עבודה עם קבוצות ב- Active Directory
ב- Active Directory של Windows 2000 ו/או Windows Server 2003 יש מספר סוגי קבוצות. יש חשיבות לצורה שבה עובדים עם הקבוצות, בעיקר לכאלה שעוברים מסביבת NT 4.
מונחים:
Group - קבוצה שאוספת לתוכה אובייקטים ומזוהה ע"י SID.
Nesting - (קינון) שיטה שבה קבוצה נמצאת בתוך קבוצה אחרת.
Mixed Mode - מצב לפיו Active Directory עובד בתאימות לאחור עם שרתי NT4, והדומיין לפיכך מכיל (או עשוי להכיל) שרתי NT4.
Native Mode - מצב לפיו הרשת מבוססת רק על שרתי Win2000 ו- Active Directory. מצב זה מאפשר גמישות יתר ביצירת קבוצות וניהול משתמשים.
Trust - קשר לוגי בין דומיינים, כאשר קיים, מאפשר למשתמשים לגשת לאובייקטים בדומיינים אחרים אליהם יש Trust. קיימים מספר סוגים של קשרים כאלו. מכיוון ש- AD משתמש ב- trusts מסוג Two Way Transitive, כל דומיין ברחבי ה- Forest מקבל גישה לכל דומיין אחר באופן עקיף למרות שאין Trust ישיר ביניהם.
כללים:
משתמש שנמצא בקבוצה, חלות עליו כל הזכויות וההרשאות של הקבוצה.
משתמש יכול להיות שייך ליותר מקבוצה אחת, וסה"כ ההרשאות והזכויות של כל הקבוצות יחולו עליו.
קבוצה יכולה להיות בתוך קבוצה אחרת (Nesting).
חשבונות משתמש יכולים להיות גם חלק מקבוצה.
קבוצות Local:
אלו קבוצות מקומיות אשר נשמרות ב SAM המקומי של כל מחשב. קבוצות אלו נמצאות בתחנת עבודה, או במחשבים בעלי מערכות הפעלה מסוג W2K, XP או Windows Server 2003. קבוצות אלה לא קיימות על שרתים שהוגדרו כבקרי תחום - Domain Controllers - אלא אך ורק על שרתים שנותרו בתפקיד Member server. קבוצות אלו משמשות אותנו בעבודה עם workgroup, והדבר דורש מאיתנו ליצור אותן בכל מחשב שמשתתף ב- workgroup.
קיימות מספר קבוצות מובנות:
Built-in groups - אלו קבוצות שנוצרו בהתקנת המחשב ומשמשות לניהול פשוט יותר. ההבדל בין הקבוצות הוא בסוג וכמות ה Rights שלהן. למשל קבוצת Administrators, היא קבוצה שמכילה הרבה מאוד מה Rights, בו בזמן שקבוצת Users, מכילה מספר מועט של Rights.
Special Identities - אלו קבוצות מיוחדות, אשר המערכת משתמשת בהם לצרכיה. לא ניתן להוסיף משתמשים או לגרוע משתמשים מקבוצות אלו. דוגמה לקבוצה כזו היא קבוצת Everyone, אשר כוללת את כל המשתמשים כולל משתמשים מסוג Anonymous (הערה: ב- Windows Server 2003 בוצעו מספר שינויים בקבוצה זו). קבוצה אחרת היא Creator Owner, אשר אליה שייך כל משתמש שיצר קובץ או אובייקט כלשהו. גם קבוצת Interactive קיימת ובה נמצא כל מי שמבצע לוג-אין מקומי למחשב. קיימות עוד מספר קבוצות כאלו.
קבוצות מקומיות נשמרות כאמור ב- SAM ומשתמשות למתן הרשאות על אובייקטים במחשב בו הן נוצרו.
קבוצות מקומיות מכילות רק חשבונות משתמש מהמחשב שבו נוצרו.
קבוצה מקומית לא יכולה להיות חלק מקבוצה מקומית אחרת.
כשעובדים עם קבוצות מקומיות מומלץ לעבוד לפי השיטה הבאה:
Accounts->Local groups->Permissions
או בקיצור - A L P
(A) צור חשבונות משתמש ושים אותם בתוך
(L) קבוצה מקומית במחשב. תן
(P) הרשאות על האובייקט (מדפסת, תיקיה).
קבוצות ב- Domain:
בדומיין יש 2 נקודות שצריך להתייחס אליהן בטרם מתחילים לעבוד עם קבוצות. האחד - הסוג של הקבוצה, והשני - טווח ההשפעה שלה.
יש 2 סוגי קבוצות:
Distribution Groups - אלו קבוצות שנועדו למשלוח הודעות למשתמשים שבתוכם. לא ניתן להשתמש בקבוצות אלו למתן הרשאות. המשמעות היא שכאשר משתמש יפתח את Tab של ה- Security על מדפסת, קובץ או תיקייה, הוא כלל לא יראה את הקבוצות מסוג Distribution ומן הסתם לא יוכל לתת להן הרשאות. הסיבה היחידה לשימוש בקבוצות מסוג זה הוא על-מנת להפיץ לחבריהן דואר בצורה מרוכזת. במערכת בה אין שרת דואר אין כל סיבה הגיונית להשתמש בקבוצות מסוג זה.
Security Groups - קבוצות שמשמשות למתן הרשאות על אובייקטים. ההבדל היחיד בין קבוצת Security לבין קבוצת Distribution היא העובדה שלקבוצת Security יש SID, ואילו לקבוצת Distribution אין. בכל מקרה, גם לקבוצה מסוג זה ניתן להפיץ דואר בצורה מרוכזת.
כאמור, שני סוגי הקבוצות מתחלקים גם לטווחים או Scopes. ה- Scope הוא הטווח שבו יכולה לפעול הקבוצה, ומגדיר באיזה אזור של ה Forest ניתן לראות ולהשתמש בקבוצה.
חשוב לדעת: ישנה התנהגות מעט שונה בניהול הקבוצות כאשר הדומיין נמצא במצב Native וכאשר הוא נמצא במצב Mixed, כדי לראות את הפערים, יש לגשת למאמרים המצורפים בסוף ההסבר הנ"ל.
Global Group - או G - אוספת לתוכה חשבונות משתמש וקבוצות G מתוך אותו הדומיין שבו היא קיימת. באמצעותה ניתן לתת הרשאות על אובייקטים שנמצאים בכל דומיין אליו יש Trust. קבוצה זו יכולה להיות חלק מקבוצת G, DL, U בכל דומיין שאליו יש Trust.
מתי משתמשים בקבוצה כזו? בעיקרון, רב הקבוצות שאליהן אוספים חשבונות משתמשים הן קבוצות מסוג G. בקבוצה זו נאסוף חשבונות משתמש שאמורים לקבל הרשאות דומות. למשל, כל המשתמשים במשרד מסוים, שאמורים לגשת לתיקיה ברשת, או בדומיין אחר, יאספו לתוך G.
Domain Local Group - או DL - אוספת לתוכה חשבונות משתמש וקבוצות G מכל דומיין שאליו יש Trust. באמצעותה ניתן לתת הרשאות על אובייקטים שנמצאים רק בדומיין בו היא קיימת. קבוצה זו יכולה להיות חלק מקבוצת DL אחרת באותו דומיין. (תלוי במצב Native, Mixed).
מתי משתמשים בקבוצה זו? יוצרים קבוצת DL שתקבל הרשאה על מדפסת למשל. כל מי שירצה לקבל הרשאה על המדפסת יצורף לקבוצה זו, בין אם זוהי G שתצורף באופן ישיר, או חשבונות משתמשים בודדים מכל דומיין אחר. הרעיון הוא שפעם אחת ניגשים למדפסת כדי לצרף אליה את הקבוצה הלוקאלית ומאותו יום אין צורך כלל לגשת למדפסת עבור מתן הרשאות מכיוון שכל הניהול מתבצע דרך AD ע"י הוספת קבוצות או משתמשים לתוך קבוצת DL הנ"ל.
Universal Group - או U - אוספת לתוכה חשבונות משתמש וקבוצות G או U מכל דומיין שאליו יש Trust. באמצעותה ניתן לתת הרשאות על אובייקטים שנמצאים בכל דומיין אליו יש Trust. קבוצה זו יכולה להיות חלק מכל קבוצה אחרת בכל דומיין שאליו יש Trust.
שימו לב, קבוצות Universal מסוג Security קיימות אך ורק במצב Native.
מתי משתמשים בקבוצה זו? כאשר רוצים להתגבר על מגבלת קבוצות DL ו- G אשר תחומות לדומיין שלהן. באמצעות קבוצות U ניתן לאסוף משתמשים או קבוצות מכל דומיין ב- Forest ולתת הרשאה על כל אובייקט ב- Forest. מומלץ שלא לגרוע או להוסיף משתמשים או קבוצות לתוך קבוצות אלו לעיתים קרובות מכיוון שכל שינוי יגרום לשכפולים ברחבי ה- Forest בין כל ה- Domain Controllers שמשמשים כ Global catalog.
הערה לגבי דומיין מבוסס Windows Server 2003 - בניגוד לבעייתיות שהייתה קיימת בסביבת AD של W2K הרי שבסביבת Windows Server 2003 ניתן לעבוד עם קבוצות אוניברסאליות ביתר יעילות ע"י שימוש ב- Universal Group Caching. על כך במאמר אחר.
שיטת עבודה עם קבוצות בדומיין:
שיטה סטנדרטית לפיה יש לעבוד עם קבוצות כאלו היא A G DL P או :
Accounts->Global Groups->Domain Local->Permissions
הסבר קצר:
(A) צור חשבונות משתמש ושים אותם בתוך
(G) קבוצה גלובאלית. צרף את הקבוצה הגלובלית לקבוצה מסוג
(DL) דומיין לוקאל. תן להם
(P) הרשאות על האובייקט באמצעות אותה הקבוצה.
בסביבה בה יש יותר מדומיין אחד (וכולם בתצורת Native Mode ומעלה) ניתן לעבוד גם עם קבוצות מסוג Universal, או לפי הקיצור A G U DL P
Accounts->Global Groups->Universal->Domain Local->Permissions
הסבר קצר:
(A) צור חשבונות משתמש ושים אותם בתוך
(G) קבוצה גלובאלית בדומיין אחד. צרף את הקבוצה הגלובלית לקבוצה מסוג
(U) אוניברסאלית (לא משנה באיזה דומיין), שאותה תצרף לאחר מכן לתוך קבוצת
(DL) דומיין לוקאל. תן להם
(P) הרשאות על האובייקט באמצעות אותה הקבוצה.
אגב, את החלק הראשון - A G - ניתן לעשות בכל דומיין בנפרד, ואז לצרף את ה- G מכל דומיין אל U שמרכז אותן בדומיין הראשון. לאחר מכן ניתן את ה- U להכניס ל- DL בכל אחד מהדומיינים האחרים ביער.