Сбой хозяина именования доменов
Временная недоступность хозяина именования доменов незаметна для пользователей. Для администраторов сети это также не будет заметно до тех пор, пока не будет произведена попытка добавить или удалить домен из леса.
Если хозяин именования доменов будет оставаться недоступным в течение продолжительного времени, можно присвоить его роль хозяину операций, находящемуся в режиме ожидания. Тем не менее, присвоение этой роли является радикальным решением, и его следует предпринимать только в случае неисправимой неполадки хозяина именования доменов.
Важно!
- Контроллер домена, роль хозяина именования доменов которого была присвоена, никогда не должен быть снова подключен в сеть.
Инструкции по присвоению роли хозяина именования доменов см. в разделе Присвоение роли хозяина именования домена.
Сбой хозяина RID
Временная недоступность хозяина RID незаметна для пользователей. Для администраторов сети это также не будет заметно до тех пор, пока не закончатся относительные идентификаторы (RID) в домене, где создаются объекты.
Если хозяин RID будет оставаться недоступным в течение продолжительного времени, можно присвоить его роль хозяину операций. Тем не менее, присвоение этой роли является радикальным решением, и его следует предпринимать только в случае неустранимого сбоя хозяина RID.
Важно!
- Контроллер домена, роль хозяина RID которого была присвоена, никогда не должен быть снова подключен в сеть.
Инструкции по присвоению роли хозяина RID см. в разделе Присвоение роли хозяина RID.
Сбой хозяина эмулятора PDC
Отказ эмулятора основного контроллера домена влияет на пользователей сети. Поэтому, когда эмулятор основного контроллера домена недоступен, может понадобиться немедленно присвоить его роль.
Если эмулятор основного контроллера домена будет оставаться недоступным в течение продолжительного времени и в его домене есть клиенты, не имеющие программного обеспечения Windows 2000, либо резервные контроллеры домена Windows NT, следует присвоить роль эмулятора основного контроллера домена хозяину операций, находящемуся в режиме ожидания. Когда исходный эмулятор основного контроллера домена будет исправен, можно возвратить его роль исходному контроллеру домена.
Инструкции по присвоению роли эмулятора основного контроллера домена см. в разделе Присвоение роли эмулятора PDC.
Сбой хозяина инфраструктуры
Временная недоступность хозяина инфраструктуры незаметна для пользователей. Для администраторов сети это также не будет заметно, если ими не было переименовано или перемещено большое количество учетных записей незадолго до этого.
Если хозяин инфраструктуры будет оставаться недоступным в течение недопустимого времени, можно присвоить его роль контроллеру домена, который не является глобальным каталогом, но имеет с ним надежное соединение (из любого домена). Желательно, чтобы данный контроллер находился в том же сайте, что и текущий глобальный каталог. Когда хозяин инфраструктуры будет исправен, можно возвратить его роль исходному контроллеру домена.
Инструкции по присвоению роли хозяина инфраструктуры см. в разделе Присвоение роли хозяина инфраструктуры.
Общие сведения о хозяевах операций см. в разделе Роли хозяев операций.
Общее представление о группах
Общее представление о группах
В данном разделе рассматриваются следующие понятия:
- Группы
- Область действия группы
- Типы группы
- Группы по умолчанию
- Вложенность групп
- Специальные удостоверения
- Где могут создаваться группы
Группы
Группы
Группа — это семейство учетных записей пользователей и компьютеров, контактов и других групп, которым можно управлять как единым целым. Пользователи и компьютеры, которые принадлежат к отдельной группе, называются членами группы.
Использование групп может упрощать администрирование: оно позволяет назначать общий набор разрешений и прав для многих учетных записей сразу, а не индивидуально для каждой учетной записи. Общие сведения о разрешениях и правах см. в разделе Общие сведения об управлении доступом.
Группы могут быть либо основанными на каталоге, либо локальными для данного компьютера. Группы в Active Directory являются объектами каталога, которые располагаются внутри объектов контейнера домена и подразделения. Active Directory предоставляет набор групп по умолчанию после установки, а также разрешает создавать группы. Дополнительные сведения см. в разделе Группы по умолчанию.
Локальные группы, которые существуют на локальных компьютерах и не существуют в Active Directory, обсуждаются в разделе Локальные группы, используемые по умолчанию.
Группы в Active Directory дают возможность:
- упрощать администрирование, назначая разрешения на общий ресурс для группы, а не для индивидуальных пользователей. Это обеспечивает одинаковый доступ к ресурсу для всех членов этой группы;
- делегировать администрирование, назначая права пользователям сразу для всей группы через групповую политику, а затем добавляя необходимых членов к группе, которые должны иметь те же права, что и группа;
- создавать списки рассылки электронной почты. Сведения см. в разделе Типы группы.
Группы характеризуются их областью действия и типом. Область действия группы определяет диапазон, в котором применяется группа внутри домена или леса. Сведения об области действия группы см. в разделе Область действия группы. Тип группы определяет, может ли группа использоваться для назначения разрешений из общего ресурса (для групп безопасности) или только для списков рассылки электронной почты (для групп распространения). Сведения о группах безопасности и группах распространения см. в разделе Типы группы.
Существуют также группы, для которых нельзя изменить или просмотреть сведения о членстве. Эти группы называются специальными удостоверениями и используются для представления различных пользователей в различные моменты времени, в зависимости от обстоятельств. Например, группа «Все» представляет всех текущих пользователей сети, включая гостей и пользователей из других доменов. Дополнительные сведения см. в разделе Специальные удостоверения.
Область действия группы
Область действия группы
Любая группа (группа безопасности или группа распространения) характеризуется областью действия, определяющей диапазон в дереве доменов или лесе, к которому применяется группа. Граница области действия группы также определяется заданием режима работы домена, к которому она принадлежит. Есть три области действия группы: универсальная, глобальная и локальная доменная.
В следующей таблице описывается различие между областями действия каждой группы.
Область действия группы | Группа может включать в качестве членов… | Группе могут быть назначены разрешения в… | Область действия группы можно преобразовать в… |
Универсальная |
| Любой домен или лес |
|
Глобальная |
| Разрешения члена могут быть назначены в любом домене | Универсальная (так как она не является членом никакой другой глобальной группы) |
Локальная доменная |
| Разрешения члена могут быть назначены только в домене, которому принадлежит родительская локальная группа домена | Универсальная (так как нет других локальных групп домена в качестве членов) |
Примечание |
В дополнение к сведениям этой таблицы предполагается, что задан следующий режим работы домена: основной Windows 2000, Windows Server 2003 или промежуточный Windows Server 2003. Если режим работы домена — смешанный Windows 2000, группы безопасности с универсальной областью не могут быть созданы, хотя группы распространения с универсальной областью разрешены. |