<заголовок уровень="1">Создание и администрирование групп

Помимо создания пользователей, в Windows 2000 их можно объединять в группы. Зачем? Для упрощения администрирования. Вполне типичной является ситуация, когда существует целый ряд пользователей, которые должны иметь однотипные права, пользоваться одними и теми же папками и т.д. В таком случае, разумеется, гораздо удобнее однажды объединив этих пользователей в одну группу, впредь назначать права доступа к ресурсам для группы, нежели для всякого ресурса добавлять КАЖДОГО пользователя, назначая ему одно и то же право на объект. О правах пользователя и правилах их назначения мы поговорим отдельно на последующих занятиях.

Существует два типа групп: Локальные и Глобальные. Основное отличие между ними состоит в том, что локальные группы могут действовать только в пределах своего домена, глобальные же группы могут "выходить" за пределы домена. Более детально это станет ясно, когда мы будем рассматривать в последующих курсах доменную структуру сети и междоменные отношения, тогда Вы сможете своими руками "пощупать" разницу между локальными и глобальными группами, а пока придется удовлетвориться таким объяснением.

В Windows 2000 по умолчанию, при инсталляции, создается достаточно большое количество так называемых "встроенных" групп. Эти группы созданы для выполнения известных ролей, а членство во встроенной группе по существу означает присвоение многочисленных наборов прав, которые нельзя предоставить и которых нельзя лишить вручную. Папка Группы в оснастке Локальные пользователи и группы содержит список групп пользователей данного сервера. Некоторое количество встроенных (built-in) групп также существует по умолчанию, некоторые из них позволяют вам контролировать членство в группах (локальные группы), а некоторые устанавливают членство в группах автоматически (системные группы). В оснастке Локальные пользователи и группы системные группы не отображаются, Вы их заметите непосредственно в процессе назначения прав пользователям.

Если говорить о функциональном назначении каждой из встроенных групп, то можно выделить следующее:

Наиболее важна из встроенных групп группа Администраторы. Члены этой группы, а ее первым членом является пользователь Администратор, имеют неограниченные права в домене и на компьютере. Члены этой группы могут все: настраивать пользователей и группы, управлять дисковыми структурами, настраивать систему, управлять принтерами, управлять резервным копированием файлов, устанавливать драйвера любого оборудования, брать во владение любые объекты и т.д. Т.е., члены группы Администраторы имеют ПОЛНЫЕ права в домене.

Члены встроенной группы Операторы архива имеют право производить резервное копирование данных на магнитную ленту, даже если не имеют прав работать с данным файлом или папкой. Так же эти пользователи имеют право восстанавливать с магнитной ленты информацию, даже если не имеют соответствующих прав записывать в те папки, в которые происходит восстановление данных.

Встроенная группа Репликатор служит совершенно особым задачам, роль этой группы в функционировании домена мы обсудим в свое время.

Члены встроенной группы Опытные пользователи могут запускать и останавливать службы, управлять членством в группах Опытные пользователи и Пользователи и иметь совместный доступ к папкам и принтерам. Члены группы Опытные пользователи могут, кроме того, создавать новые учетные записи пользователей и группы и редактировать или удалять записи, которые они создали.

Члены встроенной группы Пользователи могут создавать новые группы - но не учетные записи пользователей - и редактировать или удалять созданные ими группы.

Таблица, расположенная ниже поможет Вам найти встроенные группы в Windows 2000. Конечно же Вы имеете возможность создавать собственные группы.

Встроенные локальные группы Встроенные системные группы
Administrators (Администратор) Anonymous Logon (Анонимный вход)
Backup Operators (Администратор архива) Authenticated Users (Идентифицированные пользователи)
Guests (Гость) Creator Owner (Владельцы-создатели)
Replicator (Репликатор) Everyone (Все)
Users (Пользователь) Interactive (Интерактивные)
  Network (Сеть)

Мы более детально остановимся на том, что могут делать члены той или иной встроенной группы несколько позднее.

А пока давайте рассмотрим, как создавать группы и управлять членством в уже имеющихся группах.

Итак, для того, чтобы создать новую глобальную группу, необходимо перейти в папку Группы и в меню Действие, или по нажатию правой кнопки мыши на свободном месте окна выбрать пункт Новая группа. Вы увидите следующее окно:

В этом окне следует ввести название новой глобальной группы (в данном случае - Corporation, кроме того можно ввести описание новой группы, это описание служит исключительно для удобства администратора. Далее, можно сразу при создании новой группы указать, кто будет ее членом. Для этого необходимо просто нажать на кнопку Добавить и перед Вами появится окно Выбор:пользователи и группы.

Обратите внимание - в окне выбора пользователей есть и группы - локальные и встроенные: локальные и системные. Таким образом, в группу можно включать не только пользователей, но и группы!!! В окне выбора можно выделить сразу несколько пользователей (групп) нажав Ctrl, и выделяя соответсвующие записи. Нажав OK, Вы увидите своих избранных в основном окне. Теперь нажав Создать, Вы увидите свою новую группу в списке групп оснастки Локальные пользователи и группы:

В процессе дальнейшей работы можно добавлять в эту же группу других пользователей (другие группы пользователей), можно удалять пользователей (группы) из группы, можно удалять саму группу из базы, можно создавать столько групп сколько Вам необходимо.

Итак, мы с Вами сегодня научились создавать учетные записи пользователей и группы пользователей. Теперь можно назначать им права, выделять ресурсы, чем мы и займемся через занятие.