Профили бывают трех видов.

Локальный (local) профиль создается Windows 2000/2003 для пользователя при его первом входе в систему и хранится локальном жестком диске. Любые изменения, вносимые в нее, соответственно происходят только на локальном компьютере.

Перемещаемый профиль пользователя представляет копию локального профиля, которая хранится на общем диске. При входе пользователя в систему перемещаемый профиль работает так же, как и локальный. Однако перемещаемый профиль доступен при входе в домен с любого компьютера сети, он хранится на сервере. При выходе из системы все изменения, внесенные в рабочую среду, реплицируются на сервер.

Обязательный профиль – это перемещаемый профиль, который не разрешается изменять пользователю. Он незаконен, если администратору нужно создать стандартную рабочую среду отдельных пользователей или для группы. Пользователи могут вносить изменения в рабочую среду во время работы, но при определении пользователя эти модификации в обязательный профиль записываются. Изменять его может только администратор. Параметры, сохраняемые в профиле пользователя, содержат все настройки и параметры, необходимые для восстановления рабочей среды пользователя.

Группой (group) называется объединение учетных записей и компьютеров. Благодаря группам существенно облегчается администрирование сети: администратор может назначить права доступа множеству пользователей сразу, а не каждому из них в отдельности. В сети с продуманным набором групп администратору практически не приходится назначать права и разрешения индивидуальным пользователям.

Разрешение (permission) определяет диапазон действий, разрешенных пользователю в отношении ресурса – файла, папки или принтера. Наличие права позволяет пользователю выполнять действия связанные с работой системы: изменять системное время, архивировать и восстанавливать файла, локально регистрироваться на компьютере.

В Windows 2000/2003 группы можно создавать как в самостоятельной базе данных учетных записей, так и в службе Active Directory. Локальные группы создаются для администрирования ресурсов одиночного компьютера. Группы Active Directory призваны облегчить пользователям доступ ко всем ресурсам сети.

Группы используются в двух случаях: для решения задач, связанных с защитой данных; группа не имеет отношения к безопасности, служит, например, для рассылки почты.

Для этого в Windows 2000/2003 предусмотрено 2 вида групп – безопасности и распространения. Создавая группу, нужно задать ее тип и область действия, что составляет важную часть администрирования службы Active Directory. Группа, которой вы назначите неправильный тип или область действия, не сможет работать должным образом, причем разобраться в истинных причинах этого сбоя будет нелегко.

Группы безопасности. В Windows 2000/2003 используются только группы безопасности, с помощью которых назначаются разрешения на доступ к ресурсам и права на выполнение действий. Программы, способные работать со службой Active Directory , также могут использовать группы безопасности для решения задач, не связанных с защитой данных, например, для получения информации о пользователях. У группы безопасности есть все возможности группы распространения.

Группы распространения используются для решения задач, не имеющих отношения к безопасности данных, например для рассылки сообщений электронной почты группе пользователей. Назначать разрешения с помощью групп распространения нельзя. Группами распространения могут пользоваться программы, предназначенные для работы со службой Active Directory , например Microsoft Exchange Server.