Группы используются для сбора учетных записей пользователей, компьютеров и других групп в управляющие единицы. Работа с группами, а не с отдельными пользователями, упрощает обслуживание и администрирование сети.

Группы безопасности могут предоставить эффективный способ назначения доступа к ресурсам в сети. С помощью групп безопасности вы можете выполнять следующие действия:

• Назначение прав пользователей группам безопасности в Active Directory.Права пользователей назначаются группе безопасности, чтобы определить, какие члены этой группы могут выполнять действия в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке службы каталогов Active Directory, чтобы помочь администраторам определить роль администратора пользователя в домене.Например, пользователь, который добавляется в группу «Операторы архива» в службе каталогов Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Это может быть вызвано тем, что по умолчанию файлы и каталоги резервного копирования прав пользователей и Восстановление файлов и каталогов автоматически назначаются группе «Операторы архива». Таким образом, участники этой группы наследуют права пользователей, которые назначены этой группе.С помощью групповой политики можно назначать права пользователей группам безопасности для делегирования конкретных задач. Дополнительные сведения об использовании групповой политики можно найти в Интернете.
• Назначьте разрешения группам безопасности для ресурсов.Разрешения не отличаются от прав пользователей. Разрешения назначаются группе безопасности общего ресурса. Разрешения определяют, кто может получать доступ к ресурсу и уровень доступа, например «полный доступ». Некоторые разрешения, заданные для объектов домена, автоматически назначаются для разрешения различных уровней доступа для групп безопасности по умолчанию, например для групп «Операторы учета» или «Администраторы домена».Группы безопасности перечислены в списке DACL и определяют разрешения на доступ к ресурсам и объектам. При назначении разрешений для ресурсов (файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются для группы один раз, а не несколько раз для каждого отдельного пользователя. Каждая учетная запись, добавленная в группу, получает права, которые назначены этой группе в Active Directory, и пользователь получает разрешения, определенные для этой группы.

Типы групп безопасности и их назначение:

В существует два типа групп:

Группы рассылки

Группы рассылки можно использовать только с приложениями электронной почты (например, Exchange Server) для отправки электронной почты наборам пользователей. Для групп рассылки не включена безопасность, поэтому они не могут быть указаны в списках управления доступом на уровне пользователей (DACL).

Группы безопасности

Группы безопасности могут предоставить эффективный способ назначения доступа к ресурсам в сети. С помощью групп безопасности вы можете выполнять следующие действия:

• Назначение прав пользователей группам безопасности в Active Directory.Права пользователей назначаются группе безопасности, чтобы определить, какие члены этой группы могут выполнять действия в рамках домена или леса. Права пользователей автоматически назначаются некоторым группам безопасности при установке службы каталогов Active Directory, чтобы помочь администраторам определить роль администратора пользователя в домене.Например, пользователь, который добавляется в группу «Операторы архива» в службе каталогов Active Directory, может создавать резервные копии и восстанавливать файлы и каталоги, расположенные на каждом контроллере домена в домене. Это может быть вызвано тем, что по умолчанию файлы и каталоги резервного копирования прав пользователей и Восстановление файлов и каталогов автоматически назначаются группе «Операторы архива». Таким образом, участники этой группы наследуют права пользователей, которые назначены этой группе.С помощью групповой политики можно назначать права пользователей группам безопасности для делегирования конкретных задач. Дополнительные сведения об использовании групповой политики можно найти в разделе Назначение прав пользователей.
• Назначьте разрешения группам безопасности для ресурсов.Разрешения не отличаются от прав пользователей. Разрешения назначаются группе безопасности общего ресурса. Разрешения определяют, кто может получать доступ к ресурсу и уровень доступа, например «полный доступ». Некоторые разрешения, заданные для объектов домена, автоматически назначаются для разрешения различных уровней доступа для групп безопасности по умолчанию, например для групп «Операторы учета» или «Администраторы домена».Группы безопасности перечислены в списке DACL и определяют разрешения на доступ к ресурсам и объектам. При назначении разрешений для ресурсов (файловых ресурсов, принтеров и т. д.) администраторы должны назначать эти разрешения группе безопасности, а не отдельным пользователям. Разрешения назначаются для группы один раз, а не несколько раз для каждого отдельного пользователя. Каждая учетная запись, добавленная в группу, получает права, которые назначены этой группе в Active Directory, и пользователь получает разрешения, определенные для этой группы.

Как и в случае с группами рассылки, группы безопасности можно использовать как объект электронной почты. При отправке сообщения электронной почты группе отправляется сообщение всем участникам группы.

Для каждого типа группы существует три области действия:

• Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.

• Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.

• Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.