главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Выпуск тестовых сборок Windows 10 приостановлен
  • В Windows 10 Mobile теперь тоже можно читать EPUB в браузере
  • Microsoft HoloLens: голографические чаты не за горами
  • В Windows 10 Mobile появится сброс настроек приложений
  • При диагностике проблем, связанных с полномочиями, порой обнаруживается, что причиной неполадок является вложенная глобальная группа безопасности. Вложение групп может служить источником многих неприятностей при работе с запрещающими правами. А если эти права определяются с помощью групповой политики, отследить причину возникновения проблемы бывает весьма затруднительно.

    В таком случае нужны ли вообще вложенные глобальные группы безопасности в Active Directory? Диагностика, связанная с членством в группах, в большинстве предназначенных для этого инструментов построена довольно сложно. Многие утилиты позволяют выяснить, какие права действуют для той или иной учетной записи, однако далеко не всегда эти права действительно реализуются — из-за наличия вложенных групп.

    Можно, конечно, вовсе запретить использование вложенных групп, но иногда это бывает необходимо. Исходя из своего опыта, я выработал несколько правил по вложению групп:

    1. Разрешать не больше одного уровня вложения групп.
    2. Одна группа безопасности может быть членом только одной вышестоящей группы.
    3. Нельзя создавать вложенные группы, если с помощью этих групп реализуются запрещающие права.
    4. Вложенная глобальная группа безопасности не может обладать привилегиями высшего уровня.

    Эти правила описывают базовые случаи вложения групп, но не являются исчерпывающими. Главное, что следует учитывать при создании вложенных групп, — делать это по минимуму, чтобы не усложнять диагностику и уменьшить риск случайного конфликта привилегий. К тому же, ограничение на использование вложенных групп позволяет предотвратить возникновение проблем, связанных с размером маркеров.

    Наиболее актуально вложение групп в том случае, когда учетную запись компьютера нужно добавить в глобальную группу безопасности, не смешивая с учетными записями пользователей. Другой вариант использования вложенных групп — для разграничения при смешении встроенных групп с локальных компьютеров и учетных записей пользователей на уровне домена. Бывают и другие случаи, в которых вложение групп может действительно пригодиться.

    А вы практикуете вложение групп безопасности? Поделитесь своим опытом в комментариях!

    Автор: Rick Vanover
    Перевод SVET


    Оцените статью:
    Голосов 1

    Материалы по теме:
  • Сценарии для управления членством в группах
  • Получение списка членов локальной группы пользователей на серверах Windows
  • Уменьшение уязвимостей учетной записи администратора
  • Контроль безопасности вашей службы сервера с помощью политики групп
  • Оснастка "Локальные пользователи и группы"


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет семь плюс пять?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+