Mentre gli account utente sono concepiti per i singoli utenti, i gruppi sono concepiti per fornire un'amministrazione semplificata di più utenti. Molto semplicemente, i gruppi sono contenitori di utenti.
In un dominio Active Directory, i gruppi possono essere di due tipi:
- Gruppi di protezione (Security Groups)
- Gruppi di distribuzione (Distribution Groups)
Ai primi possono essere associati descrittori di protezione, pertanto vengono impiegati per distribuire l'accesso agli oggetti ed alle risorse del dominio. I secondi sono utilizzate esclusivamente come liste di distribuzione per la posta elettronica.
Ambito dei gruppi
L'ambito di un gruppo ne caratterizza i privilegi e le funzionalità rispetto alla struttura del dominio o dell'intera foresta di domini. Qualsiasi gruppo, sia di protezione che di distribuzione, ha un suo ambito.
Esistono tre ambiti di gruppo:
- universale
- globale
- locale al dominio
La portata dell'ambito si determina anche in base all'impostazione del livello di funzionalità del dominio, secondo criteri riportati nella tabella che segue. Per i dati inseriti in tabella si presuppone che il livello di funzionalità del dominio sia impostato su Windows 2000 nativo o Windows Server 2003. Quando il livello di funzionalità del dominio è impostato nella modalità mista di Windows 2000 o nella modalità interim di Windows Server 2003, non è possibile creare gruppi di protezione con ambito universale.
Ambiti dei gruppi |
Il gruppo può contenere… |
Al gruppo possono essere assegnate autorizzazioni in… |
L'ambito del gruppo può essere convertito in… |
Universale |
Semplificando, i gruppi con ambito universale possono contenere qualsiasi utente e/o gruppo nello stesso insieme di strutture, escluso gruppi con ambito locale al dominio.
|
Qualsiasi dominio o insieme di strutture |
|
Globale |
Semplificando, i gruppi con ambito globale possono contenere esclusivamente account e gruppi globali dello stesso dominio di appartenenza.
|
Le autorizzazioni ai membri possono essere assegnate in qualsiasi dominio |
Universale (se non è un membro di un altro gruppo globale) |
Locale al dominio |
|
Le autorizzazioni ai membri possono essere assegnate solo all'interno dello stesso dominio. Non possiamo assegnare ad un gruppo locale al dominio l'accesso a risorse presenti in un dominio diverso. |
Universale (se non esistono altri gruppi locali del dominio come membri) |
Modifica dell'ambito dei gruppi
Quando si crea un nuovo gruppo, per impostazione predefinita il gruppo viene configurato come gruppo di protezione con ambito globale, indipendentemente dal livello di funzionalità corrente del dominio. Non è possibile modificare l'ambito di un gruppo nei domini con livello di funzionalità impostato su Windows 2000 misto, mentre nei domini con livello di funzionalità impostato su Windows 2000 nativo o su Windows Server 2003 sono consentite le conversioni seguenti:
- Da globale a universale, solo se il gruppo da modificare non è membro di un altro gruppo con ambito globale.
- Da locale di dominio a universale, solo se tra i membri del gruppo da modificare non è presente un altro gruppo locale.
- Da universale a globale, solo se tra i membri del gruppo da modificare non è presente un altro gruppo universale.
- Da universale a locale di dominio.
La modifica può essere eseguita in due modi:
- Utilizzando l'interfaccia di Windows
- Aprire Utenti e computer di Active Directory.
- Nella struttura della console fare clic sulla cartella o unità organizzativa contenente il gruppo che si desidera convertire in un altro tipo di gruppo.
- Nel riquadro dei dettagli fare clic con il pulsante destro del mouse sul gruppo, quindi scegliere Proprietà.
- In Tipo gruppo della scheda Generale selezionare il tipo di gruppo.
- Utilizzando la riga di comando
- Aprire il prompt dei comandi.
- Digitare:
dsmod groupDNGruppo-secgrp {yes|no}
Quando utilizzare i gruppi con ambito locale al dominio
I gruppi con ambito locale di dominio consentono di definire e gestire l'accesso alle risorse all'interno di un singolo dominio. Andrebbero utilizzati per l'accesso diretto a risorse specifiche non direttamente archiviate in Active Directory: condivisioni di file server, le code di stampa e così via. E' sconsigliato invece il loro uso per assegnare autorizzazioni sugli oggetti Active Directory.
Quando utilizzare i gruppi con ambito globale
Si possono utilizzare i gruppi con ambito globale per gestire oggetti directory che richiedono una manutenzione quotidiana, come gli account utente e gli account computer. Poichè non vengono replicati all'esterno del dominio di appartenenza, gli account di un gruppo con ambito globale possono essere modificati senza che questo crei traffico di replica verso il catalogo globale.
In modalità nativa, i gruppi globali possono essere nidificati tra loro.
Quando utilizzare i gruppi con ambito universale
I gruppi con ambito universale sono utilizzati per consolidare i gruppi utilizzati in più domini. In generale non sono utili in organizzazioni con uno o due domini, mentre presentano diversi vantaggi in realtà più complesse. In quest'ultimo caso, si aggiungono gli account in gruppi globali, quindi si inseriscono questi ultimi in gruppi con ambito universale.