MCITP 70-640: Группы Active Directory скачать в хорошем качестве

MCITP 70-640: Группы Active Directory

Windows позволяет создавать группы, что упрощает назначение разрешений пользователям. В этом видео рассматривается использование групп в Windows, а также основы использования управления доступом на основе ролей — одной из стратегий, упрощающих администрирование групп в домене. Группы Каждой создаваемой группе присваивается идентификатор безопасности (SID). Этот SID добавляется в локальный список доступа для ресурса, доступ к которому контролируется. Можно создать группу без SID, используемого для списков рассылки. Эти группы рассматриваются в следующем видео. Вложенность Помещение одной группы в другую называется вложенностью. Вложенность также позволяет разместить две или более групп в одной группе. По сути, это означает, что администрирование может быть разделено между двумя или более администраторами. Такое разделение администрирования часто называют гранулярным контролем, поскольку каждый администратор имеет административный контроль над небольшой частью всех функций этой группы, содержащей другие группы. Используя вложенность, можно создавать группы для пользователей в Нью-Йорке, Вашингтоне и Лондоне. Используя вложенность, можно создать группу All_Users, в которую можно добавить группы для каждого местоположения. Вложенность также может быть более глубокой. Например, можно разделить пользователей из Нью-Йорка на две группы: NY_Sales и NY_Marketing. Эти две группы можно поместить в группу NY_Users, а эту — в группу All_Users. Если вы хотите создать группу для пользователей All_Sales, можно поместить в неё все группы продаж из каждого местоположения. Обратите внимание, что при таком вложении нового пользователя достаточно добавить только в одну группу. После того, как он попадает в эту группу, членство в других группах, таких как All_Users и All_Sales, также достигается посредством вложенности, что упрощает администрирование. Управление доступом на основе ролей Управление доступом на основе ролей — это стратегия управления группами, обычно используемая на крупных предприятиях. Этот подход обычно используется в компаниях с численностью сотрудников более 500 человек. Этот подход предполагает отсутствие необходимости добавлять пользователя или пользователей непосредственно к ресурсу. Для предоставления доступа создаётся другая группа и назначаются разрешения на доступ к ресурсу. Например, если у вас есть общий ресурс с именем «general», вы создадите две группы: general_share_modify и general_share_read. Они будут назначены общему ресурсу и получат необходимые права доступа. Чтобы предоставить пользователям доступ к ресурсу, группы, содержащие пользователей, добавляются в группы на основе ролей в организации. Например, если всем пользователям отдела продаж требуется право на изменение, группа продаж будет добавлена ​​в группу general_share_modify. Если группе маркетинга требуется право на чтение, группа маркетинга, содержащая всех пользователей отдела маркетинга, будет добавлена ​​в группу general_share_read. Если пользователь переходит в другой отдел, например, из отдела продаж в отдел маркетинга, его учетная запись будет просто удалена из группы продаж и добавлена ​​в группу маркетинга. При назначении или удалении ролей пользователю изменять ресурс не требуется. Наши всегда бесплатные обучающие видео можно найти на сайтах    / itfreetraining   или http://itfreetraining.com. Это лишь одно из множества бесплатных видео, доступных на YouTube. Ссылки «MCTS 70-640 Настройка Active Directory в Windows Server 2008» Microsoft Press, стр. 141–144 «Пользователи, компьютеры и группы Active Directory» http://technet.microsoft.com/en-us/li... «Управление доступом на основе ролей» http://en.wikipedia.org/wiki/Role-bas...