Het gebruik van groeptypen en bereiken in Windows

Samenvatting

In Windows 2000 en latere versies wordt het concept van Microsoft Windows NT 4.0 voor gebruikersgroepen verder uitgebreid door het toevoegen van universele groepen en distributiegroepen. In Windows NT 4.0 zijn er alleen globale en lokale groepen. Deze worden beide als beveiligingsgroepen beschouwd.

Meer informatie

In Windows 2000 en latere versies zijn er twee typen groepen: beveiliging en distributie. Daarnaast zijn er drie typen bereiken: universeel, globaal en domeingebonden.

Typen groepen

Beveiliging

Met beveiligingsgroepen wordt de toegang tot bronnen geregeld. Ze kunnen ook worden gebruikt als e-maildistributielijsten.

Distributie

Distributiegroepen kunnen alleen worden gebruikt als e-maildistributielijsten of eenvoudige administratieve groepen. Deze groepen kunnen niet worden gebruikt voor toegangscontrole, omdat ze geen beveiligingsinstellingen hebben. In domeinen in native modus kan een groeptype op elk gewenst moment worden geconverteerd. In domeinen in gemengde modus wordt het groeptype vastgelegd wanneer de groep wordt gemaakt. Dit kan niet worden gewijzigd.

Typen bereiken

Universeel

Universele groepen kunnen overal in hetzelfde Windows-forest worden gebruikt. Ze zijn alleen beschikbaar in een onderneming in native modus. Het gebruik van universele groepen kan voor sommige beheerders eenvoudiger zijn omdat hiervoor geen wezenlijke beperkingen gelden. Gebruikers kunnen rechtstreeks aan universele groepen worden toegewezen. Bovendien kunnen universele groepen worden genest en rechtstreeks met toegangsbeheerlijsten worden gebruikt om toegangsmachtigingen aan te wijzen in elk domein in de onderneming.


Universele groepen worden opgeslagen in de globale catalogus (GC). Dit betekent dat alle wijzigingen in deze groepen worden gerepliceerd op alle GC-servers in de hele onderneming. Wijzigingen in universele groepen moeten daarom pas worden aangebracht nadat de voordelen van universele groepen ten opzichte van de kosten van de toegenomen replicatie van de globale catalogus, nauwkeurig zijn onderzocht. Als een organisatie slechts één enkel, goed aangesloten LAN heeft, mogen de prestaties niet slechter worden, terwijl die van wijd verspreide locaties aanzienlijk slechter kunnen worden. Gewoonlijk moeten organisaties met WAN's universele groepen alleen gebruiken voor relatief statische groepen waarin lidmaatschappen zelden veranderen.

Globaal

Globale groepen vormen het primaire bereik van groepen waarin gebruikers worden geplaatst in domeinen met gemengde modus. Globale groepen kunnen alleen worden geplaatst in de security descriptors van bronobjecten die zich in hetzelfde domein bevinden. Dit betekent dat u de toegang tot een object niet uitsluitend en alleen kunt beperken op basis van het lidmaatschap van een gebruiker in een globale groep van een ander domein.


Het lidmaatschap van een gebruiker voor een globale groep wordt geëvalueerd wanneer de gebruiker zich aanmeldt bij een domein. Omdat het lidmaatschap van een globale groep domeingebonden is, hebben wijzigingen in dat lidmaatschap geen globale replicatie van de catalogus in de hele onderneming tot gevolg.


In een domein met native modus kunnen globale groepen worden genest. Dit kan handig zijn wanneer beheerders organisatie-eenheden hebben genest en beheerfuncties van een organisatie-eenheid op een nette manier willen delegeren naar een lager niveau in een structuur van organisatie-eenheden. In deze situatie kan een structuur met globale groepen worden gebruikt als een parallelle constructie voor het toewijzen van machtigingen op een lager niveau.

Domeingebonden

Domeingebonden groepen kunnen worden gebruikt voor het rechtstreeks toewijzen van het toegangsbeleid voor specifieke bronnen die niet rechtstreeks zijn opgeslagen in de Active Directory (zoals bestandsservershares, printerwachtrijen, enzovoort).


Domeingebonden groepen moeten niet worden gebruikt voor het toewijzen van machtigingen aan Active Directory-objecten omdat deze groepen niet kunnen worden geëvalueerd in andere domeinen, en delen van de meeste Active Directory-objecten via de GC worden gerepliceerd naar andere domeinen. Toegangsbeperkingen van Active Directory-objecten die op het lidmaatschap van domeingebonden groepen zijn gebaseerd, hebben geen effect op GC-query's die plaatsvinden in andere groepen dan het domein waaruit de domeingebonden groep afkomstig is.
Eigenschappen

Artikel-id: 231273 - Laatst bijgewerkt: 16 okt. 2003 - Revisie: 1

Feedback