AD grupper

En grupp är en uppsättning av AD-objekt främst användarkonto men även datorkonto, kontakter och andra grupper. Tanken med grupper är att hantera flera objekt som en enhet.

Grupper används i domänadministration för att:

  • Förenkla administrationen genom att tilldela behörigheter till utdelade resurser till grupper, i stället till individuella användare. När du tilldelar behörigheter till en grupp får alla gruppmedlemmar samma åtkomst till resursen.
  • Delegera administration genom att ge en grupp användarrättigheter med hjälp av Grupprincip (tas upp senare).
  • Skapa listor för e-postdistribution.

I Windows finns det 7 typer av grupper: två domängruppstyper med tre omfattningar i vardera och en lokal säkerhetsgrupp.

Typer av Active Directory-grupper

  • Säkerhetsgrupper – Denna typ av grupp används för att ge tillgång till resurser. Till exempel vill du ge en viss grupp åtkomst till filer i en delad mapp.
  • Distributionsgrupper – Denna typ av grupp används för att skapa e-post distributionslistor (vanligtvis används i Microsoft Exchange Server). Denna typ av grupp kan inte användas för att ge åtkomst till domänresurser, eftersom de inte är säkerhetsaktiverade.

För varje typ av grupp finns det tre gruppomfattningar (scope):

  • Domän lokalt – Används endast för att hantera åtkomstbehörigheter till lokala resurser (filer, mappar och andra typer av resurser) endast i domänen där gruppen skapades.
    • En lokal grupp kan inte användas i andra domäner (en lokal grupp kan dock inkludera användare från en annan domän).
    • En lokal grupp kan tillhöra en annan lokal grupp, men den kan inte inkluderas i globala grupper.
  • Globalt – Denna grupptyp kan användas för att ge tillgång till resurser i en annan domän.
    • I den här gruppen kan du bara lägga till konton från samma domän som gruppen skapades i.
    • En global grupp kan ingå i andra globala och lokala grupper.
  • Universellt –  Det rekommenderas att använda det i stora Active Directory-skogar. Med hjälp av universella grupper kan man definiera roller och hantera resurser som är fördelade över flera domäner. Om ditt nätverk har många delnät anslutna med WAN-länkar är det önskvärt att inte använda universella grupper så ofta eftersom förändring av dessa grupper replikeras i alla företagets nätverk.

Det finns också lokala grupper. Dessa grupper skapas i den lokala databasen SAM.

En annan grupptyp alstras vid Active Directory installationen, Active Directory Default groups. Dessa grupper placeras i Built-in container och i Users container.

  • I Builtin inkluderas grupper definierade för domänomfattning (domain scope).
Bild 1: Default grupper i container Builtin
  • I User inkluderas grupper definierade för diverse domänomfattning som ”Domain Local”, ”Global” och ”Universal”.
Bild 2: Grupper i container Users

Särskilda identiteter – Special Identities

Det finns också grupper vars medlemskap du inte kan visa eller förändra. Sådana grupper kallas för särskilda identiteter. De representerar olika användare och grupper vid olika tillfällen, beroende på omständigheterna.

Bild 3: Särskilda identiteter

Gruppen Alla eller Everyone är en särskild identitet som representerar alla nätverksanvändare, inklusive gäster och användare från andra domäner.

Även om de särskilda identiteterna kan tilldelas rättigheter och behörigheter kan deras medlemskap inte ändras eller visas. Användare tilldelas automatiskt till de här särskilda identiteterna när de loggar in eller får åtkomst till en viss resurs.

Några särskilda identiteter:

  • Anonym inloggning (Anonymous logon) – Användare och tjänster som får åtkomst till en dator och dess resurser genom nätverket utan att använda något kontonamn, lösenord eller domännamn. Gruppen Anonym inloggning som standard är inte medlem i gruppen Alla (Everyone)
  • Alla (Everyone) – Nätverksanvändare, inklusive gäster och användare från andra domäner. När en användare loggar in i nätverket, läggs användaren automatiskt till i gruppen Alla.
  • Nätverk (Network) – Användare som för tillfället har åtkomst till en resurs via nätverket, till skillnad från användare som får åtkomst till en resurs genom att logga in lokalt i den dator som resursen finns i. När en användare får åtkomst till en given resurs via nätverket, läggs användaren automatiskt till i gruppen Nätverk.
  • Interaktiv (Interactive) – Alla användare som för närvarande är inloggade på en viss dator och som har åtkomst till en given resurs som finns på den datorn, till skillnad från användare som har åtkomst till resursen via nätverket. När en användare har fått åtkomst till en given resurs på den dator som de för närvarande är inloggade på, läggs användaren automatiskt till i gruppen Interaktiv.

 Gruppens omfattning eller definitionsområde (scope)

Grupper kännetecknas av ett definitionsområde som avgör gruppens omfattning/räckvidd i ett domänsystem. En grupps definitionsområde (scope) indikerar vart gruppen existerar och hur långt den utsträcker sin behörighet. Till exempel om i ett träd finns flera domäner, säg A, B och C. I domänen C finns en filserver som utdelad resurs. Kan en grupp få åtkomstbehörigheter från domän A? Det beror på gruppens definitionsområdet.

Det finns tre definitionsområden för grupper: domän lokala, globala och universella:

  • Domänlokal
  • Global
  • Universal

Gruppomfattning (scope)

Group Scope Medlemmar från samma domän Medlemmar från andra domän i samma skog Medlemmar från betrodda externa domän
Local
  • Users
  • Computers
  • Global groups
  • Universal groups
  • Domain local groups
  • Users (computers local groups)
  • Users
  • Computers
  • Global groups
  • Universal groups
  • Users
  • Computers
  • Global groups
Domain Local
  • Users
  • Computers
  • Global groups
  • Universal groups
  • Domain local groups
  • Users
  • Computers
  • Global groups
  • Universal groups
  • Users
  • Computers
  • Global groups
Universal
  • Users
  • Computers
  • Global groups
  • Universal groups
  • Users (domain)
  • Computers
  • Global groups
  • Universal groups
N/A
Global
  • Users
  • Computers
  • Global groups
N/A N/A

Gruppbaserade domänadministration

Syftet med grupper är det att förenkla systemadministrationen om du till exempel vill ge femton användare tillgång till en viss skrivare, kan du lägga till de femton användarkontona i skrivarens behörighetslista. Men om du vid ett senare tillfälle vill ge de femton användarna tillgång till en ny skrivare, måste du på nytt ange de femton kontona i behörighetslistan för den nya skrivaren.

Istället kan du skapa en grupp med domän lokalt definitionsområde och tilldela den behörighet att få tillgång till skrivaren. Placera de fem användarkontona i en grupp med globalt scope och lägg gruppen till den gruppen med domän lokalt scope.

När du vill ge de femton användarna tillgång till en ny skrivare, tilldelar du gruppen med domän lokalt definitionsområde behörigheten att få tillgång till den nya skrivaren. Alla medlemmar av gruppen med globalt definitionsområde får automatiskt tillgång till den nya skrivaren.

Bild 5: Gruppbaserade domänadministration