Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost
Číslo projektu: CZ.1.07/1.5.00/34.0292Číslo materiálu: VY_32_INOVACE_PSK-4-19Tematický celek (sada): Serverové operační systémyTéma (název) materiálu: Správa skupin ve Windows Serveru 2003Předmět: Počítačové sítě a komunikaceRočník / Obor studia: 4. / Informační technologieAutor / datum vytvoření: Mgr. Martin Štorek / 10.02.2014Anotace: Studenti se seznámí se s významem uživatelských skupin v systému Windows 2003
server, se správou skupin, s jejich rozsahem a typem. Rovněž je provedeno srovnání uživatelských skupin klientského počítače se skupinami doménového řadiče.
Metodický pokyn: Prezentace je určena k výkladu nové látky nebo opakování a samostudiu
1. KŠPA Kladno, s. r. o., Holandská 2531, 272 01 Kladno, www.1kspa.cz
Význam skupin zajistit přístup k zdrojům (disky, tiskárny, další HW, …) zajistit přístup k datům (složky a soubory, aplikace, databáze, …) organizace uživatelů (přehlednost dle společných vlastností) správa uživatelů (přidělování práv a oprávnění a další restrikce)
RIGHTS – oprávnění (přístup k datům a dalším zdrojům) PERMISSION – přístupová práva (práce s PC, konfigurace,
přihlášení, vypínání a další činnosti)
Jak skupiny pracují
Členové skupin mají přístupová práva a oprávnění garantována ze skupiny
Uživatelé mohou být členy více skupin (max. 1022) Uživatelé, skupiny a počítače mohou být dále členy dalších skupin
přístup
Group
přístup User
přístup User
Přístupová práva přidělena každému uživateli
Přístupová práva přidělenaskupině
přístup User
Skupiny v pracovní skupině a doméně
Vytvořeny na Doménovém řadiči Obsaženy v Active Directory Určeny pro řízení přístup ke
zdrojům domény
Vytvořeny na místním počítači nebo členském serveru, který není Doménovým řadičem
Součástí registrů (SAM) Určeny pro řízení přístupu ke
zdrojům místního počítače
Doménovýřadič
Klientskýpočítač
Členský server
SAM
SAM
Místní skupiny počítače Zásady pro místní (lokální) skupiny:
• Používat místní skupiny na počítačích, které nejsou členy domény
• Používat místní skupiny pro řízení přístupu ke zdrojů (data a HW) a pro vykonávání systémových úloh na místním počítači
Pravidla pro členství v místních skupinách:• Místní skupiny mohou zahrnovat pouze místní uživatelské
účty, které jsou na místním počítači• Místní skupiny nemohou být členy dalších skupin
Členové skupin Administrators nebo Power Users na daném počítači mohou vytvářet další místní skupiny
Místní vestavěné a systémové skupiny Vestavěné skupiny jsou vytvořeny při instalaci systému Vestavěné skupiny mají nastavená předdefinovaná práva a
nelze je smazat Jsou platné pouze pro daný jeden počítač, kde jsou uloženy Definují oprávnění a práva pro práci pouze s tímto počítačem Členové mají práva vykonávat systémové úlohy Do skupin lze přidávat další nové členy
Systémové (speciální) skupiny organizují uživatele pro práci v operačním systému
Členství v systémových skupinách je automatické dle činnosti uživatele, které ne NEDÁ měnit
Míst
ní sk
upin
y vestavěnéAdministrators
Backup Operators
Power Users
Users
Guests
systémovéSystem
EveryOne
Creator Owner
Authenticated Users
Network
Strategie použití skupin v pracovní skupině
U
Uživatelský účet
= P =Oprávnění
G
Místní skupina
=
Pracovní skupina – P2P
Windows Professional
Windows Professional
Windows Professional
G
PU
Přidat
L
PA
Přidat
G
PU
Přidat
Windows 2003 Server
G
PU
Přidat
Přidělit
Přidělitpřidělit
Přidělit
Implementace skupin v doméně Typy a rozsahy skupin Vestavěné a předdefinované skupiny v doméně Strategie používání skupin v jedné doméně Zásady pro vytváření doménových skupin Vytváření a mazání doménových skupin Přidávání členů do doménových skupin
Typy a rozsahy skupin doményTYPY SKUPIN
BezpečnostníPoužívány pro přidělování přístupových práv
DistribučníNELZE použít pro přidělování oprávněnípoužity pro posílání e-mailů (MS Exchange)
ROZSAHY SKUPINGlobálníkontejner USERS
Pro organizaci uživatelů s podobnýmipožadavky na přístup k síti
Lokální doménovékontejner BUILTIN
Pro přidělování oprávnění k (SDÍLENÝM) prostředkům jakéhokoliv počítače domény
Univerzální Pro přidělení oprávnění k prostředkům ve vícedoménových sítích
Systémové Členství je automatické dle práce uživatelev systému; nelze jej měnit;
Lokální (vestavěné) skupiny domény
pro přidělení oprávnění ke sdíleným prostředkům na doménovém řadiči
Rozsah skupiny je pouze v rámci daného počítače – řadiče domény
Vest
avěn
é sk
upin
y do
mén
yAdministrators
Backup Operators
Print Operators
Server Operators
Account Operators
Users
Guests
Globální (předdefinované) skupiny domény organizují uživatele s podobnými vlastnostmi nepřidělují se oprávnění (ale mohou) přidávají se jako členy lokálních skupin po připojení počítače do
domény se stávají členy lokálních skupin počítačenebo lokálních doménových skupin doménového řadiče
oprávnění se přenesou na celou doménu
Před
defin
ovan
é sk
upin
y do
mén
y
Domain Admins
Domain Users
Domain Guests
Domain Computers
Systémové skupiny na všech PC se systémem W2K a vyšším členství je automatické a nedá se měnit skupiny nejsou viditelné při správě skupin skupiny se nedají smazat ani ovlivňovat
Syst
émov
é sk
upin
y do
mén
y Everyone
Authenticated Users
Creator Owner
System
Network
Vestavěné a předdefinované skupiny v doméně Vestavěné doménové lokální skupiny poskytují uživatelům
předdefinovaná práva a oprávnění vykonávat úlohy:• Na doménovém řadiči• V Active Directory
Speciální (systémové) skupiny• Organizují uživatele pro systémové použití• Členství je automatické a nedá se měnit
Předdefinované globální doménové skupiny poskytují administrátorům řízení doménových zdrojů
Strategie použití doménových skupin
přidat
U
GG
Doménová lokální skupina
DLG
přidat
P
Globální skupina
Uživatelský účet
Přidělit
PŘÍKLADU
Domain Local Group
P
Global Group
User Accounts
GG
U
GG
P
DLGDLGDLG
Manažeři Obchodníci
TiskData_R Data_FC
Vytvoření a mazání doménových skupin
Při smazání skupiny:• Práva a oprávnění jsou
odstraněna• Členové skupin NEJSOU
smazáni
New Object - Group
Create in: nwtraders.msft/Users
Group name:
Group name (pre-Windows 2000):
Group scope:Domain localGlobalUniversal
Group type:Security Distribution
OK Cancel
Public
Přidání členů do doménových skupinGroup 01 Properties
General Members Member Of Managed By
Members:Name Active Directory Folder
Add... Remove
OK Cancel Apply
Select Users, Contacts, Computers, or Groups
Name In Folder
Look in: nwtraders.msft
CasablancaPortlandSeattleDenverAdministratorGuestTsInternet User
Add
Casablanca; Portland
Check Names
OK Cancel
nwtraders.msft/Casablanca nwtraders.msft/Portlandnwtraders.msft/Seattlenwtraders.msft/Denver OUnwtraders.msft/Usersnwtraders.msft/Usersnwtraders.msft/Users
vybrat
přidat
Spolupráce globálních a lokálních skupin
po přidání počítače do domény dojde k propojení globálních skupin domény s lokálními skupinami počítače
globální (předdefinované) skupiny se nainstalují do místních (vestavěných) skupin domény i do místních (vestavěných) skupin počítače
přenesou se oprávnění vyšších globálních skupin na nižší místní
Spolupráce globálních a lokálních skupin
Doménový administrátor se tak stane administrátorem serveru i lokálních počítačů – tj. celé domény
Doménový uživatel se stane běžným omezeným uživatelem vůči řadiči i místním počítačům – tj. celé domény
DOMÉNA
GLOBÁLNÍ SK.Domain AdminsDomain UsersDomain GuestsLOKÁLNÍ SK. DOMÉNY
AdministratorsUsersGuests
LOKÁLNÍ SK. PCAdministratorsUsersGuests
Doménový řadič Klientský počítač
Význam propojení doménových a lokálních skupin
U
GG
Users
LG
Domain Users
uživatelský účet
U
GG
Administrators
LG
Domain Admins
Administrator
DOMÉNADomain Controler
PRACOVNÍ SKUPINALocal Computer
Lokální skupiny
Administrators
Backup Operators
Print Operators
Server Operators
Account Operators
Users
Guests
Lokální skupiny
Administrators
Backup Operators
Power Users
Users
Guests
Materiály jsou určeny pro bezplatné používání pro potřeby výuky a vzdělávání na všech typech škol a školských zařízení. Jakékoli další využití podléhá autorskému zákonu.
Použité zdrojeByly použity printscreeny obrazovek školního serveru a kliparty sady MS Office 2010