Группы безопасности active directory

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.

Типы групп Active Directory

В AD существует два типа групп:

Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.

Для каждого типа группы существует три области действия:

Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.

Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Создаем группу с помощью оснастки ADUC

Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.

Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.

Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.

Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.

Как создать группу Active Directory с помощью PowerShell

Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).

Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).

Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду

New-ADGroup -Path "OU=Groups,OU=Kaluga,DC=vmblog,DC=ru" -Name "KalugaUsers" -GroupScope Global -GroupCategory Distribution

Теперь создадим новую группу безопасности:

New-ADGroup –Name RemoteKalugaUsers -GroupScope Universal -GroupCategory Security -Path «OU=Groups,OU=Kauga,DC=vmblog,DC=ru»

Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:

Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov

Вывести состав список пользователей в группе и сохранить его в csv файл можно так.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC

Мы до этого уже познакомились с базовыми понятиями AD и научились создавать пользователя, пришло время научиться делать группы и темой данной статьи будет, создание групп при помощи оснастки ADUC / Как создать группу в Active Directory. Данную информацию должен знать любой системный администратор, у кого на работе развернут домен Active Directory, так как без групп, производить гибкое администрирование, просто не возможно. Для начала давайте поймем, какие группы существуют и чем они отличаются.

Как создать группу в Active Directory

Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.
Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-02

Теперь, когда вы больше стали понимать, что это такое и с чем это едят, давайте создадим с вами группу безопасности. Для этого щелкаем правым кликов в нужном контейнере тлт OU и выбираем создать > группу или сверху есть значок с человечками.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-03

После чего мы видим область действия и типы группы, пишем название группы, старайтесь максимально подробно и осмысленно выбирать название группы, у вас в компании должны быть разработаны стандарты именования в Active Directory.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-04

После того как группа создалась кликнете по ней двойным щелчком. Откроются свойства группы. Давайте пробежимся по вкладкам. Советую сразу написать Описание, может потом сильно сэкономить время.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-05

Вкладка Члены группы, показывает группы или пользователей которые являются членами данной группы. Как мы видим пока никого нету, давайте добавим пользователя, для этого щелкаем кнопку добавить и пишем в поисковой строке его параметры имя или

Через поиск находим нужного пользователя.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-07

Все Иванов Иван Иванович, теперь является членом группы.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-08

Вкладка Член групп, показывает в какие группы входит данная группа. Может объединяющей группе пользователей давать права для примера, у меня в организации есть программисты, и им нужен сервер VPN, для удаленного подключения, так они состоят в группе разработчики, которая уже является часть группы vpn пользователи.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-09

Вкладка Управляется, нужна для того чтобы делигировать например руководителю менеджеров права на добавление нужных ему людей в его группу, в российских реалиях почти не используется.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-10

Также еще пользователя можно добавить в группу правым кликом по нему и выбрать пункт добавить в группу, полезно при массовом действии.

Многие начинающие системные администраторы, да и не начинающие, почему-то не используют группы в службе каталогов Active Directory. Говоря, что в этом нет необходимости и вообще для чего они нужны. Но, такие сисадмины не правы, так как создавать группы, даже в маленьких организациях необходимо. А для чего это необходимо, попробуем сейчас разобраться.

Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты.

Теперь ответим на вопрос «Зачем нужны группы в Active Directory?» Лучше всего понять это, конечно же, на примере, пусть у нас будет маленькая организация и сложных задач нам не нужно делать.

Допустим, у нас есть какой-нибудь ресурс (пусть будет общая папка) и доступ к нему имеют только 3 пользователя, Вы дали разрешение этим пользователям индивидуально каждому. Все хорошо, но допустим, через некоторое время одному пользователю нужно убрать эти права, а другому наоборот дать (например, одного сотрудника понизили, а другого повысили). И если бы у Вас была бы группа, Ваши действия свелись к тому, что просто одного пользователя нужно убрать из группы, а другого добавить в нее (займет меньше минуты!). Но, так как у Вас нет группы на этот ресурс, поэтому Вам необходимо будет делать много лишних манипуляций. Из этого следует, что создавать группы необходимо, для того чтобы давать разрешения или права сразу многим объектам в Active Directory, будь то пользователи или компьютеры.

Данный пример самый простой, поэтому сразу же кидаться создавать группы не спешите, сначала нужно рассмотреть: какие типы групп существуют? какие области действий есть? Какую стратегию создания групп выбрать? Да, да именно стратегию по созданию или использованию групп, так как от планирования того какие группы и с какими разрешениями необходимо создать зависит простота администрирования в дальнейшем.

В службе каталогов Active Directory есть уже встроенные группы, такие как: Администраторы, Операторы архива, Пользователи удаленного рабочего стола и еще много других. Для того чтобы, посмотреть какие есть группы или почитать описание, откройте контейнер Builtin в оснастке «Пользователи и компьютеры».

Типы групп в Active Directory и как создать группу

Давайте начнем с рассмотрения вопросов, какие типы групп есть и как создать группу. Для создания группы откройте оснастку «Пользователи и компьютеры» и на любом контейнере (организационной единице) кликните правой кнопкой мыши, выберите создать -> группу. Откроется окно создания группы.

Затем Вам нужно написать название Вашей будущей группы, выбрать область действия и выбрать какой тип группы у Вас будет, сразу скажу что «Группа распространения» Вам потребуется достаточно редко, а «Группа безопасности» напротив, будет требоваться очень часто, так как является основной и часто используемой группой в Active Directory.

Группа Безопасности – как видно из названия эта группа относится к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.

Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Области действия групп AD

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Стратегии использования групп Active Directory

Теперь поговорим о стратегии использования групп, компания Microsoft рекомендует следующею стратегию, я в принципе согласен с их стратегией, с помощью нее можно легко управлять разрешениями и правами в большой компании.

AGDLP — accounts > global groups > local groups > permissions.

Другими словами, Вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организация такой стратегии на предприятие позволит Вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Но если это для Вас сложно или Вы думаете что это просто не нужно Вам, то Вы можете использовать стратегию AGP, т.е. глобальной группе предоставлять доступ к ресурсам, а в свою очередь в глобальную группу добавлять пользователей. На эту тему можно говорить и спорить долгое время.

Ну и в заключение подведем итог, группы в Active Directory – это хорошо! Их нужно использовать, по средствам вышеперечисленных стратегий, или другой своей стратегии.