Sunday, January 2, 2011

Làm việc với Group trong AD

Trong AD, một group được định nghĩa là một nhóm các user accounts, computer accounts,và các thành phần khác. Các thành phần này được gọi là các đối tượng(objects). Group được tạo ra để quản lý cùng lúc nhiều đối tượng, các đối tượng này cần được quản lý với cùng một chính sách quản trị nào đó.
1.Groups
Trong AD có 2 kiểu groups:


  1. Security group: Một security group là một tập hợp các users có cùng một quyền đến tài nguyên, và quyền thực thi các tác vụ. Mỗi user thuộc về một group sẽ có cùng quyền. Mỗi email đc gửi đến một security group thì mỗi user trong group sẽ nhận đc email đó.Khi một sec group đc tạo ra, nó sẽ nhận một SID. SID này sẽ thể hiện quyền của groups-SID có thể có trong DACL(discretionary access control list) của tài nguyên. Một token access sẽ được tạo ra khi 1 user đăng nhập vào hệ thống. Access token này chứa SID của user và group của user đó. Access token này được sử dụng khi user truy cập đến tài nguyên- access token sẽ được so sánh với DACL của tài nguyên để xác định quyền mà user đó sẽ nhận đối với tài nguyên đó.
  2. Distribution groups: đc tạo để chia sẻ thông tin với 1 groups qua email.Một dis group ko đc tạo ra với mục đích security. Dis group ko chứa một SID khi đc tạo. Cho phép cùng lúc gửi các thông điệp đến các user trong group. 
2.Group scope
được sử dụng để xác định xem group bị giới hạn trên 1 domain hay có thể mở rộng ra nhiều domain. Group scope được dùng để gán quyền cho các tài nguyên.Một scope của 1 group định nghĩa nơi nào trong mạng mà group đc sử dụng, tức là phạm vi quyền của group

Trong AD, có 3 kiểu groups scopes:
    -Global groups: chứa user account và computer account trong domain, đc sử dụng đẻ gán quyền cho các objects bên trong bất cứ domain nào của tree hay forest.
    -Universal group: cho phép truy cập đến tất cả các trusted domains. Chỉ đc sử dụng cho một security group. Có thể bao gồm các thành viên từ bất kỳ domain nào trong forest. Univ group giúp củng cố và quản lý các groups dàn trải trên nhiều domains và thực hiện chung các tác vụ của groups.
    -Domain local groups: bao gồm các groups và user/computer khác. đc định nghĩa và quản lý truy cập đến các tài nguyên bên trong một domain.Các thành viên trong domain local group có thể đc gán quyền chỉ trong một domain.
MS khuyến cáo sử dụng global groups hoặc universal groups thay vì domain local groups khi xác định quyền trong domain.

3.Lựa chọn kiểu scope khi tạo mới một group

    -Chọn Domain local nếu muốn sử dụng group để gán quyền cho các tài nguyên. Domain local groups luôn đc tạo ra trong nơi chứa tài nguyên
    -Chọn Global nếu muốn dùng group cho các users muốn truy cập network
    -Chọn Universal nếu muốn gán quyền đến các tài nguyên trong multiple domains. Tùy chọn này sẽ ko có hiệu lực nếu AD đc cấu hình hỗ trợ cho Windows 2000/2003 mixed-mode
Posted by at
Labels: , , , , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)