[ Pobierz całość w formacie PDF ]
.Nazwa grupy lokalnej mo¿e sk³adaæ siê z najwy¿ej 256 znaków, w tym wielkich ima³ych liter, z wyj¹tkiem ukoœnika \ (backslash).Trzeba ustaliæ, gdzie grupa powinna mieœciæ siê w hierarchii Active Directory.Umieszczenie grupy we w³aœciwym po³o¿eniu zmniejsza potrzeby delegowaniaadministracji oraz polepsza ogólny wygl¹d œrodowiska.Przydzieliæ prawa do Grup zabezpieczeñ przed utworzeniem kont u¿ytkowników czykomputerów.Nakreœlone przez Microsoft najlepsze wskazówki dotycz¹ce tworzeniai korzystania z grup zabezpieczeñ s¹ nastêpuj¹ce:W obrêbie domeny — grupa zabezpieczeñ domeny powinna nale¿eæ do lokalnej grupyzabezpieczeñ; prawa i uprawnienia nale¿y przydzielaæ do lokalnej grupyzabezpieczeñ.W domenie i pomiêdzy domenami — grupa globalna lub uniwersalna zabezpieczeñdomeny powinna nale¿eæ do lokalnej grupy zabezpieczeñ; prawa i uprawnienianale¿y przydzielaæ do lokalnej grupy zabezpieczeñ lub uniwersalnej grupyzabezpieczeñ.UwagaPodczas gdy najwa¿niejsze wskazówki Microsoftu wymagaj¹ przyznawania praw iuprawnieñ do grup lokalnych, oraz stosowania grup globalnych i uniwersalnych dododawania u¿ytkowników do grup lokalnych, warto zanotowaæ, i¿ mo¿na w istocieprzydzielaæ grupy globalne i uniwersalne bezpoœrednio do zasobów.Radzi³bymwybieraæ rozwi¹zanie sprawiaj¹ce wra¿enie najprostszego i naj³atwiejszego dozarz¹dzania, zamiast kierowaæ siê wskazówkami Microsoftu.Jeœli domena zawiera hierarchiê OU, zagnie¿d¿anie grup zawieraj¹cych kontau¿ytkowników mo¿e byæ przydatne.Zagnie¿d¿anie pozwala na dodawanie jednejgrupy do drugiej; o grupach zagnie¿d¿onych mo¿na pomyœleæ jak o wêz³achhierarchii; w których ka¿da indywidualna grupa bêdzie liœciem.Rutynow¹ obs³ugêmo¿na wtedy przeprowadzaæ dla poszczególnych grup-liœci.Oszacowaæ, czy potrzebne bêd¹ zmiany praw u¿ytkowników dla grup nowych lubwbudowanych.Oddelegowaæ administracjê grup do odpowiedniego mened¿era lub kierownika grupy.Przydzieliæ odpowiednich u¿ytkowników do grup, wbudowanych i nowo utworzonych,na potrzeby dostêpu w obrêbie ca³ej domeny.Microsoft nakreœli³ poni¿szenajlepsze wskazówki dla grup zabezpieczeñ i dystrybucyjnych:Grupy zabezpieczeñ — nale¿y przydzielaæ konta u¿ytkowników domeny odpowiedniodo grupy globalnej domeny (dotyczy jedynie u¿ytkowników w tej samej domenie cogrupa globalna) lub uniwersalnej grupy zabezpieczeñ.Grupy dystrybucyjne — ogólna strategia tworzenia grup dystrybucyjnych mo¿e byæjedn¹ z poni¿szych:Przydzielaæ konta u¿ytkowników domeny do globalnej grupy dystrybucyjnej domeny(dotyczy jedynie u¿ytkowników w tej samej domenie co grupa globalna) lubuniwersalnej grupy dystrybucyjnej, lub:Przydzielaæ konta u¿ytkowników domeny do globalnych grup zabezpieczeñ domeny(tylko w obrêbie domeny) lub uniwersalnych grup zabezpieczeñ.Wydajnoœæ: Dlaczego nale¿y u¿ywaæ grup dystrybucyjnych zamiast grupzabezpieczeñGdy u¿ytkownik loguje siê w sieci, Windows 2000 Server ustala, których grupu¿ytkownik jest cz³onkiem, a nastêpnie tworzy ¿eton dostêpu przydzielanyu¿ytkownikowi.¯eton zabezpieczeñ zawiera ID konta u¿ytkownika oraz IDwszystkich grup zabezpieczeñ, do których u¿ytkownik nale¿y.¯eton ten jest wysy³any do komputera, do którego u¿ytkownik korzysta z dostêpu,tak ¿e komputer docelowy mo¿e okreœliæ, czy u¿ytkownik ma w nim jakiekolwiekprawa i uprawnienia, porównuj¹c wszystkie ID zawarte w ¿etonie z uprawnieniamiwymienionymi dla wszelkich zasobów w komputerze.W ten sposób u¿ytkownikuzyskuje dostêp do zasobów, jeœli uprawnienia do nich zosta³y przyznane grupiezabezpieczeñ, do której u¿ytkownik nale¿y.Gdy u¿ytkownik jest cz³onkiem jakichkolwiek grup dystrybucyjnych, s¹ oneignorowane przy tworzeniu ¿etonu przez Windows 2000.Wobec tego, korzystanie zgrup dystrybucyjnych zamiast grup zabezpieczeñ, jeœli nie s¹ przyznawane za ichpomoc¹ ¿adne uprawnienia, poprawia wydajnoœæ procesu logowania i zmniejszaobjêtoœæ ¿etonu — co równie¿ poprawia wydajnoœæ, poniewa¿ ¿eton jest wysy³anydo komputerów, do których u¿ytkownik ma dostêp.Strategie te dotycz¹ wszystkich typów struktur domen — pojedynczych, wieludomen nale¿¹cych do drzewa, oraz wielu drzew domen w lesie.Planuj¹c struktury grup nale¿y pamiêtaæ o powa¿nej ujemnej stronieimplementacji grup wybranej przez Microsoft: atrybut przynale¿noœci do grupyzosta³ zaimplementowany jako wielowartoœciowy atrybut Active Directory, zamiastzapisywania ka¿dej przynale¿noœci do grupy w odrêbnym atrybucie.Wybór takiego projektu spowodowa³, i¿ przynale¿noœæ do grup jest wyj¹tkiem odregu³y replikacji w Active Directory jedynie zmian dokonanych na poziomieposzczególnych atrybutów (w przeciwieñstwie do ca³ego obiekt, jak w przypadkuSAM).Jest to w istocie nader nieprzyjemny wybór, poniewa¿ oznacza, i¿ ka¿dazmiana w przynale¿noœci do grupy jest zale¿na od replikacji ca³ego zbiorucz³onków grupy, przez co pojedyncza zmiana (dodanie lub usuniêcie cz³onkagrupy) stanowi operacjê — pomyœln¹ lub nie — na ca³ej grupie.Wykorzystanie atrybutu wielowartoœciowego ma dwa bardzo niekorzystne skutkiuboczne dla projektu grup:Trzeba oszacowaæ, ile osób bêdzie zarz¹dzaæ ka¿d¹ z zamierzonych grup i sk¹d.Powód jest prosty: nale¿y unikaæ jednoczesnej modyfikacji tej samej grupy przezkilka osób (to znaczy, przed zakoñczeniem replikacji Active Directory do DC, wktórych grupa jest modyfikowana), poniewa¿ jedynie ostatni zapis zostaniewziêty pod uwagê (sposoby traktowania kolizji replikacji omówione s¹szczegó³owo w rozdziale 12.).Trzeba oszacowaæ, ilu cz³onków bêdzie zawieraæ docelowo ka¿da grupa.Poniewa¿przy ka¿dej zmianie replikowani s¹ wszyscy cz³onkowie grupy, w przypadkunadmiernego wzrostu rozmiarów grupy czeka nas intensywne obci¹¿enie sieci przezreplikacje.Granica 5000 u¿ytkowników nie obowi¹zujeKr¹¿y³o ju¿ mnóstwo pog³osek, i¿ Microsoft na³o¿y³ ograniczenia na iloœæu¿ytkowników, mog¹cych pomieœciæ siê w ka¿dej grupie.Chcia³bym rozwiaæ tepog³oski: nie istnieje ¿adne ograniczenie do 5000 u¿ytkowników lub jakiekolwiekinne dotycz¹ce wszelkich grup
[ Pobierz całość w formacie PDF ]