І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материалаДокументы

Содержание


Створення та настройка облікових записів користувачів
User cannot change password
Address, Account
Logon hours
Next. Задайте пароль для першого входу користувача в систему, забороніть користувачу змінювати пароль та зніміть прапорець Disab
Logon Allowed (Вход разрешен)
Properties (Свойства)
Сору То (Копирование)
Profile (Профиль)
4.9 Планування груп безпеки
Подобный материал:
1   ...   20   21   22   23   24   25   26   27   ...   30

Створення та настройка облікових записів користувачів

  1. Створення та настройка облікового запису користувача. (На прикладі користувача User1_1)



    1. Зареєструйтеся на сервері домена Study1.local як Адміністратор.
    2. Запустіть консоль Active Directory – Users and Computers.
    3. Відкрийте контейнер Users та ознайомтеся із існуючими в ньому об`єктами.
    4. Клацніть правою кнопкою миші по значку Users та із контекстного меню виберіть New/User.
    5. У діалоговому вікні New Object – User введіть в якості імені User1_1, а прізвище та по-батькові залишіть пустим.
    6. В поле User logon name введіть User1_1. Натисніть Next.
    7. У поле Password та Confirm Password введіть пароль, що буде використаний при реєстрації за допомогою створеного облікового запису. По вимогам безпеки за замовчуванням в доменi із системою Windows Server 2003 пароль повинен задовольняти наступним вимогам: довжина пароля повинна бути не менше 7 символів, пароль повинен бути складним, тобто містити символи не менше трьох різновидів, таких як велика літера, мала літера, цифра, спеціальний знак.
    8. Встановіть прапорець навпроти рядка User cannot change password для зручності подальшої роботи над лабораторними. (Відповідно до правил безпеки облікових записів необхідно встановлювати вимогу зміни паролю при наступному входженні в систему User mast change password at next logon). Інші перемикачі залишіть в положенні за замовчуванням і натисніть Next.
    9. Відобразиться загальна інформація про нового користувача. Після її перевірки натисніть кнопку Finish. Після чого обліковий запис буде створено.
    10. Викличте вікно властивостей створеного запису та переглянете всі вкладки (особливо вкладки Address, Account, Profile, Telephones, Organization), щоб ознайомитися з іншими відомостями, які входять в облікову інформацію користувача. Необхідну інформацію заповніть.



  1. Створення шаблону для облікових записів. (На прикладі шаблону для користувачів торгівельного відділу домену Kv.study1.local).



    1. Зареєструйтеся на сервері домена Kv.study1.local як Адміністратор і запустіть консоль Active Directory – Users and Computers.
    2. Клацніть правою кнопкою миші по значку Users і із контекстного меню виберіть New/User.
    3. У діалоговому вікні New Object - User введіть в якості імені «_Shop » (торгівельний відділ), а поле прізвища залишіть пустим.
    4. В поле User logon name введіть user і натисніть кнопку Next.
    5. В поле Password та Confirm Password введіть складний пароль, залиште встановленим прапорець User mast change password at next logon та продовжіть натисненням кнопки Next.
    6. Перевірте введені відомості та натисніть кнопку Finish.
    7. Викличте вікно властивостей створеного запису шаблону та заповніть всі поля, що будуть повторюватися в кожному обліковому запису на вкладках Address (Адреса), Organization (Організація), Telephones (Телефони).
    8. На вкладці Account натисніть кнопку Logon hours (Час входу) та залишіть синім період між 8 і 17 годинами. Натисканням кнопки ОК закрийте діалогове вікно властивостей.
    9. Клацніть по створеному запису правою кнопкою миші і з контекстного меню виберіть команду Disable account (Відключити обліковий запис).



  1. Створення облікового запису по шаблону. (На прикладі користувача із торгівельного відділу).



    1. Клацніть по шаблону (_Shop) правою кнопкою миші і з контекстного меню виберіть команду Copy. З'явиться діалог створення нового облікового запису.
    2. Введіть реєстраційне ім'я user1_2, ім'я та прізвище користувача введіть згідно таблиці. Натисніть кнопку Next.
    3. Задайте пароль для першого входу користувача в систему, забороніть користувачу змінювати пароль та зніміть прапорець Disable account.


Зміна параметрів облікового запису користувача

  1. Зміна часу входження в систему.



    1. В діалоговому вікні Properties (Свойства) облікового запису користувача на вкладці Account (Учетная запись) клацніть Logon Hours (Время входа).
    2. В діалоговому вікні Logon Hours (Время входа) виділивши відповідні прямокутники та вибравши Logon Allowed (Вход разрешен) або Logon Denied (Вход запрещен), відмітьте дні та години, по яким доступ повинен бути дозволений або заборонений. Дозволені дні та часи виділяються синім кольором, заборонені дні та часи виділяються білим кольором.
    3. Клацніть кнопку ОК.



  1. Вибір комп’ютерів з яких користувач зможе входити в домен.



    1. В діалоговому вікні Properties (Свойства) облікового запису користувача перейдіть на вкладку Account (Учет­ная запись) та клацніть кнопку Log On To (Вход в).
    2. В діалоговому вікні Logon Workstations (Рабочие станции для входа в систему) ввиберіть перемикач the following computers (только на указанные компьютеры). Після цього введіть ім’я комп’ютера, з якого користувачу дозволяється входити в домен, в поле Computer Name (Имя компьютера). Клацніть кнопку Add (Добавить).
    3. При необхідності введіть імена декількох комп’ютерів в поле Computer Name (Имя компьютера), після чого клацніть кнопку Add (Добавить). Клацніть кнопку ОК.



  1. Встановлення строку дії облікового запису.



    1. На вкладці Account (Учетная запись) діалогового вікна Properties (Свойства), виберіть один из пелічених нижче перемикачів:
  • Never (Не ограничен), якщо немає обмеження в терміні дії облікового запису;
  • End Of (Истекает) (з вказанням дати в сусідньому полі), якщо необхідно, щоб обліковий запис був відключений в кінці вибраного дня.
    1. Клацніть кнопку ОК.


Перевірка облікового запису

  1. Перевірка реєстрації користувачів на робочій станції та на контролері домену.



    1. Після створення облікових записів спробуйте зареєструватися з допомогою будь-якого запису на робочій станції, що знаходиться в домені Kv.study1.local.
    2. Завершіть сеанс на робочій станції та спробуйте зареєструватися під цим обліковим записом на відповідному сервері. Ви побачите повідомлення про те, що локальна політика цієї системи не дає можливості інтерактивної реєстрації. Справа в тому, що ви створили запис із повноваженнями рядового користувача домена, що не повинен працювати за контролером домена та мати можливість що-небудь міняти в його настроюваннях. Політика безпеки дає можливість зареєструватися на контролері домена тільки деяким групам користувачів.



  1. Надання права входу на контролер домену користувачам. (На прикладі користувача User1_1 домену Study1.local.)



    1. Зареєструйтеся на сервері srv1 як Administrator (Администратор).
    2. В дереві консолі Active Directory Uses And Computers (Active Directory — пользователи и компьютеры) відкрийте контейнер Users (Пользователи) та відкрийте вікно властивостей користувача User1_1, після чого перейдіть на вкладку Member Of (Член групп). Клацніть кнопку Add (Добавить). В діалоговому вікні Select Groups (Выбор групп) клацніть кнопку Advanced (Дополнительно).
    3. На наступній сторінці майстра Select Groups (Выбор групп) клацніть кнопку Find Now (Найти). Прокрутіть список груп у вікні та виберіть групу Print Operators (Операторы печати). Клацніть кнопку ОК.
    4. В діалоговому вікні Select Groups (Выбор групп) клацніть кнопку ОК.
    5. Закрийте діалогове вікно властивостей користувача.
    6. Надайте всім користувачам можливість входу на контролери домену.
    7. Увійдіть під різними обліковими записами користувачів на відповідні контролери домену.


Створення профілів користувачів

  1. Створення та перевірка переміщуваного профіля.



    1. Зареєструйтеся на сервері srv2 домена Kv.study1.local як адміністратор.
    2. Відкрийте консоль Active Directory Users And Computers (Асtive Directory — пользователи и компь­ютеры), відкрийте потрібний домен та відкрийте вікно властивостей облікового запису користувача, якому потрібно призначити переміщуваний профіль.
    3. В діалоговому вікні Properties (Свойства) перейдіть на вкладку Profile (Профиль).
    4. На вкладці Profile (Профиль) введіть шлях до папки для зберігання профіля користувача в полі Profile Path (Путь к профилю) в форматі \\Cepвep\Общая_папка\%Username%. Клацніть кнопку ОК.
    5. На диску С сервера srv2 створіть папку із загальним доступом Общая_папка, назва якої відповідає вказаній у шляху до профіля, та надайте групі Authenticated Users повний доступ до неї. Групу Everyone видаліть із списку управління доступом.
    6. Закрийте консоль Active Directory Users And Computers (Асtive Directory — пользователи и компь­ютеры).
    7. Зареєструйтеся на клієнтському комп’ютері під обліковим записом користувача, для якого назначено профіль.
    8. Змініть деякі налаштування робочого середовища: встановіть класичний вигляд головного меню, включіть панель швидкого запуску.
    9. Вийдіть із системи.
    10. Зареєструйтеся під тим же обліковим записом на тій же машині а потім на контролері домену srv2. Зверніть увагу на настройки робочого середовища користувача на різних машинах.
    11. Виконайте зміни робочого середовища та знову перевірте дієвість профіля.



  1. Створення та перевірка обов’язкового профіля.


Створення обов’язкового профіля складається із наступних кроків:
  • Створення шаблона обов’язкового профіля.
  • Визначення розміщення шаблона обов’язкового профіля.
  • Визначення профіля користувача.
  • Призначення профіля конкретному обліковому запису.
  • Настройка профіля користувача як обов’язкового.



    1. Створення шаблона обов’язкового профіля.



      1. Створіть доменний обліковий запис, по імені якого відразу буде видно, що він служить для редагування шаблона обов’язкового профіля, наприклад ProfileTamplate.
      2. На комп’ютері kl1 увійдіть в систему під цим створеним обліковим записом.
      3. Настройте рабочий стіл користувача по Вашому бажанню (встановіть класичний вигляд головного меню та включіть панель швидкого запуску).
      4. Вийдіть із системи.
      5. Також на комп’ютері kl1 увійдіть в систему під обліковим записом Администратор (Administrator).
      6. Виберіть пункт меню Start\Control Panel\System (Пуск\Панель управления\Система)
      7. В діалоговому вікні System Properties (Свойства: Система) перейдіть на вкладку Advanced (Дополнительно). Клацніть кнопку Settings (Параметры) в розділі User Profiles (Профили пользователей).
      8. В діалоговому вікні User Profiles (Профили пользователей) перевірте наявність профіля облікового запису, створеного на етапі 10.1.1. в списку Profiles Stored On This Computer (Профили, хранящиеся на этом компьютере).
    1. Визначення розміщення шаблона обов’язкового профіля.



      1. На системному диску сервера створіть папку для зберігання шаблона обов’язкового профіля. Назва папки повинна бути такою, щоб із неї ясно було зрозуміло її призначення — зберігання шаблону обов’язкового профіля, наприклад Profiles .
      2. Зробіть створену папку загальною. На надайте групі Authenticated Users повний доступ до неї. Групу Everyone видаліть із списку управління доступом.
      3. Відкрийте папку та створіть в ній вкладену папку для зберігання обов’язкового профіля користувача. Назва цієї папки повинна вказувати на те, що вона використовується іменно для зберігання обов’язкового профіля користувача, наприклад Profile_User2_2.



    1. Визначення обов’язкового профіля користувача.



      1. Поверніться до діалогового вікна User Profiles (Профили пользователей), яке залишилося відкритим після створення шаблона обов’язкового профіля користувача на комп’ютері kl1.
      2. В цьому діалоговому вікні виберіть користувача, профіль якого ви бажаєте використовувати в якості обов’язкового, після чого клацніть кнопку Сору То (Ко­пировать). Обліковий запис повинен бути той же самий, який було створено для редагування шаблона обов’язкового профіля.
      3. В ділоговому вікні Сору То (Копирование) введіть шлях до папки, що призначена для зберігання обов’язкового профіля користувача в фор­маті \\Сервер\Общая_папка\Папка_профиля_пользователя.
      4. Клацніть кнопку Change (Изменить) у розділі Permitted To Use (Разрешено использование) та виберіть користувача (або групу), який повинен працювати з обов’язковим профілем. У вікні Select user or group в рядку From this location не забудьте вказати назву домена kv.study1.local.
      5. Повідомлення Confirm Copy (Подтверждение копирования) попереджує про те, що вказана папка вже існує та її вміст буде видалено. Справа в тому, що Ви вже створили папку для профіля раніше. Клацніть кнопку Yes (Да).
      6. В діалоговому вікні User Profiles (Профили пользователей) клацніть кнопку ОК. В діалоговому вікні System Properties (Свойства: Система) клацніть кнопку ОК.
    1. Призначення обов’язкового профіля конкретному обліковому запису



      1. На сервері srv2 відкрийте консоль Active Directory Users And Computers (Асtive Directory— пользователи и компьютеры).
      2. Відкрийте потрібний домен та клацніть дворазово на обліковому запису, якому потрібно призначити обов’язковий профіль. Можна виділити відразу декілька облікових записів.
      3. В діалоговому вікні Properties (Свойства) облікового запису перейдіть на вкладку Profile (Профиль).
      4. На вкладці Profile (Профиль) введіть шлях до папки, яка була створена для зберігання обов’зкового профіля, в поле Profile Path (Путь к профилю). Використовуйте формат \\Сервер\Общая_папка\Папка_профиля_пользователя. Клацніть кнопку ОК.
      5. Закрийте консоль Active Directory Users And Computers (Active Directory — пользователи и компьютеры).



    1. Настройка профіля користувача як обов’язкового



      1. Відкрийте папку My Computer (Мой компьютер).
      2. Відкрийте папку з обов’язковим профілем на системному диску.
      3. Відкрийте вкладену папку з обов’язковим профілем.
      4. Відкрийте пункт меню Tools\Folder Options (Сервис\Свойства папки).
      5. В діалоговому вікні Folder Options (Свойства папки) перейдіть на вкладку View (Вид).
      6. На вкладці View (Вид) встановіть прапорець Show Hidden Files And Folders (Показывать скрытые файлы и папки) та зніміть прапорець Hide Extensions For Known File Types (Скрывать расширения для зарегистрированных типов файлов). Клацніть кнопку ОК.
      7. У вікні вкладеної папки, де зберігається обов’язковий профіль, найдіть файл ntuser.dat змініть розширення файлу з ntuser.dat на ntuser.man, посля чого натисніть клавишу Enter.
      8. Закрийте вікно папки.



  1. Перевірка обов’язкового профіля.



    1. Зареєструйтеся під обліковим записом користувача на клієнтській машині та на сервері, зверніть увагу на вигляд робочого середовища. Вийдіть із ситеми.
    2. Зареєструйтеся під обліковим записом користувача на клієнтській машині та виконайте зміну робочого середовища на свій смак. Вийдіть із системи.
    3. Зареєструйтеся заново під цим обліковим записом на клієнтській машині та на сервері. Зверніть увагу на те, чи збереглися настройки робочого середовища даного користувача.


4.9 Планування груп безпеки

для надання доступу до ресурсів мережі


Мета: ознайомитися з поняттям груп безпеки та групової стратегії враховуючи вимоги доступу до даних підприємства, а також із методикою організації прав доступа до об`єктів в мережі.


Технічне забезпечення.

Для виконання завдання представлено корпоративну мережу підприємства, доменна структура якої складається із двох дерев Study1.local та Study2.local в складі одного лісу. В склад дерева Study1.local входить домен Study1.local, в якому встановлено два контролери домена srv1 та srv6 та дочірній домен Kv.Study1.local з контролером srv2. В домені Study2.local також встановлено два контролери домена srv3 та srv4. Схематично структура доменів із позначеннями комп’ютерів представлена на рисунку 4.12. Сервери Srv6 та Srv4 можна не включати.





Рис. 4.12 – Схематичне представлення лабораторного стенда

В кожному домені створені облікові записи користувачів домену, параметри яких наведені в таблиці, де також відображена організаційна структура відділів підприємства:



Назва домену

Назва відділу організаційної структури організації

Ім’я входа облікового запису користувача

Пароль

Им’я




Відділ управління

user1_1


Parol_user_1_1

User1_1


Study1.local

Фінансовий відділ

user2_1


Parol_user_2_1

User2_1





Бухгалтерія

user3_1


Parol_user_3_1

User3_1








user4_1


Parol_user_4_1

User4_1





Торгівельний відділ

user1_2


Parol_user_1_2

User1_2


Kv.study1.local




user2_2


Parol_user_2_2

User2_2





Склад

user3_2


Parol_user_3_2

User3_2





Відділ управління

user1_3


Parol_user_1_3

User1_3


Study2.local

ІТ відділ

user2_3


Parol_user_2_3

User2_3





Торгівельний відділ

user3_3


Parol_user_3_3

User3_2








user4_3


Parol_user_4_3

User4_3