Microsoft Windows Server 2003. Наиболее полное руководство


Группы - часть 2


Область действия группы может быть различной в зависимости от того, на каком функциональном уровне находится домен. На функциональном уровне Windows 2000 mixed доступны только две области действия групп: доменная и глобальная.

На функциональном уровне Windows 2000 mixed также ограничена возможность использования механизма вложенных групп (nested groups). Разрешается только включать группы с глобальной областью действия в группы с доменной областью действия. Подобные ограничения объясняются требованиями сохранения совместимости с контроллерами домена Windows NT, которые используют описанный формат групп пользователей.

На функциональных уровнях домена Windows 2000 native и Windows Server 2003 становится доступной универсальная область действия. Кроме того, становится доступной возможность вложенности групп. На этих функциональных уровнях администратор может без труда конвертировать группы из одного типа в другой. Охарактеризуем группы каждой области действия на этих функциональных уровнях.

  •  Группы с доменной областью действия. Эти группы доступны исключительно в пределах того домена, в котором они определены. Членами группы с доменной областью действия могут являться объекты, а также другие группы с любыми областями действия. Объекты, а также группы с глобальной и универсальной областью действия могут принадлежать к любому домену леса. В состав группы могут также входить группы с доменной областью действия, принадлежащие к тому же домену. Далее мы будем называть группы этой области действия доменными группами.
  •  Группы с глобальной областью действия. Группы с данной областью действия доступны в рамках всего леса доменов. Членами группы могут являться объекты и группы с глобальной областью действия, принадлежащие к тому же домену, что и сама группа. Далее мы будем называть группы этой области действия глобальными группами.
  •  Группа с универсальной областью действия. Эти группы также доступны в рамках всего леса доменов. В состав группы могут входить объекты, а также группы с универсальной или глобальной областью действия, принадлежащие к любому домену леса. Далее мы будем называть группы этой области действия универсальными группами.

С каждой группой в момент создания ассоциируется объект каталога, значения атрибутов которого определяют ее характеристику. Один из атрибутов содержит список всех членов группы. В случае изменения состава группы будут реплицироваться не все значения атрибута (в случае, если группа насчитывает тысячи объектов, подобная репликация может вызвать заметный трафик), а только произведенные изменения. В данном случае речь идет о механизме репликации связанных значений (linked value replication). Этот механизм будет работать только в случае, когда лес доменов находится на функциональном уровне Windows Server 2003.

Примечание


В данном разделе речь велась о группах Active Directory. Однако в контексте каждого компьютера Windows NT/2000 или Windows Server 2003 могут быть созданы так называемые локальные группы (local group). Эти группы доступны только в пределах того компьютера, к которому они принадлежат.




Начало  Назад  Вперед