Как управлять группами в AD. Часть 1: Создание и удаление групп.

В типичных лесах Active Directory группы необходимы для авторизации прав пользователей. Они могут использоваться для распространения информации через почту или предоставлять доступ к файловым ресурсам, службам или даже делегации прав в AD. Группы бывают встроенными, это те группы, которые доступны сразу после установки, к примеру Domain Admins или Account Operators.

Active Directory Users and Computers (ADUC) и Active Directory Administrative Center (ADAC) - это инструменты, которые предоставляют вам графический пользовательский интерфейс для взаимодействия с группами и управления ими. ADAC отличается от ADUC тем, что в нем есть история команд PowerShell, которая дает возможность видеть PowerShell команды выполняемые за графическим интерфейсом.

Для управления группами необходимо войти на доменный контроллер, сервер в домене или устройство с установленными средствами удаленного администрирования сервера (RSAT). Говоря о необходимых правах доступа, нам нужно состоять в группе Domain Admins, Account Operators или иметь делегированную учетную запись, на создание групп в домене или в конкретной OU.

Удаленный рабочий стол от 27.9Br / месРабота с Windows по RDPПопробовать

Область применения групп

Таких существует  три вида:

• Глобальные группы
• Универсальные группы
• Локальные группы домена

Решая, какую группу создать, необходимо знать, какие существуют типы и чем они отличаются. Глобальные и универсальные группы могут состоять в локальных группах, а глобальные группы могут состоять в универсальных. Поэтому очень часто можно увидеть, что глобальные группы создаются для отделов, универсальные группы - для групп распространения, а локальные группы домена - для доступа к различным ресурсам.