Для человека, который сталкивается с многообразием групп в Active Directory, разобраться с ними сходу весьма трудно. Local и Domain Local, Global и Universal, Security и Distribution – всё это осложняется ситуацией “кого в кого можно включать”, и в финале сопровождается выводом “нафиг столько нагородили, уму непостижимо”. Добавляет к этому бардаку сочности то, что в фирменных курсах Microsoft данная тема освещается всё обзорнее и обзорнее – и сводится буквально к паре слайдов “запомните вот эту табличку”, без объяснения причин того, почему всё работает именно так.
Такой подход понятен – задача Microsoft – максимально удешевить чтение курсов, снижая требования по знаниям у MCT, которые обычно сами не могут объяснить, почему с группами в Windows / Active Directory всё сложилось именно так. Нужен меньший уровень знаний, чтобы вслух ртом начитывать сверху вниз слайды – можно меньше платить – ниже расходы – выше прибыль у партнёров Microsoft – больше партнёров – больше прибыли Microsoft. Приводит это к предсказуемому результату – тему “проскакивают” на бегу с логикой “зазубрите табличку, потом дампы почитаете чуток и проходной балл на экзамене кое-как перевалите, да вообще всё это некритично на самом деле”, а после работают с группами наощупь, а-ля “я на форуме читал, что всё надо делать security global, а у distribution SID’а вообще нет, ко-ко-ко”, ну и с подобными мифами. Табличка “кого в куда включать можно”, будучи не понятой, быстро забывается, а вся тема остаётся мистическим облачком “ой там всё мутно, нереально разобраться, да и не нужно никому”.
Как обычно, у нас подход другой. Разберёмся, что и как с группами. Вам понадобится базовая подготовка на уровне материала курса Microsoft 20410D – можете скачать бесплатно его запись у нас и посмотреть, там несложно.
Группы Windows NT и Active Directory – что, зачем, как, почему
- Часть первая – изначальная ситуация – одиночная система
- Часть вторая – домен Windows NT – появление Domain Local и Security-групп
- Лирическое отступление про максимальное количество групп и прочие технические мелочи
- Поведение системы при переполнении маркера доступа
- Часть третья – лес Active Directory – появление Universal-групп и разделения на Security и Distribution
- Universal-группы и режимы работы домена
- Можно ли жить в лесу Active Directory без Universal-групп, только с Global и Domain Local
- Проблемы масштабирования при использовании только Global и Domain Local
- Domain Local-группы и объекты Active Directory
- Миф про сниженное быстродействие Universal-групп
- Миф про одинаковость всех групп, потому что их можно друг в друга переключать
Приступим.