23 Användargrupper: lokala, globala och specialgrupper Syftet med grupper och grupphantering är att ge användare tillgång till resurser Syftet med grupper och olika sätt att hantera grupper är alltid att ge användare olika möjligheter i nätverket. Dessa möjligheter kan vara: q Möjlighet att använda Windows NT-datorer (lokal inloggning) Möjligheten att använda en Windows NT-dator styrs av användarrättigheter och behörigheter. Användarrättigheter kan tilldelas globala grupper och lokala grupper samt tre av specialgrupperna. q Åtkomst av utdelade mappar (på Windows NT-datorer och Windows 95/98-datorer) Åtkomst av utdelade mappar styrs av behörighetsposter (Access Control Entry) i behörighetslistor (Access Control List, ACL). Behörighet kan åsättas/tilldelas både globala, lokala och specialgrupper (och även enskilda konton). q Möjlighet att skriva ut på skrivare kopplade till Windows NT-datorer Behörighet att skriva ut styrs på samma sätt som åtkomst av utdelade mappar. Grupper i Windows NT 4.0 kan inte ordnas i en hierarki Det stora problemet med grupper i Windows NT-versioner före Windows NT 5.0 är att grupper inte kan ordnas hierarkiskt (att grupper inte kan göras till medlemmar av andra grupper 815
23 Användargrupper: lokala, globala och specialgrupper på godtyckligt sätt). Verkligheten är ofta hierarkisk Företag och organisationer delas nästan alltid in i smärre delar, med kända inbördes förhållanden, vi har väl alla fler än en gång stirrat ett organisationsschema i vitögat: Organisationsschema för MLA-Produkter AB. Delar av organisationsschemat för Nisses plåt, fisk och hemsidor. Det finns olika sätt att organisera I företags- och organisationsvärlden växlar modet vad gäller organisationer: en tid är det endast linjeorganisationer som gäller, för att sedan idiotförklaras och ersättas av matrisorganisationer, vilka i sin tur ersätts (så där fortsätter det). Jag tillhör i och för sig dem som anser att omorganisationer i sig är av godo de håller skärpan uppe. Det finns ofta en projektorganisation, som lever sitt eget liv Inom de allra flesta företag och organisationer finns det en projektorganisation vid sidan av, eller i stället för, den hierarkiska organisationen. 816
Grupper i Windows NT 4.0 kan inte ordnas i en hierarki Stora organisationer och företag behöver katalogtjänster Med det ovan anförda är det inte svårt att föreställa sig att det nätverk som större företag och organisationer använder måste likna verkligheten så mycket som möjligt. Man måste alltså kunna efterlikna aktuell organisation, oavsett om det är en linjeorganisation, matrisorganisation, kundstyrd organisation eller någon annan intressant organisation. Detta är en viktig uppgift för katalogtjänsten (eng. Directory Service). Enkelt uttryckt innehåller inte Windows NT någon katalogtjänst (värd namnet), utan vi får hålla tillgodo med Windows NT-domäner och den grupphantering som de innehåller. Det går visserligen att koppla Windows NT-domäner till varandra, men det är mycket arbetskrävande att ändra denna struktur för att följa ändringar i organisationen. Den enda katalogtjänster som finns idag och som kan användas med Windows NT (i någon form) är Novell Directory Services, NDS, samt Banyan StreetTalk. Microsoft kommer att leverera en fullvärdig katalogtjänst i och med Active Directory Services i Windows NT 5.0 (något jag ser mycket fram emot). Det är viktigt att förstå vad Windows NT kan erbjuda För att kunna få Windows NT att motsvara era behov så nära som möjligt vad gäller grupphantering är det viktigt att förstå de möjligheter som finns i Windows NT. Detta låter sig göra i Windows NT-domäner före Windows NT 5.0: q Användarkonton kan ordnas i globala grupper q Globala grupper kan inte göras till medlemmar av andra globala grupper (det finns en enda nivå) q Windows NT-domäner kan kopplas till varandra. De deltar i kopplingen på samma villkor den ena domänen har ingen överhöghet över den andra Detta kapitel handlar om de möjligheter som finns med Windows NT:s grupper. I kapitel 12 kan du läsa om hur det fungerar i kopplade domäner, det är inte någon större skillnad. 817
23 Användargrupper: lokala, globala och specialgrupper Gruppers roll i nätadministration Användarkonton hanteras inte enskilt de delas in i grupper vilket ger enklare administration. Hantera alltid grupper, aldrig enskilda användarkonton Låt oss börja med en universell sanning, nämligen att uppfinningen av grupper är något som, kanske mer än något annat, underlättat för nätadministratörer. För den som administrerat ett nätverk är det självklart, men det förtjänas ändå att sättas på pränt: q Hantera alltid grupper, aldrig enskilda användarkonton Med detta menas att man, oavsett form av administration, alltid skall arbeta med grupper. När vi delar ut en resurs till användare upprättar vi först en grupp, gör användarkonton till medlemmar av denna grupp (möjligen gör vi något steg till, mer om detta senare) och ser sedan till att gruppen får tillgång till resursen på önskat sätt. Fördelen med grupper blir uppenbar för envar den dag man behöver ge en ny användare samma möjligheter som en befintlig grupp man gör helt enkelt den nya användarens konto till medlem i gruppen så är det färdigt. 818
I Windows NT används alltid användarkonton vilka alltid är med i grupper Det finns ett undantag till denna regel Det finns ett enda undantag till regeln att alltid använda grupper, nämligen användares hemmamappar. Användares hemmamappar hanteras så att det alltid är ett enskilt användarkonto som ges behörighet till sin hemmamapp. Kapitel 22 beskriver olika sätt att hantera användarnas hemmamappar. I Windows NT används alltid användarkonton vilka alltid är med i grupper För att använda en Windows NT-dator måste man uppge namn på användarkonto och tillhörande lösenord. Kontot som används tillhör alltid någon (eller flera) användargrupper. Medlemskapet i gruppen kan ha tilldelats av administratörer eller uppstått genom att användaren gjort något, ex. loggat in lokalt på en viss Windows NT-dator eller försökt nå en Windows NT-dators utdelade resurser via nätverket. Windows NT innehåller grupptyper i vilka administratörer kan styra medlemskap och en grupptyp i vilken det inte går att styra medlemskap. Windows NT Server kan innehålla/använda upp till tre olika grupptyper När Windows NT Server deltar i en datorarbetsgrupp innehåller den två olika grupptyper. Dessa grupptyper kallas lokala grupper och specialgrupper. I en Windows NT-domän tillkommer en tredje grupptyp: globala grupper. Dessa grupptyper har av Microsoft givits olika användningsområden, men det finns ingen uppenbar skillnad mellan lokala grupper och globala grupper vad gäller utdelade resurser. Windows NT Server och Windows NT Workstation i arbetsgrupp innehåller två olika grupptyper I en datorarbetsgrupp finns det ingen dator som är förmer än någon annan, vare sig de använder Windows NT Server, Workstation eller något annat operativsystem. Det finns inga konton som kan användas på andra Windows NT-datorer än den egna, detsamma gäller lokala grupper. De grupptyper som finns: lokala grupper och specialgrupper 819
23 Användargrupper: lokala, globala och specialgrupper fungerar på litet olika sätt. Lokala grupper är enklast: de kan endast användas på den egna Windows NT-datorn. Specialgrupperna i Windows NT är verkligen mycket speciella. Några av dem räknas inte ens som Windows NT:s egna (av Microsoft) utan som universella grupper. De universella grupperna kan användas på alla Windows NT-datorer oavsett om de är med i en datorarbetsgrupp eller Windows NT-domän. Windows NT Server i en Windows NT-domän innehåller tre olika grupptyper I en Windows NT-domän har vi givit ett antal datorer i uppdrag att ansvara för domänen. Dessa datorer (de kan vara allt från en dator till alla de datorer som är installerade med Windows NT Server) kallas med ett kollektivt ord för domänkontrollanter//domain Controllers. Inom kollektivet domänkontrollanter är det en dator som i ett visst ögonblick är ännu något förmer än de andra: den primära domänkontrollanten//primary Domain Controller, PDC. De domänkontrollanter som inte är primär domänkontrollant kallas reservdomänkontrollanter//backup Domain Controllers, BDC. På den primära domänkontrollanten har administratörer möjlighet att upprätta globala grupper. Inräknat globala grupper finns det tre olika grupptyper i en Windows NT-domän: q Globala grupper q Lokala grupper q Specialgrupper I min värld vill jag att allt skall vara enkelt så tre olika grupptyper känns som två för många. Finge jag välja behöll jag endast globala grupper. Hantering av grupper Den praktiska hanteringen av grupper sköts med samma verktyg som användarkonton. På Windows NT Workstation är detta Kontohanteraren//User Manager och på Windows NT Server (oavsett om det är en domänkontrollant eller en ren server) är det Kontohanteraren för domäner//user Manager for Domains. Vid första anblicken är det mycket lite som skiljer de båda 820
Globala grupper verktygen åt, men efter en stund märker man några klara skillnader. Kontohanteraren/- Kontohanteraren för domäner/- /User Manager /User Manager for Domains q Globala grupper q Lokala grupper q Lokala grupper (för domänkontrollanterna) Den viktigaste skillnaden mellan verktygen är att den ena, Kontohanteraren//User Manager, endast kan hantera den lokala kontodatabasen på en Windows NT Workstation (eller en fristående Windows NT Server). Kontohanteraren för domäner//user Manager for Domains kan hantera domänens kontodatabas och därtill kontodatabaserna på alla de Windows NT-datorer som är icke-domänkontrollanter i domänen. När du arbetar med Kontohanteraren för domäner//user Manager for Domains kommer du att märka att den har ett antal finesser för att göra din administrativa tillvaro något drägligare. Läs mer om Kontohanteraren för domäner//user Manager for Domains i kapitel 13. Globala grupper Globala grupper är mycket enkla: de används för att gruppera domäners användarkonton, vi kan alltså göra domänkonton till medlemmar av globala grupper. Namnet globala grupper kommer av deras inneboende egenskap att kunna användas i hela den egna domänen (samt i de Windows NT-domäner som har en koppling till vår domän). Ur en snäv Windows NT-synvinkel är ju allting Windows NT-domäner, 821
23 Användargrupper: lokala, globala och specialgrupper Jorden/Globen består av domäner. Globala grupper kan användas för att ge användarkonton behörighet till resurser på vilken Windows NT-dator eller Windows 95/98-dator som helst i domänen. Denna åtkomst kan ske genom att behörigheter åsätts den globala gruppen direkt eller genom att den globala gruppen görs till medlem av lämplig lokal grupp vilken åsätts behörighet. Möjliga medlemmar i globala grupper Som administratörer finns det endast en sak (objektstyp) vi kan göra till medlem av globala grupper: q Användarkonton (globala konton/domänkonton) upprättade i samma domän En enskild global grupp kan ha hur många medlemmar som helst. Kontohanteraren för domäner//user Manager for Domains används för att styra medlemskap i globala grupper. Det finns inget sätt att göra en global grupp till medlem av en annan global grupper eller specialgrupp. Globala grupper kan göras till medlem av lokala grupper. (Active Directory Services, ADS, i Windows NT 5.0 kommer att ha en typ av grupper (mest lik globala grupper) som fritt kan göras till medlemmar i andra grupper för att åstadkomma en hierarki.) Globala grupper finns i domänens kontodatabas Globala grupper finns endast i domänkontrollanternas kontodatabas. De kan endast tillverkas på den primära domänkontrollanten (PDC). Vid nästa synkronisering av kontodatabasen (en uppgift för tjänsten NetLogon) kommer de nya kontona att finnas i reservdomänkontrollanternas (skrivskyddade) kopia av domänens kontodatabas. Globala grupper verkar över hela domänen (därav benämningen globala) och känns igen på sin ikon som innehåller en glob:. I en nyupprättad domän, när PDC:n är nyinstallerad, finner vi tre globala grupper i domänens kontodatabas: q Domänanvändare//Domain Users q Domängäster//Domain Guests 822
Globala grupper q Domänadministratörer//Domain Admins Ingen av de inbyggda globala grupperna kan tas bort. Det finns ingen praktisk övre gräns för hur många egna globala grupper man kan tillverka. Globala grupper kan verka över domängränserna Globala grupper kan verka på alla Windows NT- och Windows 95/98-datorer inom den egna domänen (där de är upprättade). Dessutom kan de användas på alla Windows NT- och Windows 95/98-datorer inom de Windows NT-domäner som har en koppling till vår domän. De kan alltså verka över domängränser. Globala grupper har inte domännamnet som prefix i sin egen domän, man använder endast gruppnamnet. I andra domäner måste man använda även gruppens domännamn (domännamn\gruppnamn) detta sker automatiskt i Kontohanteraren för domäner/ /User Manager for domains och Den här datorn//my Computer när man hanterar behörighetslistor. Domänkonton måste vara medlem av, minst, en global grupp När du upprättar nya domänkonton görs de alltid till medlemmar av gruppen Domänanvändare//Domain Users. Skulle du önska är det lätt att göra konton till medlemmar av flera globala grupper, allt efter era behov. Dock gäller att domänkonton måste vara medlem av minst en global grupp. Du kan alltså inte avlägsna konton från alla globala grupper, minst en måste kontot vara med i. Domänkonton har alltid en primär global grupp Windows NT kan hantera en global grupp som primär grupp för ett domänkonto. Den primära gruppen används inte av Windows NT självt utan av tjänsten Services for Macintosh och även i POSIX-sammanhang. Domänkonton måste vara medlem av en primär grupp Nu vet vi att domänkonton måste vara medlem i minst en global grupp och att de måste ha en primär grupp. Slutsats: domänkonton måste vara med i en primär grupp, denna primära grupp kan vara vilken global grupp som helst. I Kontohanteraren för domäner//user Manager for Domains byter du primär grupp genom att markera användarkonton (ett 823
23 Användargrupper: lokala, globala och specialgrupper eller flera) och sedan trycka på knappen Grupper//Groups. Den dialogruta som visas ser ur så här (nästan): Dialogrutan Gruppmedlemskap//Group Memberships i Kontohanteraren för domäner//user Manager for Domains (bilden redigerad). Du byter primär grupp genom att markera gruppens namn i listan Medlem i//member of och sedan trycka på knappen Aktivera//Set. Alla grupper utom den primära kan sedan tas bort från listan Medlem i//member of. Den inbyggda globala gruppen Domänanvändare//Domain Users är annorlunda Den inbyggda gruppen Domänanvändare//Domain Users skiljer sig från andra globala grupper. Användarkonton som upprättas i en domän (det sker alltid i kontodatabasen på den Windows NT Server som för tillfället är primär domänkontrollant) är globala konton/domänkonton och görs automatiskt till medlemmar av den globala gruppen Domänanvändare//Domain Users. Förutom att alla domänkonton som upprättas i en Windows NT-domän alltid görs till medlemmar av Domänanvändare//Domain Users är det faktiskt flera konton än domänkonton som görs till medlemmar. Så här ser den kompletta listan ut: q Alla användarkonton upprättade i samma domän q Alla Windows NT-datorer i domänen (även alla domänkontrollanter) q De Windows 95/98-datorer som du lagt till domänen med Serverhanteraren//Server Manager (för att kunna fjärradmini- 824
Globala grupper strera dem) q Konton för alla Windows NT-domäner som har domänkoppling till denna domän Gemensamt för kontonamnen för datorer och domäner är att de alltid avslutas med ett dollartecken, $. När du betraktar medlemmar i Domänanvändare//Domain Users med hjälp av Kontohanteraren för domäner//user Manager for Domains ser du aldrig att kontona för Windows NT-datorer i domänen också är medlemmar det syns endast om man skriver egna program eller med andra verktyg. Ett sådant verktyg är AddUsers.Exe från Microsoft Windows NT Server 4.0 Resource Kit. Det kan användas för att skriva ut innehållet i kontodatabasen till fil och för att upprätta konton och grupper med hjälp av en datafil (den kan använda sina egna datafiler). (Läs mer om AddUsers i kapitel 16.) Det har visat sig kunna störa hantering av programlicenser att det inte endast är användarkonton som är medlemmar i Domänanvändare//Domain Users om du tycker att det används fler licenser än du har användare kan du fråga din leverantör av licenshanteringsprogrammet hur det beräknar licenser (jag har bara hört talas om att Microsoft BackOffice-produkter beter sig på detta sätt). Man skulle kunna fråga sig varför alla datorer och domäner skall vara med i Domänanvändare//Domain Users. Det enkla svaret är att det gör det enklare för en Windows NT-dator att ansluta till en annan Windows NT-dator. Microsoft säger att globala grupper är kraftlösa Ibland, framför allt i Microsofts material, kan man läsa att globala grupper är kraftlösa. Detta hävdar Microsoft därför att de inte utrustat globala grupper med inbyggda användarrättigheter utan man måste göra dem till medlemmar i lokala grupper för att användarna skall kunna åtnjuta några privilegier. Om man tittar litet närmare på användarrättigheter//user Rights märker man att det inte är några svårigheter att tilldela globala grupper de användarrättigheter//user rights man önskar. Det är inte heller några problem att direkt åsätta behörigheter/ /permissions till globala grupper. Den som avgör om globala grupper är kraftlösa är du, inte Microsoft. En sak har dock Microsoft gjort: de har tilldelat 825
23 Användargrupper: lokala, globala och specialgrupper lokala grupper (och endast lokala grupper) en radda dolda användarrättigheter avsedda för administration. De tre inbyggda globala grupperna görs till medlemmar av lokala grupper på nya domänmedlemmar Närhelst en Windows NT-dator görs till medlem av en domän skickar den primära domänkontrollanten de tre inbyggda globala grupperna Domänadministratörer//Domain Admins, Domänanvändare//Domain Users och Domängäster//Domain Guests till Windows NT-datorn vilken gör dem till medlem av sina lokala grupper på detta sätt: Denna globala grupp görs till medlem av denna lokala grupp Domänadministratörer/- Administratörer//Administrators /Domain Admins Domänanvändare/- Användare//Users /Domain Users Domängäster/- Gäster//Guests /Domain Guests Domänadministratörer//Domain Admins Den globala gruppen Domänadministratörer//Domain Admins får alla sina administrativa möjligheter enbart genom sitt medlemskap i alla lokala grupper Administratörer//Administrators. Den har inga som helst inbyggda möjligheter. Prova gärna vad som händer om du gör en annan global grupp till medlem av Administratörer//Administrators (endast på en testdator). Domänanvändare//Domain Users Den enda inbyggda egenskap som den globala gruppen Domänanvändare//Domain Users har är att Windows NT Server (den primära domänkontrollanten) alltid gör nya domänkonton till medlemmar av gruppen. Något att tänka på när ni upprättar konton som inte bör vara medlemmar av Domänanvändare//Domain Users (administratörer kan avlägsna dem). 826
Lokala grupper Domängäster//Domain Guests Vill ni använda gruppen Domängäster//Domain Guests just för att bereda tillfälliga användare resursåtkomst i domänen måste ni vara noga med att avlägsna alla konton i Domängäster//Domain Guests från Domänanvändare//Domain Users. Nya konton som ni gör till medlemmar av Domängäster//Domain Guests gör alltid Windows NT Server även till medlem av Domänanvändare//Domain Users. Det vore inte så roligt att upptäcka att någon slarvat med detta och en tillfällig användare därmed kommit över filer ämnade endast för anställda. Lokala grupper Lokala grupper finns på alla Windows NT-datorer, oavsett om vi talar om Windows NT Workstation eller Windows NT Server (som domänkontrollant eller ren server). Det spelar inte heller någon roll om datorerna finns i en arbetsgrupp eller i en Windows NT-domän. Man känner igen lokala grupper på ikonen som har en bild av en dator i sig:. Lokala grupper kan upprättas av (nästan) vem som helst Lokala grupper kan upprättas av vem som helst (utom konton som endast är medlem i den lokala gruppen Gäster//Guests) med något av de inbyggda verktygen: q Kontohanteraren//User Manager (på Windows NT Workstation) q Kontohanteraren för domäner//user Manager for Domains (på Windows NT Server) q Kommandot net localgroup /add (i en Kommandotolk/ /Command Prompt) Detta är inte så lyckat och föremål för berättigad kritik. Framför allt är det olyckligt om man följer Microsofts förslag och delar ut resurser till Alla//Everyone med Fullständig behörighet/ /Full Control. Det är inte alltför svårt att mana fram bilden av en användare som, med eller utan avsikt, upprättar en lokal grupp, gör några domänkonton (eller Domänanvändare//Domain Users) till medlemmar av denna lokala grupp och sedan ändrar 827
23 Användargrupper: lokala, globala och specialgrupper behörighetslistan för en utdelad resurs så att den nya lokala gruppen tilldelas Ingen behörighet//no Access. Tänk på att möjligheten att upprätta lokala grupper inte är begränsad till den egna Windows NT-datorn. En användare med ett konto i Domänanvändare//Domain Users kan upprätta egna lokala grupper på den primära domänkontrollanten (eftersom Domänanvändare//Domain Users i sin tur är med i Användare/ /Users på domänkontrollanterna). För att upprätta en lokal grupp på den primära domänkontrollanten används Kontohanteraren för domäner//user Manager eller kommandot Net Localgroup (växeln /domain) från en Windows NT Workstation, vilket går bra även för en vanlig användare. I skrivande stund finns det inget inbyggt verktyg som låter dig skydda domänens kontodatabas från detta, men du kan åtminstone se till att du vet vem som gör vad genom att slå på granskning//auditing av Hantering av användare och grupper//user and Group Management. Både medgivna och nekade försök måste granskas. I kapitel 15 kan du läsa mer om granskning//auditing. Microsoft har tagit till sig kritiken mot denna möjlighet och utvecklat ett utmärkt verktyg, Create Alias, som låter dig styra vilka grupper/konton som ges möjlighet att upprätta lokala grupper. Verktyget kan du använda på alla Windows NT-datorer och det är fritt tillgängligt på Microsofts ftp-ställe (i kapitel 16 kan du läsa mer om Create Alias). Microsofts avsikt med lokala grupper Microsofts avsikt med lokala grupper var att de skulle tilldelas användarrättigheter//user rights och behörigheter//permissions (lokal behörighet och delningsbehörighet) för att på så sätt låta användare bruka resurser i nätverket. Microsoft tänker sig alltså att privilegier alltid åtnjuts genom medlemskap i en lokal grupp. Detta medlemskap kan vara direkt eller indirekt. Eftersom Microsoft tilldelat många lokala grupper dolda användarrättigheter, vilka inte går att ändra, måste du använda lokala grupper i en Windows NT-domän det är endast lokala grupper som kan användas för vissa administrativa uppgifter. Om Windows NT-datorn befinner sig i en arbetsgrupp är användarkonton medlemmar i lokala grupper (direkt medlemskap). I en Windows NT-domän är det i stället globala grupper som görs till medlemmar av lokala grupper, om man följer 828
Lokala grupper Microsofts grupphanteringsmodell. Lokala grupper kan endast verka i sin egen kontodatabas Lokala grupper kan inte komma utanför den kontodatabas där de upprättats. Detta innebär att en lokal grupp som finns på en Windows NT Workstation inte kan användas på någon annan Windows NT-dator. Detta är både bra och dåligt. Det är bra därför att man alltid uttryckligen måste upprätta lokala grupper på alla Windows NT-datorer, det finns alltså ingen risk att en grupp bara dyker upp. Det är dåligt därför att om en viss grupp av användare har liknande behov av resurser på flera Windows NT-datorer måste administratörerna upprätta flera grupper (kanske med samma namn) på alla Windows NT-datorer där resurserna finns. För att vara alldeles sanningsenlig behöver man inte upprätta lokala grupper på alla datorer som delar med sig av sina resurser. Det beror på om datorn är en Windows NT Server eller inte och om den i så fall är domänkontrollant eller inte. När en domänkontrollant (den primära domänkontrollanten eller en av reservdomänkontrollanterna) delar med sig av sina resurser till nätverksanvändare behöver man bara upprätta lokala grupper en gång på den primära domänkontrollanten. Det gäller eftersom alla domänkontrollanter delar på samma kontodatabas (domänens kontodatabas) vilken finns på den primära domänkontrollanten i skrivbar version och en skrivskyddad kopia på var och en av reservdomänkontrollanterna. Lokala grupper i en datorarbetsgrupp När man ordnat sina Windows NT-datorer i en arbetsgrupp finns det bara lokala grupper (samt specialgrupper, men mer om dem senare). I en arbetsgrupp kommer en användare åt en viss resurs genom att hennes användarkonto görs till medlem i en lokal grupp och denna lokala grupp åsätts behörigheter till resursen. Vi kommer senare att se att det, sånär som på gruppmedlemmar, är ganska liten skillnad mellan arbetsgrupper och Windows NT-domäner vad gäller lokala grupper. Möjliga medlemmar i lokala grupper i arbetsgruppen För en Windows NT-dator som finns i en arbetsgrupp (detta 829
23 Användargrupper: lokala, globala och specialgrupper gäller både Windows NT Workstation och Windows NT Server som ren server), gäller att endast användarkonton från den egna kontodatabasen kan göras till medlemmar. Det finns ingen övre gräns för antalet medlemmar i en lokal grupp. Det finns en enda objektstyp som kan göras till medlem i en lokal grupp på en Windows NT-dator i en arbetsgrupp: q Lokala användarkonton från Windows NT-datorns egna kontodatabas Grupphantering på Windows NT-datorer i arbetsgrupp Om vi stannar upp här ett tag finner vi i detta faktum ovan ett mycket starkt argument mot att använda Windows NT-datorer i en arbetsgrupp för att få en vettig grupphantering måste vi upprätta ett eget användarkonto för på varje Windows NT-dator som hon behöver komma åt. Slutsatsen blir, om vi ändå vill använda Windows NT-datorer i arbetsgrupper, att vi inte skall arbeta med vanliga lokala grupper utan någon av grupperna Gäster//Guests (lokal grupp), Alla/ /Everyone (specialgrupp) eller Nätverk//Network (specialgrupp). Du kommer senare i detta kapitel att få lära dig att de två senare grupperna är en styggelse och att de lämnar Windows NT-datorer vidöppna för intrång. I ett helt isolerat nätverk är detta kanske inte ett problem. Har man behov av säkrare hantering är en Windows NT-domän ett mycket bättre val än en arbetsgrupp. (Läs i kapitel 2 om grupphantering i arbetsgrupp.) Lokala grupper i en Windows NT-domän Lokala grupper i Windows NT-domän har samma syfte och ändamål som lokala grupper i en arbetsgrupp. Det finns ingen som helst skillnad i de möjligheter och begränsningar som lokala grupper har i en arbetsgrupp jämfört med i en Windows NT-domän. Skillnaden ligger i hur man faktiskt använder dem och att man i en domän har tillgång till globala grupper vilka kan göras till medlemmar av lokala grupper (detta använder Microsofts grupphanteringsmodell). Om en administratör tidigare hanterat Windows NT-datorer i en arbetsgrupp och då arbetat med lokala grupper för att åsätta behörigheter och tilldela användarrättigheter får hon sin belöning när hon byter till Windows NT-domän. Vad gäller just behörigheter och användarrättigheter är det ingen skillnad i hur 830
Lokala grupper man använder lokala grupper i en arbetsgrupp och i en Windows NT-domän så länge man använder Microsofts grupphanteringsmodell. Det som skiljer är vad som kan göras till medlem av lokala grupper. Möjliga medlemmar i lokala grupper i en Windows NTdomän I en Windows NT-domän har man fler möjliga medlemmar i en lokal grupp. Om vi undantar domänkontrollanterna från diskussionen finner vi att följande objekt kan göras till medlemmar av lokala grupper på en Windows NT-dator i en Windows NT-domän: q Globala grupper från den egna domänen q Globala grupper från domäner som den egna domänen har en domänkoppling (förtroendelänk) till Det är de huvudsakliga medlemmarna i en lokal grupp om man följer Microsofts strategi för grupphantering. Förutom de ovanstående kan följande göras till medlemmar av en lokal grupp på en Windows NT-dator i en Windows NT-domän: q Globala användarkonton från den egna domänen q Globala användarkonton från domäner som den egna domänen har en domänkoppling till q Lokala användarkonton från Windows NT-datorns egna kontodatabas Detta är möjliga medlemmar. Beroende på vilken metod ni väljer för att hantera användarkonton och grupper kommer ni kanske inte ens använda lokala grupper för att ge användare tillgång till resurser utan enbart för administrativa göromål. I Microsofts grupphanteringsmodell är det endast globala grupper från den egna domänen och domäner som den egna domänen har en domänkoppling till som i praktiken görs till medlemmar av lokala grupper (du kan läsa mer om Microsofts grupphanteringsmodell i kapitel 7 och alternativ till den i kapitel 8). En lokal grupp kan ha hur många medlemmar som helst. Lokala grupper på domänkontrollanterna i Windows NT- 831
23 Användargrupper: lokala, globala och specialgrupper domäner Enär domänkontrollanterna delar på samma kontodatabas (originalet på den primära domänkontrollanten, en skrivskyddad kopia på varje reservdomänkontrollant), kommer varje lokal grupp att vara tillgänglig på alla domänkontrollanter (det är samma grupp, med samma SID). Detta kan vara en faktor när man skall bestämma om en Windows NT Server skall installeras som ren server eller som reservdomänkontrollant (det finns ingen övre gräns för hur många reservdomänkontrollanter man kan ha i en Windows NT-domän). Det enda som skiljer lokala grupper på domänkontrollanter, vad gäller möjligt medlemskap, från andra Windows NT-datorer i domänen är att det inte finns några lokala användarkonton på en domänkontrollant (alla användarkonton i en domäns kontodatabas är domänkonton eller domänlokala konton). Listan över möjliga medlemmar i lokala grupper på domänkontrollanterna ser ut så här: q Globala grupper från den egna domänen q Globala grupper från domäner som den egna domänen har en domänkoppling (förtroendelänk) till q Domänkonton från den egna domänen q Domänlokala användarkonton från den egna domänen q Domänkonton från domäner som den egna domänen har en domänkoppling till Återigen är detta de objekt som det är tekniskt möjligt att göra till medlemmar av lokala grupper på domänkontrollanter. Precis som när det gäller andra lokala grupper är det endast globala grupper från den egna domänen och domäner som den egna domänen har en domänkoppling till som i praktiken görs till medlemmar av lokala grupper på domänkontrollanterna. Återigen gäller detta Microsofts grupphanteringsmodell. Inbyggda lokala grupper på Windows NT i en datorarbetsgrupp Både Windows NT Workstation och Windows NT Server kan användas i en datorarbetsgrupp. Båda får samma uppsättning inbyggda lokala grupper: q Administratörer//Administrators 832
Lokala grupper q Ansvariga för säkerhetskopiering//backup Operators q Privilegierade användare//power Users q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Administratörer//Administrators Det finns ingen grupp med mer omfattande privilegier än Administratörer//Administrators. Konton som är medlemmar i Administratörer//Administrators kan upprätta, ändra och radera: q Användarkonton q Globala grupper q Lokala grupper De kan även: q Dela mappar och skrivare q Åsätta användarrättigheter och behörigheter till resurser q Installera operativsystemsfiler och program q Med mera Det kan inte nog framhållas hur viktig och allsmäktig denna grupp är. En titt i Kontohanteraren för domäner//user Manager for Domains (Principer.Rättigheter//Policies.User Rights) avslöjar att gruppen Administratörer//Administrators vid installation av Windows NT tilldelats ett stort antal användarrättigheter//user rights. Utöver de användarrättigheter som syns i Kontohanteraren för domäner//user Manager for Domains är gruppen tilldelad ett antal dolda användarrättigheter, bland dem: q Möjlighet att dela ut en lokal resurs för åtkomst via nätverket q Möjlighet att göra användarkonton till medlem av gruppen Domänadministratörer//Domain Admins (och Administratörer/ /Administrators) q Möjlighet att partionera och formatera diskar Observera att det konto som tjänster//services använder som 833
23 Användargrupper: lokala, globala och specialgrupper förvalt konto, LocalSystem/System, är med i Administratörer/ /Administrators och därmed livsfarligt! Alla på Internet vill försöka starta AT-jobb och använda LocalSystem/System. (Läs mer om specialkontot System//System nedan och i kapitel 21.) Ansvariga för säkerhetskopiering//backup Operators Ansvariga för säkerhetskopiering//backup Operators kan utföra följande på Windows NT Server och NT Workstation: q Säkerhetskopiera och återlagra filer q Logga in lokalt på servrar q Avsluta Windows NT på servrar Privilegierade användare//power Users Privilegierade användare//power Users är en speciell lokal grupp tänkt för administration av Windows NT Workstation och Windows NT Server i en datorarbetsgrupp (eller fristående Windows NT Server i en Windows NT-domän). Medlemmar i gruppen kan utföra följande uppgifter: q Upprätta användarkonton q Ändra användarkonton skapade av andra konton än dem som är medlemmar av Privilegierade användare//power Users q Göra konton till medlemmar i Privilegierade användare//power Users q Dela filer och skrivare Ansvariga för duplicering//replicator Denna är en speciell grupp så tillvida att den normalt inte innehåller konton för användare/administratörer utan endast ett konto som används vid mappduplicering. Microsofts tanke med denna grupp är att den endast skall innehålla ett användarkonto för Windows NT-tjänsten Directory [Folder] Replication. Användare//Users Gruppen Användare//Users på Windows NT Workstation (i datorarbetsgrupp eller Windows NT-domän) eller Windows NT Server (i datorarbetsgrupp eller som icke-domänkontrollant i Windows NT-domän) används för att samla alla lokala användarkonton. 834
Lokala grupper Lokala användarkonton görs automatiskt till medlemmar av Användare//Users när de upprättas. Kontot Administratör/ /Administrator är den enda medlemmen i en nyinstallerad Windows NT-dators (av ovan nämnda typ) lokala grupp Användare//Users. q Användare//Users har möjlighet att upprätta lokala grupper på all Windows NT-datorer (även domänkontrollanterna) Gäster//Guests Den sista gruppen, Gäster//Guests, är hem för kontot Gäst//Guest, vilket är ett mycket lurigt konto med stor risk för skadeverkning om det används felaktigt. (Läs mer om kontot Gäst//Guest i kapitel 21.) Inbyggda lokala grupper på Windows NT i en Windows NTdomän När vi hanterar en domän får vi plötsligt två olika uppsättningar lokala grupper en för domänkontrollanterna och en för de Windows NT-datorer som inte är domänkontrollanter (Windows NT Workstation och Windows NT Server som ren server/fristående server/medlemsserver). Inbyggda grupper på icke-domänkontrollanter De Windows NT-datorer i en Windows NT-domän som inte är domänkontrollanter är alla de datorer som har Windows NT Workstation och de datorer som har Windows NT Server som ren server/fristående server/medlemsserver). De har samma inbyggda lokala grupper som Windows NT-datorer i en datorarbetsgrupp: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators q Privilegierade användare//power Users q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Inbyggda lokala grupper på domänkontrollanter Den primära domänkontrollanten och reservdomänkontrollan- 835
23 Användargrupper: lokala, globala och specialgrupper terna i en Windows NT-domän delar på samma kontodatabas (domänens kontodatabas). Deras uppsättning inbyggda lokala grupper skiljer sig från icke-domänkontrollanters genom att Microsoft försett dem med fler grupper tänkta att hjälpa till med administrationen av domänen: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators q Serveransvariga//Server Operators q Kontoansvariga//Account Operators q Skrivaransvariga//Print Operators q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests När man betraktar de inbyggda lokala grupperna i Windows NT Server i en Windows NT-domän ser man att Microsoft har skickat med ett antal olika lokala grupper, med namn som antyder administrativ användning (Ansvariga // Operators). Microsoft har försett några av grupperna med magiska användarrättigheter så de kan vara till hjälp vid administration. Den största nyttan av dem har man i ett större nätverk, där administrationen är uppdelad på flera personer. Tyvärr har Microsoft kopplat dessa dolda användarrättigheter till en viss grupp så vi kan inte ge dem till en annan grupp. Lokala grupper på domänkontrollanterna är kontrollantlokala Som nämnts tidigare finns domänens kontodatabas i original på den primära domänkontrollanten (där den är skrivbar) och en skrivskyddad kopia på alla reservdomänkontrollanter de delar alltså på samma kontodatabas. Jag brukar ibland säga att domänkontrollanter bjuder på sin kontodatabas till hela domänens fromma. Det är viktigt att du vet att en domänkontrollant inte har någon egen kontodatabas som bara är dess egen detta utrymme tas helt upp av domänens kontodatabas. En följd av det ovanstående är att de inbyggda lokala grupperna och alla de som upprättas på den primära domänkontrollanten kommer att vara tillgängliga på alla reservdomänkontrollanter 836
Lokala grupper (vid nästa uppdatering av reservdomänkontrollanternas kopia av domänens kontodatabas). Detta gör att jag ofta använder beteckningen kontrollantlokal för de lokala grupperna på den primära domänkontrollanten samma grupp finns ju på alla domänkontrollanter. Administratörer//Administrators Utöver den makt Administratörer//Administrators har på Windows NT-datorer i en arbetsgrupp får de än mer omfattande privilegier i en Windows NT-domän. I denna kan de dessutom: q Upprätta, ändra och ta bort domänkonton q Hantera domänens kontoprinciper q Hantera globala grupper q Göra användarkonton till medlem av gruppen Domänadministratörer//Domain Admins (och Administratörer//Administrators) q Lägga till och ta bort Windows NT-datorer från domänen q Koppla den egna domänen till andra domäner Serveransvariga//Server Operators Serveransvariga//Server Operators har befogenhet att hantera servrar. De kan: q Dela filer och skrivare q Formatera diskar på servrar q Säkerhetskopiera och återlagra säkerhetskopior q Avsluta servrar q Hantera tjänster (starta, stoppa, avsluta) q Hantera Fjärranslutning/RAS (den är en tjänst) Serveransvariga//Server Operators befogenheter är begränsade, de kan exempelvis inte hantera kontodatabasen eller den underliggande kontosäkerheten. När en medlem av gruppen startar Kontohanteraren för domäner//user Manager for Domains kommer hon att ha samma möjligheter som en vanlig användare d.v.s. hon kan upprätta lokala grupper, men i övrigt inte ändra någonting i kontodatabasen eller dess säkerhetsinställningar. 837
23 Användargrupper: lokala, globala och specialgrupper Kontoansvariga//Account Operators Kontoansvariga//Account Operators kan administrera domänens användarkonton och grupper. De kan upprätta, ta bort och ändra: q Användarkonton q Globala grupper q Lokala grupper Kontoansvariga//Account Operators har begränsade möjligheter. De kan inte åsätta användarrättigheter eller ändra någon av följande lokala grupper: q Administratörer//Administrators q Serveransvariga//Server Operators q Kontoansvariga//Account Operators q Skrivaransvariga//Print Operators q Ansvariga för säkerhetskopiering//backup Operators q Kontoansvariga//Account Operators kan inte ändra användar konton som är medlem i Administratörer//Administrators, Domänadministratörer//Domain Admins eller någon av de andra operatörsgrupperna Dessutom kan Kontoansvariga//Account Operators: q Lägga till och ta bort Windows NT-datorer från domänen Använda Kontoansvariga//Account Operators En god användning av Kontoansvariga//Account Operators är om domänen innehåller programsystem med egna administratörer. Låt mig ta Microsoft SQL Server som exempel: enligt uppgift kommer den hemska hanteringen av konton och grupper att försvinna i och med SQL Server 7.0 den kommer att använda de användarkonton och grupper som finns i Windows NT (det har jag längtat efter). Detta innebär att administratörerna i Windows NT-domänen blir ytterst ansvariga även för konton som används i SQL Server. För att bättre fördela arbetet och säkert göra det snabbare kan Windows NT-administratörerna låta dem som har hand om SQL Server 7.0 få ett konto i Kontoansvariga//Account Operators på den primära domänkontrollanten. Med detta konto 838
Lokala grupper kan då SQL Server-administratörerna upprätta nya konton i domänen (tyvärr också avlägsna befintliga konton), upprätta nya globala grupper och på sätt sköta sig själva. Vid behov kan detta domänkonto även göras till medlem av en global grupp som i sin tur görs till medlem av den lokala Administratörer//Administrators. En ytterligare administrativ fördel nås om den dator på vilken SQL Server finns installeras som ren server/fristående server/medlemsserver. Med hjälp av det lokala kontot Administratör//Administrator har SQL Server-administratörerna oinskränkt makt på sin egen dator, men ingen makt i domänen. Tack vare att datorn ändå är med i domänen har Windows NT-administratörerna oinskränkt makt på datorn (utom SQL Server-delarna) genom att Domänadministratörer//Domain Admins är med i den datorns lokala grupp Administratörer//Administrators. Eftersom datorn är en medlemsserver och inte en domänkontrollant är den lätt att flytta till en annan Windows NT-domän eller datorarbetsgrupp om det skulle behövas. Om inte detta är en tulipanaros som man både äter och behåller så vet inte jag. Skrivaransvariga//Print Operators Skrivaransvariga//Print Operators har följande befogenheter att hantera skrivare: q Dela skrivare q Avsluta delning av skrivare q Hantera skrivare (inställningar, m.m.) Skrivaransvariga//Print Operators kan även logga in lokalt på en server och avsluta den. Olika grupper på domänkontrollanter och fristående servrar stökar till det De tre operatörsgrupper som endast finns på domänkontrollanter: Kontoansvariga//Account Operators, Skrivaransvariga//Print Operators och Serveransvariga//Server Operators kan lätt stöka till administrationen i domänen. I ett stort nätverk med flera medlemmar i administratörsgrupperna är man ofta angelägen att använda flera skikt för att varje administratör skall ha rätt makt (inte för litet, inte för mycket) för sina uppgifter. När man delar in de olika administratörslagen och gör deras 839
23 Användargrupper: lokala, globala och specialgrupper konton till medlemmar av de tre operatörsgrupperna kommer man att finna att de har samma privilegier som vanliga användare på de fristående servrar och Windows NT Workstation (alltså icke-domänkontrollanter) som finns i domänen. Detta beror på två saker: q All administrativ kraft är tilldelad lokala grupper q De tre lokala grupperna Kontoansvariga//Account Operators, Skrivaransvariga//Print Operators och Serveransvariga//Server Operators finns inte på fristående servrar och Windows NT Workstation de har med andra ord ingen som helst kraft där Detta måste tas med i beräkningen innan ni delar upp administrationen på operatörsgrupper och när ni skall avgöra om en server skall bli reservdomänkontrollant eller fristående server. Gör ni alla Windows NT Server till domänkontrollant är även dessa tre grupper tillgängliga på dem. Administrativt vill jag kalla detta ett misstag, jag skulle tro att Microsoft glömde dessa grupper när de gjorde om hanteringen av domänkontrollanter och fristående servrar mellan Windows NT Advanced Server 3.1 och Windows NT Server 3.5. I den första versionen av Windows NT Server, Windows NT Advanced Server 3.1, fanns det inga fristående servrar, alla utom den primära domänkontrollanten var tvungna att vara reservdomänkontrollanter. En väg runt denna begränsning kan vara att upprätta en global grupp med namnet Domänoperatörer//Domain Operators som får bestå av alla operatörskonton. Denna grupp görs sedan till medlem av den lokala gruppen Privilegierade användare//power Users eller Administratörer//Administrators på alla icke-domänkontrollanter. Vilken du skall välja av Privilegierade användare//power Users och Administratörer//Administrators beror på dina behov. Vilka verktyg kan operatörsgrupperna använda Det kan vara till hjälp att tänka på de olika operatörsgrupperna utifrån de administrationsverktyg de kan använda. När jag skriver använda menar jag använda hela verktyget (eller åtminstone med endast små inskränkningar). Lokal grupp Verktyg 840
Lokala grupper Ansvariga för säkerhetskopiering/- Backup//Backup (säkerhetskopi- /Backup Operators eringsverktyget) Serveransvariga//Server Operators Serverhanteraren//Server Manager Kontoansvariga//Account Operators Kontohanteraren för domäner/- /User Manager for Domains Skrivaransvariga//Print Operators Mappen Skrivare//Printers (även nåbar från Kontrollpanelen/- /Control Panel) Ansvariga för duplicering//replicator Medlemmar i denna grupp (det brukar inte vara fler än en) är tänkta att användas tillsammans med tjänsten Directory [Folder] Replication eftersom specialkontot System//System inte kan användas över nätverket. Kom ihåg att det ofta finns dolda begränsningar i vad olika gruppers medlemmar kan göra. En medlem i Kontoansvariga/ /Account Operators kan inte hantera medlemskap i någon av administratörsgrupperna (mycket bra, tycker jag). Tillverka en knapp administratör Om du gör ett användarkonto till medlem av de flesta operatörsgrupper får du ett konto som kan göra en del av det som en medlem av Administratörer//Administrators. Det kan vara ett sätt att lära upp någon till administratör. Grupper med samma namn har samma privilegier De grupper som finns både på Windows NT Workstation, Windows NT Server och både i datorarbetsgrupp och Windows NT-domän har samma uppsättning privilegier oavsett var de finns, med undantag för några få saker som endast rör domäner (globala grupper, medlemskap i domänen för Windows NT-datorer). Detta gäller grupperna: q Administratörer//Administrators q Ansvariga för säkerhetskopiering//backup Operators 841
23 Användargrupper: lokala, globala och specialgrupper q Ansvariga för duplicering//replicator q Användare//Users q Gäster//Guests Mer om lokala gruppers möjligheter Jag tyckte det verkade lämpligt att avhandla olika lokala gruppers möjligheter och begränsningar i samband med användarrättigheter//user rights, läs mer i nästa kapitel. Snabbjämförelse mellan domänkontrollanter och andra Windows NT-datorer Vad gäller lokala grupper finns det två olika uppsättningar i Windows NT-världen, ur samma urval lokal grupper. Domänkontrollanter i Windows NT-domäner har en uppsättning lokala grupper, alla andra Windows NT-datorer en annan. Lokala grupper på domänkontrollanter Lokala grupper på Windows NT-datorer i arbetsgrupp och icke-domänkontrollanter Det finns två olika uppsättningar av samma urval lokala grupper, domänkontrollanter har en uppsättning och alla andra Windows NT-datorer en annan. 842
Lokala grupper Upprätta egna lokala grupper q Inga inbyggda användarrättigheter för ny grupp q Kopierad grupp får inte heller några användarrättigheter Inga inbyggda användarrättigheter för ny grupp Microsofts synsätt vad gäller hantering av globala och lokala grupper bygger på att endast lokala grupper skall ges användarrättigheter och behörighet till resurser. Man kunde då förvänta sig att när man upprättar nya lokala grupper så tilldelas de ett antal standardrättigheter (ex. samma uppsättning som Användare//Users). Så har man inte gjort, nya lokala grupper får inga som helst användarrättigheter. Man måste följaktligen själv alltid se till att varje ny lokal grupp får de användarrättigheter som den behöver. Använder ni någon annan grupphanteringsmodell än Microsofts kan det vara så att nya grupper (lokala eller globala) skall tilldelas användarrättigheterna Åtkomst till den här datorn från nätverket//access this computer from network och Lokal inloggning//log on locally. (Använder ni er av det faktum att alla nya domänkonton görs till medlemmar av Domänanvändare//Domain Users och låter denna grupp fortsätta vara medlem av alla domänmedlemmars lokala grupper Användare//Users behöver nya grupper inte tilldelas någon användarrättighet.) Kopierad grupp får inte heller några användarrättigheter Mallkonton fungerar mycket bra när man vill upprätta nya användarkonton och man skulle önska att man kunde upprätta en mallgrupp för att kunna hantera grupper på samma sätt. Det låter sig inte göra användarrättigheter kopieras inte. Man undrar stillsamt hur de som utformat denna del i Windows NT Server egentligen tänkt och hur mycket erfarenhet av att administrera nätverk de egentligen har. Slutsats Om man ser till att alla användarkonton behåller sitt medlemskap i den globala gruppen Domänanvändare//Domain Users får man inte problem med normala användarrättigheter. Samtliga användarkonton som upprättas i en domän blir alltid medlem av gruppen Domänanvändare//Domain Users. Detta gäller även konton som senare görs till medlemmar av Domänadministratör 843
23 Användargrupper: lokala, globala och specialgrupper er//domain Admins. Gemensamma drag för globala och lokala grupper Globala och lokala grupper har det gemensamt att man kan styra medlemskap i dem. En administratör måste alltså göra ett domänkonto till medlem i en global grupp och måste även göra en global grupp till medlem i en lokal grupp. Detta är en avgörande skillnad mellan, å ena sidan, globala och lokala grupper och, å andra sidan, specialgrupperna. Användarkonton kan vara med i obegränsat antal globala (och lokala) grupper Det finns ingen begränsning i hur många globala grupper ett användarkonto kan vara medlem av. Ett användarkonto kan även vara medlem av ett obegränsat antal lokala grupper, men både Microsofts grupphanteringsmodell och globalgruppsmetoden avråder från att göra användarkonton till medlemmar av lokala grupper. Byta namn på grupper Det borde vara enkelt att byta namn på grupper (globala eller lokala), men det visar sig vara omöjligt. Om du behöver byta namn på en grupp får du istället göra en ny grupp och låta medlemmarna i den gamla gruppen ingå i den nya. När det är klart behöver du bara leta rätt på de ställen i nätverket där det gamla gruppnamnet används och byta det mot den nya gruppens namn. De nya gruppen har ju en annan SID än den gamla och det är endast gruppens SID som sparas i behörighetslistor och andra ställen (tack för det, Microsoft ). Inaktivera grupper Det finns inget enkelt sätt att inaktivera grupper i Windows NT. Men, om vi med inaktivera menar att gruppen inte skall användas på en tid för att senare tas bort eller återinsättas i tjänst finns det sätt att kringgå det hela vi gör en ny temporär grupp i vilken vi gör alla befintliga gruppmedlemmar till medlemmar; töm gruppen som skall inaktiveras på gruppmedlemmar; låt den fortsätta vara medlem av lokala grupper och ingå i behörighetslistor. Så länge den inte har några medlemmar är den inaktiverad. 844