Ниже приведены рекомендации по формированию
Рекомендации
Ниже приведены рекомендации по формированию локальных и глобальных групп. Ознакомьтесь с ними, прежде чем действовать.
- Придерживайтесь следующей стратегии создания локальных и глобальных групп:
- организуйте учетные записи пользователей в глобальные группы;
- присвойте локальным группам необходимые права;
- включите глобальные группы в состав соответствующих локальных групп.
- Для усиления защиты вместо группы Everyone (Все) используйте глобальную группу Domain Users (Пользователи домена). Последняя, в отличие от группы Everyone, включает только учетные записи авторизованных пользователей домена.
- Чтобы предоставить администраторам право управления ресурсами другого домена, добавьте группу Domain Admins (Администраторы домена) в локальную группу Administrators (Администраторы) главного контроллера домена, подлежащего удаленному администрированию. Точно так же можно разрешить администрирование любого локального компьютера: добавьте группу Domain Admins в локальную группу Administrators компьютера, нуждающегося в удаленном администрировании.
- Если для выполнения какой-либо задачи достаточно привилегий встроенной группы, включите пользователя в ее состав. В противном случае создайте локальную группу с соответствующими привилегиями.
- Например, если по соображениям безопасности Вы хотите позволить пользователю архивировать информацию без права ее восстановления, создайте локальную группу Backup Only (Только резервное копирование) и присвойте ей .привилегию Back up files and directories (Архивирование файлов и каталогов).
- Всегда применяйте ту встроенную группу, которая обеспечивает решение задачи и одновременно предоставляет пользователю минимум полномочий.
Примечание Если Вы хотите удалить учетные записи, созданные в начале этой главы с помощью файла Chapter3.cmd, зарегистрируйтесь в системе по учетной записи Administrator и дважды щелкните файл DeleteChapter3.cmd из папки Cleanup прилагаемого к курсу компакт-диска.