В вычислениях термин группа обычно относится к группе пользователей . В принципе, пользователи могут принадлежать ни к одной, одной или нескольким группам (хотя на практике некоторые системы накладывают на это ограничения). Основная цель групп пользователей - упростить контроль доступа к компьютерным системам.
Предположим, что у факультета информатики есть сеть, совместно используемая студентами и преподавателями . Департамент составил список каталогов, к которым студентам разрешен доступ, и еще один список каталогов, к которым персоналу разрешен доступ. Без групп администраторы давали бы каждому студенту разрешение на каждый каталог ученика, а каждому сотруднику - разрешение на каждый каталог сотрудников. На практике это было бы очень неработоспособно - каждый раз, когда приходил студент или сотрудник, администраторам приходилось назначать разрешения для каждого каталога.
С группами задача намного проще: создать группу студентов и группу сотрудников, поместив каждого пользователя в соответствующую группу. Всей группе может быть предоставлен доступ к соответствующему каталогу. Чтобы добавить или удалить учетную запись, нужно сделать это только в одном месте (в определении группы), а не в каждом каталоге. Этот рабочий процесс обеспечивает четкое разделение задач: для изменения политик доступа измените права доступа к каталогам; изменить лиц, подпадающих под действие политики, изменить определения группы.
Использование групп
Основное использование групп:
- Контроль доступа
- Учет - распределение общих ресурсов, таких как дисковое пространство и пропускная способность сети
- Профили конфигурации по умолчанию для каждого пользователя - например, по умолчанию каждая учетная запись персонала может иметь определенный каталог в их PATH
- Выбор контента - отображать только контент, относящийся к членам группы - например, этот канал портала предназначен для студентов, этот список рассылки предназначен для шахматного клуба.
Делегируемое групповое администрирование
Многие системы предоставляют возможности для делегирования группового администрирования. В этих системах при создании группы один или несколько пользователей могут быть названы администраторами группы. Эти администраторы группы затем могут добавлять и удалять других пользователей из группы, не полагаясь на системного администратора.
Некоторые системы также предоставляют группы, к которым можно присоединиться, то есть группы, в которые пользователи могут добавлять себя. Присоединяемые группы не предназначены для использования для управления доступом, а скорее для таких целей, как электронные списки рассылки .
Статические и динамические группы
Многие системы (особенно системы LDAP ) предлагают возможность динамических групп. Традиционно группы статичны: группу определяют, индивидуально выбирая ее членов. Однако в динамических группах администратор может указать критерии поиска. Все пользователи, соответствующие критериям поиска, будут считаться членами этой динамической группы.
Например, можно создать каталог LDAP, используя исходные данные из административной системы учащихся. Система студента может предоставить атрибут degreeCode , который может быть числовым кодом, идентифицирующим программу получения степени, в которой зачислен студент. Предположим, что код степени 55 - бакалавр компьютерных наук . Затем мы могли бы определить группу «BCS-Студенты» как «(degreeCode = 55)» - после определения группы нам не нужно вручную изменять ее членство - ее членство будет изменяться автоматически по мере прохождения обновлений через систему. Можно построить еще более сложные определения: «BCS-Student-1» может быть «(& (degreeCode = 55) (enrollmentYear = 1))» (что означает: пользователь является членом группы «BCS-Students-1» если это правда, они зачислены на программу бакалавриата по информатике, и они учатся на первом курсе - то есть первокурсники по информатике ).
Роли
Некоторые системы (например, серверы LDAP Sun / Netscape / iPlanet ) различают группы и роли. Эти концепции в основном эквивалентны: основное отличие состоит в том, что в группе ее членство сохраняется как атрибут группы; тогда как с ролями членство хранится внутри пользователей в виде списка ролей, которым они принадлежат. По сути, разница заключается в компромиссе в производительности, с точки зрения того, какой тип доступа будет быстрее: процесс перечисления членства в данной коллекции (быстрее для групп) или процесс перечисления, к каким коллекциям принадлежит этот пользователь ( быстрее для ролей).