пояснил, что Windows Server 2003 поддерживает несколько различных типов групп, и каждая из этих групп имеет свои сильные стороны и ограничения.

В той статье я много говорил о локальных группах (local groups), локальных группах доменов (domain local groups) и глобальных группах (global groups). Вы могли бы с легкостью управлять всей своей сетью, используя лишь эти типы групп. Но, даже, несмотря на это, есть еще один тип групп, который поддерживает Windows Server 2003; универсальные группы (universal groups).

Для тех из вас, кому кажется, что локальные группы, локальные группы доменов и глобальные группы слишком запутанны или имеют слишком много ограничений, универсальные группы сразу покажутся ответом на ваши молитвы. Универсальные группы, по сути своей, являются группами, которые не подвержены ограничениям, свойственным другим типам групп. Например, в предыдущей статье я упомянул о том, что вы не сможете поместить локальную группу (домена) в другую локальную группу. А универсальную группу, напротив, можно поместить в локальную группу. Правила, применимые к другим типам групп, просто неприменимы к универсальным группам.

Естественно, возникает вопрос, зачем вообще использовать любой другой тип групп, если его ограничения могут быть с легкостью преодолены универсальными группами.

Одной из причин такого количества различных типов групп является тот факт, что Windows Server представляет собой постоянно развивающийся продукт. Универсальные группы были представлены в Windows 2000 Server, наряду с активной директорией (Active Directory). Предыдущие версии Windows Server (Windows NT Server, если говорить точнее) поддерживали использование групп, но универсальные группы еще не были изобретены на тот момент. Кода Microsoft выпустила Windows 2000 Server, они предпочли оставить поддержку других типов групп, как способ обратной совместимости с Windows NT. Подобно этому Windows Server 2003 тоже поддерживает наследственные типы групп из соображений обратной совместимости.

Тот факт, что универсальные группы не существовали во времена Windows NT Server, означает, что Windows NT не поддерживает универсальные группы. Это может стать небольшой проблемой, если вдруг в вашем окружении есть серверы Windows NT.

Windows 2000 Server стал таким серьезным изменением после Windows NT Server, что несколько новых функций не могли работать в сети с контроллерами доменов Windows NT Server. Чтобы решить эту проблему, Microsoft создали концепцию собственного режима (native mode). Я расскажу о ней более подробно в части 17, но суть ее заключается в том, что когда Windows 2000 Server устанавливается, он работает в так называемом смешанном режиме (mixed mode). Смешанный режим абсолютно совместим с Windows NT, однако многие функции Windows 2000 невозможно использовать до тех пор, пока вы полностью не избавитесь от контроллеров домена Windows NT и не перейдете на собственный режим. Хотя терминология немного отличается, те же базовые концепты применимы и к Windows Server 2003.

Универсальные группы – это одна из тех характеристик, которые будут доступны только в том случае, если ваш контроллер домена работает на Windows 2000 Server в собственном режиме или на более поздней ОС. Это одна из причин, по которым вы не можете использовать универсальные группы во всех ситуациях.

Даже если все ваши серверы работают на Windows Server 2003, а ваша сеть полностью автономна, в большинстве случаев все же будет неверным использование исключительно универсальных групп.

Ранее в этой серии статей я рассказывал вам о концепте серверов глобального каталога (global catalog servers). Как вы, возможно, помните серверы глобальных каталогов представляют собой контроллеры доменов, которым было назначено задание в виде слежения за каждым объектом в области. Обычно каждый сайт активной директории содержит свою копию глобального каталога, что означает, что всякий раз, когда глобальный каталог обновляется, информация обновления должна дублироваться и в каталогах других серверов.

Когда вы создаете универсальную группу, название группы и список ее членов записывается в глобальный каталог. Это означает, что с каждым созданием все новых и новых универсальных групп каталог содержит все больше записей. По мере того как глобальный каталог становится все больше, количество времени, требуемое для его копирования с одного сервера на другой, тоже увеличивается. Если этому не уделять внимания, то в производительности сети могут возникнуть проблемы.

На тот случай, если вам интересно; другие типы групп не загружают такие объемы информации в глобальный каталог. Например, глобальные группы записываются в каталог, а список их членов нет. Поэтому основным правилом Microsoft является создание универсальных групп, но их умеренное создание.

Вложение групп (Group Nesting)

Последний вопрос, касающийся групп, который я бы хотел затронуть в этой статье, это вложение групп (nesting). Самый простой способ объяснения этого вопроса – это сравнение размещения групп с русской матрешкой, как показано на рисунке A. Эти куклы созданы так, что их можно вложить одну в другую. Эта идея размещения одного объекта внутри другого подобного объекта называется вложением.

Рисунок A: Русская матрешка иллюстрирует принцип вложения

Существует множество причин для вложения групп. Одной, наиболее общей причиной является соотнесение ресурсов с отделами. Например, компания может начинать с создания группы для каждого отдела. Они могут создавать Финансовую группу, Маркетинговую группу, ИТ группу и т.д. Затем они размещают пользователей в те группы, в отделах которых они работают.

Следующим шагом будет создание групп, соответствующих различным ресурсам, которые им требуются для работы и к которым им нужно открыть доступ. Например, если вы знаете, что в финансовой группе всем потребуется доступ к бухгалтерским приложениям, вы создаете группу, у которой открыт доступ к этим приложениям, а финансовую группу вкладываете в нее. Вам совсем не обязательно делать это постоянно, но иногда такая структура помогает добиться большей организованности, а также экономить немного в рабочем процессе. В предыдущем примере, вам не нужно было вручную располагать учетные данные каждого пользователя в группу с доступом к бухгалтерским приложениям. Вместо этого вы повторно использовали уже существующую группу.

Помните, что не каждую группу можно вложить в любой другой тип групп. Таблица ниже показывает, какие типы групп можно вкладывать в другие типы.

Предупреждение

Если Windows работает в смешанном режиме Windows 2000, применимы следующие ограничения:

• Универсальные группы невозможно создавать
• Локальных группы доменов могут содержать только глобальные группы
• Глобальные группы не могут содержать никаких других типов

Заключение

В этой статье я объяснил, что иногда выгодно вкладывать одну группу в другую. Затем я рассказал о том, в каких ситуациях это возможно сделать.

В следующей части этой серии статей я собираюсь сделать отступление и рассказать о роли, которую играет ОС Windows в создании сетей и работе с ними.

Автор: Брайн Позей (Brien Posey)

Брайн Позей (Brien Posey) является премированным автором, который написал более 3000 статей. Он является автором или соавтором 27 книг. Вы можете посетить персональный Web-сайт Брайна по адресу www.brienposey.com.