LevT
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Не подскажешь, а есть где-то грамотная статья, о типах доменных групп (глобальные, локальные, универсальные. и почему одни надо вкладывать в другие? | Контроль доступа делится на провайдеров ресурсов и провайдеров учётных данных. Разграничение принципиальное например в Federation Services, там же можно о нём почитать. Семантика зафиксирована ясным английским языком совсем недавно, а все ранние талмуды, посвященнные AD, мялись, жались, да многословно ходили вокруг да около, пытаясь сформулировать идею, но не располагая словами для ее выражения. Локальные группы - контролируют доступ к ресурсам (локального компа или домена, а-ля "сетевой принтер" или "суперважная шара") Для доменных компов не рекомендуется включать туда отдельных юзверей, а только через группы - глобальные и универсальные. Эти группы - группы учёток, а не ресурсные. Глобальные и универсальные группы - это роли. Первые определены на уровне домена, вторые на уровне леса. Универсальные группы нужны там, где многодоменные леса. Универсальная группа включает в себя юзверей чужих доменов и представляет в каждом домене роль уровня леса. Так что глобальные группы, кроме юзверей своего домена, включают также и универсальные группы, которые нужны чтобы не пихать в глобальные группы чужих юзверей поодиночке. (Таким образом, последние можно считать агрегированными - и возможно кэшированными - "прокси"-принципалами, представляющими в каждом домене леса универсальную роль). В скобках - моё собственное понимание, только что на ходу рождённое: поправьте, пожалуйста, если я обшибаюсь. Итоговый идеал: в локальные группы включаем глобальные, в глобальные универсальные, а юзверей только в универсальные. | Всего записей: 17772 | Зарегистр. 14-10-2001 | Отправлено: 22:45 24-09-2009 | Исправлено: LevT, 23:13 24-09-2009 |
|