Проектирование групп безопасности.

Проектирование групп безопасности.

                Одним из детальных компонентов реализации Active Directory является проектирование групп безопасности. В крупной организации можно разработать детализированный проект групп безопасности. В этой статье описаны основные принципы создания проекта групп безопасности в организации.
                Первый шаг в процессе проектирования групп безопасности состоит в определении области действия для группы. Во многих компаниях существуют самые разные мнения об использовании групп безопасности. В Active Directory обеспечена большая степень свободы в плане использования групп. Например, в одном домене пользователей можно добавить в группу с любой областью действия в домене и эти группы можно использовать для назначения разрешений доступа ко всем ресурсам в домене. В среде из множества доменов можно использовать универсальные, глобальные, а также локальные группы доменов.
Для большинства компаний области действия различных групп лучше всего реализовать в такой последовательности:
1. Добавить пользователей в глобальные или универсальные группы.
2. Добавить глобальные или универсальные группы в локальные группы доменов.
3. Назначить разрешения доступа к ресурсам с помощью локальных групп доменов.
                В некоторых компаниях не приветствуется создание одновременно локальной группы домена и глобальной или универсальной, поскольку хватает и одной группы, однако существуют веские причины для использования двух групп вместо одной.
                Если следовать методике использования глобальных или универсальных групп вместе с локальными группами доменов, глобальные или универсальные группы можно создавать на основе группирования пользователей с общими характеристиками. В большинстве случаев глобальные или универсальные группы создаются на основе подразделений или функций предприятия. Например, все члены отдела Sales обычно имеют больше общих характеристик друг с другом, чем со служащими других отделов. Пользователям может требоваться доступ к одним и тем же ресурсам или одно программное обеспечение. Членство в группе также часто формируется на основе выполняемых функций. Например, всем членам проектной группы требуется доступ к ресурсам одного проекта.
                Локальные группы домена обычно используются для назначения разрешений доступа к ресурсам. Во многих случаях разрешения можно тесно связать с бизнес-подразделениями или функциями. Например, всем членам отдела Sales может требоваться доступ к одной общей папке Sales. Всем членам проектной группы обычно нужен доступ к одним проектным данным. В других случаях доступ к ресурсам может пересекать стандартные границы бизнеса или функциональности. Например, компания может использовать общую папку, к которой имеют до ступ Read-Only все служащие компании. Или, например, нескольким отделам и проектным группам может требоваться доступ к одной общей папке. Создав локальную группу домена для отдельного ресурса, можно без труда управлять доступом к этому ресурсу. Затем в локальную группу домена можно добавить соответствующие глобальные или универсальные группы.
                Довольно часто пользователям требуются различные уровни доступа к общим папкам. Например, компания может использовать общую папку Human Resource с целью хранения данных политики для всех служащих. Всем пользователям может потребоваться доступ чтения в папках, однако лишь сотрудники отдела кадров могут модифицировать информацию в этой папке. В таком случае для общей папки можно создать две локальные группы домена. Одной группе следует назначить разрешение доступа Read-Only, а другой - доступ Full Control или Modify. Затем в локальную группу домена с правом доступа Full Control можно добавить глобальную группу Human Resources, а все остальные группы, которым нужен лишь доступ Read-Only, можно добавить в локальную группу домена с разрешением Read-Only.
                Применяя таким образом глобальные и локальные группы доменов, можно разделить права владения этих групп доменов. В крупной компании из соображений безопасности доступ к общей информации следует предоставлять только соответствующим пользователям. Для этого вначале нужно убедиться, что у каждой группы есть владелец, который также называется авторизатором. Лишь владелец может авторизовать модификации в конфигурации группы. Владельцем глобальной группы обычно является администратор подразделения. Владельцем глобальной проектной группы может быть руководитель проектов. Только эти владельца могут авторизовать изменения списка членства в группе.
                Владельцем локальной группы домена обычно является владелец данных или ресурса. Если у каждого ресурса в компании есть владелец (единственное лицо, которое может авторизовать все изменения разрешений доступа к общему ресурсу), он также будет являться владельцем локальной группы домена, связанной с этим ресурсом. Перед добавлением глобальной или универсальной группы в локальную группу домена владелец должен подтвердить модификацию.
                Использование двух уровней доступа для групп играет важную роль в среде из множества доменов, где пользователям из каждого домена требуется доступ к общему ресурсу в отдельном домене. Как показано на рис. 1, вы можете создать в каждом домене глобальную группу, а затем добавить эту глобальную группу в локальную группу домена, в котором расположен ресурс.
                Примечание. В Windows NT, например, можно использовать глобальные и локальные группы, но нельзя использовать локальные группы доменов. Если в вашем домене есть рядовые серверы Windows NT, потребуется использовать локальные группы на каждом сервере. Если же в домене есть серверы Windows 2000, Windows Server 2003 или Windows Server 2008 и домен работает на функциональном уровне Windows 2000, по возможности следует использовать локальные группы домена, которые можно применять среди множества серверов. Кроме того, при использовании локальных групп домена можно перемещать ресурс между серверами и назначать разрешения доступа с помощью одной локальной группы домена.

Рис. 1. Настройка доступа к ресурсам с использованием глобальных и локальных групп домена в среде из множества доменов.

                 В процессе проектирования групп безопасности следует определиться с тем, когда использовать глобальные и когда применять универсальные группы. Но в некоторых случаях возможности выбора не существует. Например, обработка почтовых групп Exchange 2000 Server и Exchange Server 2003, которые содержат членов из множества доменов, не будет выполняться, если они не являются универсальными группами. В Exchange Server 2007, например, все новые почтовые группы создаются как универсальные.

                В большинстве случаев при создании проекта универсальных групп, например, в Active Directory версии Windows 2000 лучше всего было свести к минимуму использование универсальных групп, особенно в случае с сайтами, которые объединены с помощью медленных сетевых подключений. Проблема была связана с репликацией глобального каталога. Эта рекомендация применима и для леса с функциональным уровнем Windows 2000. Однако если для леса включен функциональный уровень Windows Server 2003 или промежуточный уровень Windows Server 2003 и т. д.,  то проблема репликации устраняется благодаря репликации связанных значений. Кроме того, кэширование членства в универсальных группах исключает необходимость в развертывании сервера глобального каталога в каждом узле. Благодаря этим улучшениям выбор между глобальными и универсальными группами не играет критически важной роли в Active Directory версии Windows Server 2008. В большинстве случаев глобальные и универсальные группы являются практически взаимозаменяемыми.