A felhasználócsoportok kezelése

Az AD felhasználócsoportjainak megfelelő kezeléséhez meg kell érteni mű-ködésüket, tulajdonságaikat. A csoport objektumok két fontos jellemzője a cso-port típusa (Type), illetve hatóköre (Scope). Típus szerint kétféle csocso-port létezik.

Az egyik típus esetében a csoportfiók egy biztonsági objektum, ekkor a típust biztonsági csoportnak (Security Group) hívják. A másik típus esetén a csoport egy információs objektum, ilyenkor terjesztési csoport (Distribution Group) a neve. Ahogy korábban is említésre került, az információs objektumok és így a terjesztési csoport sem kaphat hozzáférési engedélyeket a különböző erőfor-rásokhoz, azaz mint ahogy a nevében is benne van, csak információs funkciója van. Ez tulajdonképpen azt jelenti, hogy a csoport típusa azt szabályozza, hogy kaphat-e a csoport a különböző erőforrásokhoz hozzáférési engedélyeket.

A terjesztési csoport egyik fő felhasználási területe, hogy csoportos levél-küldéshez felhasználható. Ezenkívül a felhasználók valamilyen szempont szerinti csoportosítási funkcióját használják. Az, hogy a terjesztési csoportnak nincs hozzáférési engedélye a különböző erőforrásokhoz, nem azt jelenti, hogy nincs biztonsági azonosítószám (SID). Ebből kifolyólag a terjesztési csoportok és a biztonsági csoportok közötti átalakítás lehetősége adott és működik is.

Egy biztonsági csoportot terjesztési csoporttá alakítva nem veszíti el biz-tonsági azonosítóját, az csak inaktívvá válik a művelet során. Ennek következ-ménye, hogy a hozzáférési engedélyek ekkor nem érvényesülnek, így a csoport tagjai az átalakítást követően nem rendelkeznek azokkal a jogosultságokkal valamint korlátozásokkal, amelyekkel a csoport tagjaiként rendelkeztek volna.

Visszaalakítva a terjesztési csoportot biztonsági csoporttá, a korábbi jogosultsá-gok ismét érvényesek lesznek.

Érdekes, hogy a felhasználói fióknak, mint biztonsági objektumnak is létező információs objektum párja, a névjegy (Contact – kapcsolattartó) nem alakítha-tó felhasználói fiókká és ezért nem kaphat hozzáférési engedélyeket. Azonban bármilyen felhasználói csoportba (biztonsági és terjesztési) felvehető, de csak csoportos adatkezelési, vagy levélküldési céllal.

A csoport másik tulajdonsága a hatókör (Scope) tulajdonképpen azt jelenti, hogy a csoport mely tartományokból kaphat tagokat, illetve mely tartományok-ban lehet másik csoportoknak eleme, és mely tartományoktartományok-ban kaphat hozzáfé-rési engedélyeket. A hatókör alapján háromfelé bonthatók a csoportok:

 Tartományi helyi csoportok (Domain Local Groups): Ezek a csoportok, csak az őket tartalmazó címtárban vehetők fel más csoportokba, illetve biztonsági csoportok esetében csak saját tartományuk számítógépein kaphatnak hozzáférési engedélyeket. Természetesen ennek igazából

több tartományos rendszerben van jelentősége, amikor egy csoport felhasználása a saját tartományán kívül esik. Ebből következik, hogy más tartományok tartományi helyi csoportjai nem lehetnek az adott tartomány tartományi helyi csoportjának tagjai. Azonban univerzális és globális csoportok, valamint az adott tartomány tartományi helyi cso-portjai tagjai lehetnek a tartományi helyi csoportnak. Ennek következ-ménye, hogy azonos tartományban található tartományi helyi csopor-tok tetszés szerint ágyazhatók egymásba olyannyira, hogy a körkörös egymásbaágyazás is lehetséges, hacsak nem egy csoport önmagába tör-ténő felviteléről van szó. Ennek ellenére a körkörös egymásbaágyazás nem túl célszerű dolog, ezért jobb kerülni. Kerülni érdemes a tartomá-nyi helyi csoportok (főleg többszörös) egymásba ágyazását is, mert a csoporttagságok kiszámítása lelassulhat és megnőhet a bejelentkezési idő.

 A tartományi helyi csoportok a Windows NT Server 4.0 helyi csoport-jaihoz képest abban jelentenek újdonságot, hogy nemcsak a tartomány-vezérlőkön használhatók fel (kaphatnak hozzáférési engedélyeket), hanem a tartomány összes legalább Windows 2000 verziójú operációs rendszert futtató számítógépén. Ha a tartomány működési üzemmódja vegyes, a tartományi helyi csoportok nem ágyazhaták egymásba.

 Globális csoportok (Global groups): Ebben az esetben a globális szó ar-ra utal, hogy a csoport a tartományi erdőn belül bármelyik tartomány-ban használható. Azaz tagjai lehetnek az erdő összes tartományátartomány-ban ta-lálható tartományi helyi csoportjainak, illetve az összes tartományban kaphatnak hozzáférési engedélyeket. Vannak azonban olyan megköté-sek, amelyek szerint ezek a csoportok csak saját tartományukból tar-talmazhatnak tagokat (felhasználókat, globális csoportokat), illetve más tartományok felhasználói és csoportjai, továbbá univerzális és tartomá-nyi helyi csoportok nem vehetők fel egy ilyen globális csoportba. A glo-bális csoportok natív üzemmódban a tartományon belül egymásba ágyazhatók (bár ez nem túl célszerű, mert lassíthatja a bejelentkezést), míg ez vegyes üzemmódban nem megengedett.

 Univerzális csoportok (Universal groups): Ezek a csoportok onnan kap-ták a nevüket, hogy tartományi helyi csoportok kivételével bármilyen tartomány felhasználója és csoportja lehet a tagja, valamint maga a csoport is bármilyen tartományban lehet tagja tartományi helyi cso-portnak, illetve kaphat hozzáférési engedélyeket. Ez azt jelenti, hogy az univerzális csoportoknak tetszőleges tartományok felhasználói fiókjai, globális csoportjai, továbbá univerzális csoportok lehetnek tagjai. Tar-tományi helyi csoportok ebben az esetben azért nem lehetnek tagok,

mert – ahogy már korábban említésre került – a tartományi helyi cso-portok nem használhatók fel saját tartományukon kívül. Fordítva vi-szont mindez lehetséges, azaz univerzális csoport tetszőleges mány tartományi helyi csoportjába felvehető, és tetszőleges tarto-mányban kaphat hozzáférési engedélyeket is. Mivel az univerzális csoportok nem köthetők az AD egyetlen tartományához sem, ezért azok. tagságukkal együtt a globális katalógusban tárolódnak. Ezt azért fontos megjegyezni, mert minden egyéb csoport is helyet kap a globális katalógusban, de csak az azonosító adataik erejéig, pl. tagsági adataik továbbra is az adott tartományban tárolódnak.⁴¹

A hatókörök természetesen megváltoztathatók, persze csak a megadott szabályok szerint. Az alapelv az, hogy a tartományi helyi és globális csoportok univerzálissá az univerzális csoportok pedig tartományi helyi és globális cso-porttá alakíthatók. Ebből következik, hogy ha pl. egy globális csoportot tarto-mányi helyi csoporttá kell alakítani, akkor azt a csoportot először univerzálissá kell tenni, majd univerzálisból tartományi helyi csoporttá kell alakítani. Ha az átalakítandó csoport olyan tagot tartalmaz, amelyet az új hatókörrel nem tar-talmazhatna, az átalakítás nem végezhető el. (Pl.: ha egy tartományi helyi cso-port egy másik helyi csocso-portot tartalmaz, nem alakítható univerzális csocso-porttá, vagy egy univerzális csoport másik univerzális csoportot tartalmaz, nem alakít-ható globálissá stb.)

A felhasználói csoportok a korábban már ismertetett módokon ágyazhatók egymásba (lehetnek egymás tagjai). A hozzáférési engedélyek optimális kiosztá-sához elengedhetetlen a megfelelő egymásbaágyazás használata. Ezt az egymás-baágyazást csoporttagsági láncnak, vagy röviden csoportok láncának is nevezik.

A csoporttagsági lánc többféle elvet is követhet, melyek közül a leggyak-rabban használt és egyben legegyszerűbb az ún. A-G-DL-P elv. Az elnevezés rövidítésekből áll, ahol az „A” a felhasználói fiókot (Account), a „G” a globális csoportot (Global group), a „DL” a tartományi helyi csoportot (Domain local group), a „P” pedig a hozzáférési engedélyeket (Permissions) jelenti. Az A-G-DL-P elv jelentésének lényege az, hogy az azonos, vagy hasonló szerepben dolgozó felhasználókat („A”) egy globális csoportba („G”) fogva már nem szükséges a tartományi erőforrás eléréséhez annyi hozzáférési engedélyt eltárolni, mint amennyi felhasználó van, ilyenkor elegendő egyetlen, a csoporthoz rendelt hozzáférési engedély. Abban az esetben azonban, ha több tartományból álló erdő a helyszín, minden tartományba létre kell hozni az ottani felhasználók egy-egy globális csoportját. Így ugyanahhoz az erőforráshoz már minden csoport hozzáférési engedélyeit létre kéne hozni, ezáltal megint csak megnő az

41 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

ráshoz tartozó hozzáférési engedélyek száma. A megoldást az jelenti, hogy az erőforrás tartományában létre kell hozni egy tartományi helyi csoportot („DL”), amelybe fel kell venni a szóban forgó globális csoportokat, majd a tartományi helyi csoporthoz hozzá kell rendelni a kívánt hozzáférési engedélyeket („P”).

Látszik, hogy a teljes lánc alkalmazásának csak több tartományos erdőben, vagy olyan egy tartományos rendszerben van létjogosultsága, amelynek várha-tó több tartományossá történő bővítése. Ha nem várhavárha-tó ilyen jellegű bővítés, akkor kihagyhatók a „fölösleges” elemek a láncból (pl.: A-G-P, A-DL-P, A-P).

Érdemes azonban használni a teljes láncot, mert áttekinthetőbbé teszi a keze-lést. A csoportok kialakításához egy másik ajánlás szerint érdemes a tartományi helyi csoportokat inkább a meghatározott erőforrásigények szerint, míg a glo-bális csoportokat a munkaköri szerepek szerint kialakítani.

Az A-G-DL-P elvnél léteznek komplexebb egymásbaágyazások is, amelyek pl. olyan esetben fordulnak elő, mint amikor az elérni kívánt erőforrások is több tartományban helyezkednek el. Ilyenkor érdemes lehet létrehozni, majd fel-venni egy univerzális csoportot az erőforrás tartományokban az erőforrások hozzáférési engedélyeihez létrehozott tartományi helyi csoportokba. Valamint a globális csoportokat ebbe az univerzális csoporthoz hozzá kell adni (A-G-U-DL-P elv).⁴²

