Настройка групп пользователей в OS X –

Windows 2000

Права на определение новых
пользователей или создание групп
пользователей делегируются на уровне OU или
контейнера, в котором
создана учетная запись. Администраторы групп
одной организационной единицы не всегда имеют возможность
создавать учетные записи
того же самого домена, но относящиеся к другой
организационной
единице или управлять ими. Однако доменные
правила и права доступа, определенные на более высоких уровнях
каталога, могут быть применены по всему дереву с помощью механизма
наследования.

Существует три способа
делегирования административных полномочий:

• на изменение свойств
определенного контейнера, например, LocalDomainPolicies самого домена;

• на создание и удаление
дочерних объектов определенного типа
(пользователи, группы, принтеры и пр.) внутри OU;

• на обновление
определенных свойств некоторых дочерних объектов внутри OU (например, право устанавливать
пароль для объектов типа User).

Делегировать полномочия
просто. Достаточно выбрать лицо, которому будут делегированы полномочия, и указать,
какие именно полномочия передаются. Интерфейс программы
администрирования Active
Directory позволяет без затруднений просматривать
информацию о
делегировании, определенную для контейнеров.

Детальное назначение прав
доступа

Обычно в большой
организации за обеспечение безопасности и поддержание инфраструктуры сети отвечают несколько
человек или групп.
Следовательно, должна существовать возможность
предоставлять таким
лицам или группам права на исполнение
определенных операций без
права создания дополнительных учетных записей и
воздействия на
свойства других учетных записей.

Архитектурой безопасности
объектов Active Directory используются
дескрипторы защиты Windows NT для контроля за
доступом к объектам. Каждый объект в каталоге имеет уникальный
дескриптор защиты.
Входящий в дескриптор список контроля доступа ACL
(Access Control
List), содержит строки, определяющие разрешение или
запрет на определенные виды доступа для отдельных лиц или
групп. Права доступа
могут быть предоставлены или запрещены в
различной степени. Существуют уровни прав доступа, различающиеся
применением к:

• объекту в целом (при этом
затрагиваются все свойства объекта);

• группе свойств,
определенной наборами свойств внутри объекта;

• отдельному свойству
объекта.

По умолчанию доступ для
чтения и записи ко всем свойствам объекта
получает создатель объекта.

Запрещение или
предоставление доступа к группе свойств удобно
для
определения родственных свойств. Группирование
свойств выполняется соответствующим атрибутом свойства в схеме.
Взаимоотношения
наборов свойств можно изменять, модифицируя
схему.

Наконец, назначение прав
доступа к отдельным свойствам представляет собой наивысший уровень детализации,
применимый ко всем объектам Active Directory.

Контейнерные объекты в
каталоге также поддерживают детализацию
доступа, регламентируя, кто имеет право
создавать дочерние объекты
и какого типа. Например, правило доступа,
определенное на уровне
организационной единицы, может определять, кто
имеет право создавать объекты типа User (пользователи) в этом
контейнере. Другое правило в этой же OU может определять, кто имеет праао
создавать объекты типа Printer.

Новая реализация
редактора списков контроля доступа представляет
собой диалоговое окно, в котором легко
просмотреть или изменить
права доступа к объектам Active Directory; а также задать
права цосг/па
как к отдельным свойствам объектов Active Directory, так
и к наборам
свойств. Кроме того, редактор ACL позволяет
организовывать наследование прав доступа к объектам-контейнерам.

Наследование прав доступа

Наследование прав доступа
означает, что информация об управлении
доступом, определенная в высших слоях
контейнеров в каталоге, распространяется ниже — на вложенные контейнеры и
объекты-листья.
Существуют две модели наследования прав доступа:
динамическая и
статическая. При динамическом наследовании
права определяются
путем оценки разрешений на доступ, назначенных
непосредственно
для объекта, а также для всех родительских
объектов в каталоге. Это
позволяет эффективно управлять доступом к части
дерева каталога,
внося изменения в контейнер, влияющий на все
вложенные контейнеры и объекты-листья. Обратная сторона такой
гибкости — недостаточно высокая производительность из-за времени
определения эффективных прав доступа при запросе пользователя.

В Windows NT реализована
статическая форма наследования прав доступа, иногда также называемая наследованием в
момент создания.
Информация об управлении доступом к
контейнеру распространяется
на все вложенные объекты контейнера. При
создании нового объекта
наследуемые права сливаются с правами доступа,
назначаемыми по
умолчанию. Любые изменения наследуемых прав
доступа, выполняемые
в дальнейшем на высших уровнях дерева, должны
распространяться на
все дочерние объекты. Новые наследуемые права
доступа распространяются на объекты Active Directory в соответствии с тем,
как эти новые
права определены. Статическая модель
наследования позволяет увеличить производительность.

:/>  Блог Nizaury: Не обновляются автоматически окно проводника и рабочий стол.

Элементы безопасности системы

Следующие разделы
посвящены практической работе в системе по реализации политики безопасности: управлению
учетными записями
пользователей и групп, исполнению и
делегированию административных функций4.

Учетные записи пользователей
и групп

Любой пользователь Windows NT
характеризуется определенной учетной записью. Под учетной записью понимается
совокупность прав и
дополнительных параметров, ассоциированных с
определенным
пользователем. Кроме того, пользователь
принадлежит к одной или
нескольким группам. Принадлежность к группе
позволяет быстро и эффективно назначать права доступа и полномочия.

4 Описание приведено в
соответствии с Windows NT 5.0 первой бета-версии.
Именно поэтому часть возможностей, описанных в
предыдущих разделах, но
пока еще не реализованных, здесь не затронута.

Так же, как и в предыдущих
версиях Windows NT, в версии 5.0 имеется
несколько встроенных учетных записей
пользователей и групп. Эти
учетные записи наделены определенными
полномочиями и могут использоваться в качестве основы для новых учетных
записей,

К встроенным учетным
записям пользователей относятся:

Guest — учетная
запись, фиксирующая минимальные привилегии
гостя;

Administrator
встроенная учетная запись для пользователей, наделенных максимальными привилегиями;

Krbtgt — встроенная
учетная запись, используемая при начальной
аутентификации Kerberos.

Кроме них имеются две
скрытые встроенные учетные записи:

System — учетная
запись, используемая операционной системой;

Creator owner
создатель (файла или каталога).

Перечислим встроенные
группы:

• локальные (оставлены для
совместимости)

Account operators;

— Administrators;

— Backup operators;

— Guests;

— Print operators;

— Replicator;

— Server operators;

— Users;

• и глобальные

Domain guests — гости
домена;

Domain Users
пользователи домена;

Domain Admins
администраторы домена.

Помимо этих встроенных
групп имеется еще ряд специальных групп:

Everyone — в эту
группу по умолчанию включаются вообще все
пользователи в системе;

Authenticated users — в
эту группу включаются только аутентифицированные пользователи домена;

Self — сам объект.

Для просмотра учетных
записей используется слепок консоли управленияDirectory Service Manager, в котором надо
выбрать контейнер
Users.

Диалоговое окно Microsoft Management
Console,
слепок, Directory
Service Manager, контейнер Users

По сравнению с предыдущими
версиями Windows NT, отпадает необходимость в отдельном инструменте User Manager или User
Manager for
Domains для управления учетными записями
пользователей и групп.

Для просмотра и
модификации свойств учетной записи достаточно
щелкнуть имя пользователя или группы и на экране
появится диалоговое окноUser Properties.

Диалоговое окно User Properties, вкладка General
Диалоговое окно содержит следующие вкладки:

General — общее
описание пользователя; все параметры необязательные;

Address — домашний и
рабочий адрес пользователя; все параметры
необязательные;

Account
обязательные параметры учетной записи;

Telephone/notes
необязательные параметры;

Organization
дополнительные необязательные сведения;

Membership
обязательная информация о принадлежности
пользователя к группам;

Dial-in — параметры
удаленного доступа;

Object
идентификационные сведения о пользовательском
объекте;

Security
информация о защите объекта.

Необязательные параметры
можно и не вводить, но они полезны при
поиске того или иного пользователя по
второстепенным признакам.

Окно свойств учетной
записи пользователя (вкладкаAccount) во многом похоже на соответствующее диалоговое окно в
User Manager for
Domains.

Диалоговое окно User Properties, вкладка Account
Здесь следует указать:

• характеристики пароля
(должен ли пользователь его изменить при
следующем входе в домен, имеет ли пароль
ограничения по сроку);

• не заблокирована ли
учетная запись;

• срок истечения времени
действия учетной записи;

• профиль пользователя и
его домашний каталог;

• время работы;

• рабочие станции, с
которых допустим вход в домен.

Подробнее см. [I].

Для включения
пользователя в ту или иную группу выберите
вкладку
Membership. Появится список групп, в которые
входит пользователь.
Поскольку, обычно, пользователь может входить в
группы, принадлежащие любому домену в дереве, имена групп
записываются с указанием относительного пути в каталоге Active Directory.

Диалоговое окно User properties, вкладка Membership

Чтобы включить
пользователя в новую группу, выделите ее в списке
и
щелкните кнопкуAdd. Чтобы исключить
пользователя из группы, выделите ее в списке и щелкните кнопкуRemove.

:/>  Простой гайд по тестированию видеокарты в 2022 году — Железо на DTF

Права доступа к
пользовательскому объекту станут доступны для
просмотра и редактирования, если выбрать вкладкуSecurity.
Если рассматриваемый объект не является контейнером, то для
него определяются
наиболее общие разрешения, приведенные в таблице
2-1.

Таблица 2-1

 
Право доступаОписаниеУчетные записи, которым
право доступа
предоставлено по умолчанию
Full Control Read
Write System
Полный доступ
Чтение Запись
Administrators, Account operators,
System

Administrators,
Account operators,
System, Authenticated users. Self

Administrators, Account operators,

Send ToОтправитьAdministrators, Account operators,
System
Send AsОтправить какAdministrators, Account operators,
System, Self
Receive asПринять какAdministrators, Account operators,
System, Self
Force changeФорсироватьAdministrators, Account operators,
passwordсмену пароляSystem
ChangeИзменятьAdministrators, Account operators,
passwordпарольSystem, Self, Everyone

Диалоговое окно User Properties, вкладка Security

Обратите внимание на то,
что доступ можно не только предоставлять
(полеAllow), но и запрещать (полеDeny).
Это позволяет избежать
создания множества дополнительных групп с
наборами прав доступа,
немногим отличающимися друг от друга.

Дополнительно к
перечисленным правам доступа для
пользовательского объекта, определены еще несколько (см. таблицу
2-2).

Таблица 2-2

Право доступаОписаниеУчетные записи, которым
право доступа
предоставлено по умолчанию
List contentsПолныйAdministrators, Account operators,
доступSystem, Authenticated users. Self
Read allЧтение всехAdministrators, Account operators,
propertiesсвойствSystem, Authenticated users. Self
Write allЗапись всехAdministrators, Account operators,
propertiesсвойствSystem
Add/RemoveДобавлятьAdministrators, Account operators,
self as aсамого себя вSystem
memberкачестве члена
DeleteУдалятьAdministrators, Account operators,
System
ReadЧтениеAdministrators, Account operators,
permissionsправ доступаSystem, Authenticated users. Self
ModifyИзменятьAdministrators, Account operators,
permissionsправа доступаSystem
Modify ownerИзменятьAdministrators, Account operators,
владельцаSystem

Чтобы добавить нового
пользователя в организационную единицу (OU),
щелкните ее имя правой кнопкой мыши, выберите в
контекстном меню
командуNew/User. Появится диалоговое окноCreate
User.

w.

Это диалоговое окно во
многом похоже на аналогичное в User Manager
for domains. В нем так же можно указать общее имя
пользователя (сп),
его полное имя, пароль (со сроком действия, если
есть), запрещено ли
использование этой учетной записи. Отличие же
состоит в том, что
теперь, не создав пользователя, нельзя
определить его свойства. Ранее
же такая возможность предоставлялась еще до
фактического добавления учетной записи в базу.

Свойства групп можно
просмотреть так же, как и свойства любого объекта в каталоге: щелкнуть правой кнопкой мыши имя
группы и в контекстном меню выбрать командуProperties.
Перед Вами появится диалоговое окноGroup Properties.

Диалоговое окно Group
Properties,
вкладка General

В диалоговом окнеGroup
Properties
есть вкладки со следующей информацией:

General — общей о
группе, а также список ее членов;

Membership — о том, в
какие группы входит выбранная группа;

Managed by — об
администраторе группы;

Object — об
объекте-группе;

Security — о правах
доступа к объекту-группе.

Список членов группы
представлен в виде относительного имени
пользователей в каталоге, например, domain /Users/Account
Name. Для добавления новых пользователей надо щелкнуть
кнопкуAdd и выбрать
пользователей этого или иного домена.

Диалоговое окно Group
Properties,
вкладка Membership

Напомню, что в предыдущих
версиях Windows NT вложенными могли
быть только глобальные группы, которые
включались в локальные. В
новой версии все группы могут быть вложенными.
Чтобы включить
существующую группу в какую-либо иную, надо в
окне свойств группы
выбрать вкладкуMembership. Перед Вами
появится список групп, в
которые входит выбранная. Так как в общем случае
группы могут принадлежать разным доменам, имена групп
представлены в виде относительного имени объекта в каталоге, например,
domain/Builin/Administ rato rs. Для включения группы в еще одну группу
щелкните кнопку
Add и укажите нужную группу. Для исключения
выбранной группы из
другой — выделите в списке имя той группы,
которую надо покинуть, и
щелкните кнопкуRemove.

Добавление новой группы
выполняется почти так же, как и добавление
нового пользователя. Разница лишь в том, что,
добавляя группу Вы
первоначально указываете только имя объекта.

Домены Windows NT

Управление доменами
(подробно описанное в главе 3) осуществляется
с помощью административной консоли DNS. Вы можете
определить
зоны, прописать полностью определенные имена,
включить в домены
компьютеры и т. п. Сейчас же мы рассмотрим домен
как объект службы
каталогов, нуждающийся в защите от
несанкционированного доступа.

:/>  Как обновить драйвера

Как уже указывалось,
домены объединяются в деревья. Для просмотра
дерева доменов используется специальный слепок
консоли управления
(domain.msc), называемый Domain Tree Management. На рисунке
показано окно консоли с загруженным слепком и одним
доменом в дереве.

Окно консоли управления
с загруженным слепком Domain Tree
Management

Если Вы щелкните имя
домена правой кнопкой мыши, то в появившемся контекстном меню увидите две команды:Manage
и Properties.
Первая вызывает загрузку в консоль слепка DNS Manager, а
вторая имеет
прямое отношение к теме данной главы и позволяет
вывести на экран
диалоговое окноDomain Properties.

Диалоговое окно Domain
Properties,
вкладка General

В диалоговом окнеDomain
Properties
несколько вкладок со следующей информацией:

General — общей, а
также о правилах, используемых в домене и
локально;

Trusts — о
доверительных отношениях явного типа (не Kerberos);

Mode — о режиме
работы домена;

Managed by — общей об
администраторе домена;

Object — об
идентификации доменного объекта в каталоге;

Security — о
параметрах доступа к домену и объекту.

Установление
доверительных отношений явного типа ничем не
отличается от применявшегося в предыдущих версиях: в
верхний список
заносятся имена доменов, которым доверяет данный
домен; а в нижний — имена доменов, которые могут ему доверять.

Диалоговое окно Domain
Properties,
вкладка Trusts

Как уже указывалось, эти
доверительные отношения есть смысл задавать лишь тогда, когда двустороннее транзитивное
доверие Kerberos,
устанавливаемое по умолчанию, не отвечает
безопасности; а также в
случае связи между корневыми доменами деревьев в
лесу (см. главу 1).

Домены могут работать в
двух режимах: «родном» (native) и смешанном
(mixed). При работе в смешанном режиме в домен могут
входить как
контроллеры доменов, на которых установлена
версия Windows NT 5.0,
так и с более ранними версиями.

«Родной» режим работы
допускает включение в домен только контроллеров домена с Windows NT 5.0. В этом режиме появляется
возможность
создания вложенных групп, а также междоменного
членства в группе.

Чтобы перевести домен из
одного режима работы в другой, надо выбрать вкладкуMode и поставить
переключатель в нужное положение.

Информация о домене
представляет собой набор свойств доменного
объекта. Среди свойств есть обязательные,
например, имя домена. А вот

Диалоговое окно Domain
Properties,
вкладка Mode

информация об
администраторе домена — необязательная. С
точки
зрения обеспечения работоспособности она не
имеет никакого значения и поэтому вполне может быть опущена. Однако
предположим, что
Вы желаете найти в дереве все домены, которыми
управляет администратор Петров. Если информация, показанная на
рисунке, не была введена заблаговременно, то поставленная задача
сможет быть решена
только путем личного обращения к администратору
Петрову.

Диалоговое окно Domain
Properties,
вкладка Managed By

Поскольку домен является
контейнерным объектом каталога Active
Directory, к нему применимы те же самые виды доступа,
что и к любому
контейнеру: полный доступ, чтение, запись,
создание и удаление дочерних объектов.

Диалоговое окно Domain
Properties,
вкладка Security

Помимо стандартных, для
каждого домена есть и специфичные права
доступа. В таблице 2-3 приведены некоторые из них,
а также указано,
кому они предоставлены по умолчанию.

Таблица 2-3

Таблица 2-3 (продолжение)

Локальная политика
безопасности

Для редактирования
локальной политики безопасности необходимо в
диалоговом окнеDomain Properties, на вкладкеGeneral
щелкнуть
кнопкуEdit в группеComputer security policy
при включенном флажкеUse a local policy object in this domain. На экране
появится диалоговое окноDefault Local Policy Properties.

Локальная политика
безопасности регламентирует правила безопасности на локальном компьютере. С ее помощью можно
распределить административные роли, конкретизировать
привилегии пользователей,
назначить правила аудита.

Оставьте комментарий

Adblock
detector