7 Microsofts grupphanteringsmodell i Windows NT-domäner Microsofts modell för grupphantering i Windows NT-domäner Om du redan läst en del om Windows NT Server och Windows NT-domäner kanske du hajar till när du läser rubriken på detta kapitel?! I så fall förstår jag dig eftersom det tog mig lång tid att förstå att Microsoft faktiskt har en modell för hur de tycker att man skall hantera användarkonton, användargrupper, användarrättigheter och behörighet i Windows NT-domäner. Modellen som sådan är mycket enkel och kan sammanfattas i tre punkter: 1. Gör domänkonton till medlemmar av lämplig global grupp (befintlig eller nytillverkad) 2. Gör den globala gruppen till medlem av lämplig lokal grupp 3. Åsätt behörighet//permissions och användarrättigheter//user rights till den lokala gruppen Tanken är alltså att globala grupper endast används som behållare för användarkonton i Windows NT-domänen. De globala grupperna görs sedan till medlemmar av lokala grupper på Windows NT-datorer i domänen. Till sist åsätter man lokal behörighet och delningsbehörighet till dessa lokala grupper. En stor fördel med Microsofts modell är att den fungerar både i den minsta domänen och i flera sammankopplade domäner. (Mer om för- och nackdelar senare i kapitlet.) Microsofts modell i praktiken Ett antal nya användare skall ges tillgång till resurser i vår domän. Låt oss se hur Microsoft tycker att vi skall lösa detta. 235
7 Microsofts grupphanteringsmodell i Windows NT-domäner En Windows NT-domän med resurser på Windows NT-datorer. Vi börjar på domänens primärdomänkontrollant (PDC) 1. Tillverka nya domänkonton, ett för varje användare. Fyra nya domänkonton upprättas på domänens primärdomänkontrollant (PDC). För att upprätta nya domänkonton måste vi använda Kontohanteraren för domäner//user Manager for Domains. När denna startas kommer den automatiskt att koppla sig till den Windows NT Server-dator som för närvarande är primär domänkontrollant i domänen. Vi alltså inte tvungna att slå oss ned vid den primära domänkontrollanten för detta arbete utan vi kan sitta vid vilken dator 236
Microsofts modell i praktiken som helst förutsatt att Kontohanteraren för domäner//user Manager for Domains finns installerad på den. 2. Tillverka en ny global grupp (eller återanvänd lämplig befintlig). Ny global grupp upprättas på PDC:n. Att upprätta och hantera globala grupper är också en uppgift för Kontohanteraren för domäner//user Manager for Domains. 3. Gör de nya kontona till medlemmar av den globala gruppen. De nya domänkontona görs till medlemmar av lämplig(a) global(a) grupp(er) på PDC:n. Kontohanteraren för domäner//user Manager for Domains används naturligtvis även i detta steg. Med detta är vi färdiga på PDC:n och vi övergår till de 237
7 Microsofts grupphanteringsmodell i Windows NT-domäner resursbärande Windows NT-datorerna. Det finns dock ingen anledning att fysiskt lämna den dator du redan sitter vid. Kontohanteraren för domäner//user Manager for Domains kan hantera kontodatabasen på vilken Windows NT-dator som helst från vilken annan Windows NT-dator som helst, förutsatt att det konto man loggat in med är medlem av gruppen Domänadministratörer//Domain Admins vilken är med i varje Windows NT-dators lokala grupp Administratörer//Administrators. Vi ansluter Kontohanteraren för domäner//user Manager for Domains till en icke-domänkontrollant genom menyvalet Användare.Välj domän//user.select Domain och skriver sedan datornamnet, med två omvända snedstreck före, i textrutan Domän//Domain (du finner en detaljerad beskrivning i kapitel 13). Denna möjlighet är inte väldokumenterad men den framgår av den inbyggda hjälpen, F1, i Kontohanteraren för domäner//user Manager for Domains. 4. På varje resursbärande Windows NT-dator tillverkar vi ny lokal grupp (eller återanvänder befintlig). Arbetet på PDC:n är färdigt och nya lokala grupper på de tre resursbärande Windows NT-datorerna upprättas (en efter en). 5. Gör den globala gruppen till medlem av lämpliga lokala grupper (en eller flera). I detta fall handlar det om en lokal grupp på var och en av de resursbärande Windows NT-datorerna. 238
Microsofts modell i praktiken Domänens globala grupper görs till medlemmar av lokala grupper på enskilda Windows NT-datorer. Handgreppen för att göra en av domänens globala grupper till medlem av en lokal grupp på en icke-domänkontrollant innefattar byte av kontodatabas. q Dubbelklicka på den lokala grupp som skall få en av domänens globala grupper som medlem q Tryck på knappen Lägg till//add q I kombilistan Visa namn på//list Names From väljer du namnet på domänen (om det inte redan visas) q Dubbelklicka på den globala grupp som skall göras till medlem, tryck på OK för att bekräfta och återgå. (När du gör en global grupp från en annan domän till medlem av en lokal grupp i din egen domän kommer alltid domänens namn att föregå gruppnamnet, med ett omvänt snedstreck mellan domännamn och gruppnamn.) 6. Dela ut resurser och åsätt behörigheter till de lokala grupperna. Både lokala behörigheter och delningsbehörigheter delas ut till de lokala grupperna. 239
7 Microsofts grupphanteringsmodell i Windows NT-domäner Lokala behörigheter och delningsbehörigheter åsätts lokala grupper på varje enskild Windows NT-dator. 7. Försäkra dig om att de lokala grupperna har åsatts användarrättigheter//user rights så att användarna kan utnyttja sina privilegier. Sista steget är att försäkra sig om att användarrättigheter//user Rights är tilldelade lokala grupper som användarkontona indirekt är medlemmar av (genom medlemskap i globala grupper). 1-2-3 1. Gör domänkonton till medlemmar av lämplig global grupp (befintlig eller nytillverkad) 240
Skäl för att anamma Microsofts gruppstrategi 2. Gör den globala gruppen till medlem av lämplig lokal grupp 3. Åsätt behörigheter (och användarrättigheter) till den lokala gruppen Skäl för att anamma Microsofts gruppstrategi Microsofts grupphanteringsmodell kan synas en smula onaturlig, men det finns saker att anföra till dess försvar: q Den fungerar i det lilla nätverket såväl som i det stora q Den fungerar lika väl i en självständig domän som i sammankopplade domäner q Den är dokumenterad i Microsofts egen dokumentation och i de flesta Windows NT-böcker q Man kan dela upp administrationen av nätverket i två delar och därmed dela upp ansvaret på flera personer: q Hantering av användarkonton och globala grupper q Hantering av resurser (delningsbehörigheter och lokala behörigheter) och lokala grupper q Många tycker att hantering av grupper i sammankopplade domäner blir väldigt tydlig och enkel med kombinationen globala lokala grupper q Om man alltid använder lokala grupper spar det tid och nätverksbandbredd när man studerar behörighetslistor (och listor över tilldelad användarrättighet) eftersom information om lokala grupper finns på den lokala datorn q Den är med största sannolikhet framtidssäker när Active Directory Services kommer bör Microsoft ge oss verktyg för att enkelt flytta från domäner (som endast fungerar om vi följt Microsofts modell) Idag (sommaren 1998) verkar det tyvärr som om Microsoft inte kommer att ge oss verktyg för att underlätta övergången från Windows NT Server 4.0 till Windows NT Server 5.0. Det står dig fritt att kontakta Microsoft och försöka påverka dem i frågan. (Microsoft AB har telefonnummer 08-752 56 00.) 241
7 Microsofts grupphanteringsmodell i Windows NT-domäner Kritik av Microsofts grupphanteringsmodell q Man klarar sig utmärkt utan den ena grupptypen i en självständig domän enbart med ena grupptypen (antingen global eller lokal); i sammankopplade domäner enkom med globala grupper. q Lokala grupper används endast på Windows NT-datorer, om man delar ut resurser på Windows 95/98-datorer (nyare än Windows NT!) så måste man använda globala grupper. Windows för Workgroups har ingen som helst uppfattning om grupper, vare sig globala eller lokala. Rör aldrig paret Domänanvändare//Domain Users Användare/ /Users Om du väljer bort Microsofts modell så låt ändå alla nya domänkonton bli medlemmar av Domänanvändare//Domain Users och Domänanvändare//Domain Users kvarstå som medlem i alla Windows NT-datorers lokala grupp Användare//Users. Då kan du använda Användare//Users för att tilldela användarrättigheter//user rights. Detta innebär inget som helst arbete från din sida eftersom Windows NT alltid gör nya domänkonton till medlemmar av den globala gruppen Domänanvändare//Domain Users och Domänanvändare//Domain Users görs alltid till medlem av alla lokala grupper Användare//Users. Hjälpfrågor 1. Vad används lokala grupper till i Microsofts grupphanteringsmodell? 2. Vad används globala grupper till i Microsofts grupphanteringsmodell? 3. Varför inte tilldela globala grupper resurser direkt utan att gå via lokala grupper (Microsofts grupphanteringsmodell)? 242
Hjälpfrågor 4. Vad åsyftas med uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell? 5. Vilka skäl talar för att anamma Microsoft grupphanteringsmodell för Windows NT-domäner? 6. Vilka skäl talar emot att använda Microsofts grupphanteringsmodell för Windows NT-domäner? 7. Om man nu bestämmer sig för att inte följa Microsoft modell, vilket råd ger författaren, varför? 8. Hur gör du för att koppla Kontohanteraren för domäner/ /User Manager for Domains till kontodatabasen på en icke-domänkontrollant? 9. Kommer Microsofts grupphanteringsmodell sådan den ser ut idag att kunna användas i Windows NT 5.0? 10.Vad kommer att hända med befintliga behörighetslistor när du uppgraderar till Windows NT 5.0? 243
7 Microsofts grupphanteringsmodell i Windows NT-domäner Förslag till svar på frågor 1. Vad används lokala grupper till i Microsofts grupphanteringsmodell? Lokala grupper tilldelas användarrättigheter//user Rights samt åsätts lokal behörighet och delningsbehörighet//local and Share Permissions. 2. Vad används globala grupper till i Microsofts grupphanteringsmodell? Globala gruppers enda funktion är vara behållare för domänkonton från den egna domänen. Det är dock fullt möjligt att tilldela även globala grupper användarrättigheter och åsätta dem behörigheter det bryter dock mot Microsofts grupphanteringsmodell. 3. Varför inte tilldela globala grupper resurser direkt utan att gå via lokala grupper (Microsofts grupphanteringsmodell)? Microsofts grupphanteringsmodell bygger på att konton görs till medlemmar i globala grupper och att sedan globala grupper görs till medlemmar av lokala grupper. Till sist tilldelar man dessa lokala grupper användarrättigheter och åsätter dem behörigheter. Tekniskt kan vi handla annorlunda, men då bryter vi mot Microsofts grupphanteringsmodell. 4. Vad åsyftas med uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell? Uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell i en Windows NT-domän åsyftar de tre steg som ingår i modellen för att ge användare (människor) tillgång till resurser: 1) Gör användarens konto till medlem av lämplig global grupp. 2) Gör den globala gruppen till medlem av en lokal grupp 244
Förslag till svar på frågor på den resursbärande Windows NT-datorn. 3) Åsätt den lokala gruppen nödig behörighet (delningsbehörighet och lokal behörighet). 5. Vilka skäl talar för att anamma Microsoft grupphanteringsmodell för Windows NT-domäner? q Den fungerar i det lilla nätverket såväl som i det stora q Den fungerar lika väl i en självständig domän som i sammankopplade domäner q Den är dokumenterad i Microsofts egen dokumentation och i de flesta Windows NT-böcker q Man kan dela upp administrationen av nätverket i två delar och därmed dela upp ansvaret på flera personer: q q Hantering av användarkonton och globala grupper Hantering av resurser (delningsbehörigheter och lokala behörigheter) och lokala grupper q Många tycker att hantering av grupper i sammankopplade domäner blir väldigt tydlig och enkel med kombinationen globala lokala grupper 6. Vilka skäl talar emot att använda Microsofts grupphanteringsmodell för Windows NT-domäner? q Man klarar sig utmärkt utan den ena grupptypen i en självständig domän enbart med endera grupptypen (antingen global eller lokal); i sammankopplade domäner enkom med globala grupper. q Lokala grupper används endast på Windows NT-datorer, om man delar ut resurser på Windows 95/98-datorer (nyare än Windows NT!) så måste man använda globala grupper. Windows för Workgroups har ingen som helst uppfattning om grupper, vare sig globala eller lokala. 7. Om man nu bestämmer sig för att inte följa Microsoft modell, vilket råd ger författaren, varför? Författaren ger rådet att inte röra paret Domänanvändare Användare (Domain Users Users) eftersom Microsoft tilldelat gruppen Användare//Users en del användarrättigheter. Genom att låta den globala gruppen Domänanvän- 245
7 Microsofts grupphanteringsmodell i Windows NT-domäner dare//domain Users fortsätta vara medlem i alla Windows NT-datorers lokala grupp Användare//Users är vi garanterade fortsatt funktion. 8. Hur gör du för att koppla Kontohanteraren för domäner/ /User Manager for Domains till kontodatabasen på en icke-domänkontrollant? Kontohanteraren för domäner//user Manager for Domains ansluts till kontodatabasen på icke-domänkontrollant genom menyvalet Användare.Välj domän//user.select Domain där man sedan skriver datornamnet, med två omvända snedstreck före, i textrutan Domän//Domain. 9. Kommer Microsofts grupphanteringsmodell sådan den ser ut idag att kunna användas i Windows NT 5.0? Det är inte lätt att säga om Microsofts grupphanteringsmodell sådan den ser ut idag kommer att kunna användas i Windows NT 5.0. Innan beta ett av Windows NT 5.0 kom sades det att lokala grupper skulle försvinna i Windows NT 5.0. På TechEd 1998 i New Orleans var detta ändrat och man verkar i stället sikta på att utöka antalet grupptyper. Vi kan dock räkna med fortsatta förändringar. 10.Vad kommer att hända med befintliga behörighetslistor när du uppgraderar till Windows NT 5.0? Enligt den information om Windows NT 5.0 som finns allmänt tillgänglig tänker Microsoft inte röra befintliga behörighetslistor vi kommer alltså inte att behöva ändra allt när vi installerar Windows NT 5.0. Detta torde bland annat innebära att den grupphantering som finns idag kommer att finnas även i Windows NT 5.0 [synd, tycker författaren]. 246