І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory
| Вид материала | Документы |
- На правах рукописи, 1970.76kb.
- Телефон: +7-902-991-3258 (сотовый), 18.27kb.
- 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
- Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
- Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
- План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
- Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
- Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
- Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
- Безпека, 3519.8kb.
Завдання
Необхідно:
- створити на кожному контролері домену папку із загальним доступом, яка буде містити підпапки для документів користувачів кожного відділу підприємства. Структура папок повинна мати наступний вигляд:
| Назва домену | Назва папки із загальним доступом | Назва підпапки | Призначення |
| Study1.local | Library1 | Management | Для документів користувачів із відділу управління |
| | | Finansi | Для документів користувачів із фінансового відділу |
| | | Byxgalteria | Для документів користувачів із бухгалтерії |
| Kv.study1.local | Library2 | Shop | Для документів користувачів із торгівельного відділу |
| | | Sklad | Для документів користувачів із складу |
| Study2.local | Library3 | Management | Для документів користувачів із відділу управління |
| | | IT | Для документів користувачів із відділу інформаційних технологій |
| | | Shop | Для документів користувачів із торгівельного відділу. |
- Спланувати групову стратегію A--> G--> DL<-- Р, враховуючи вимоги доступу до даних підприємства. Для цього, беручи до уваги фізичну структуру підприємства з належністю кожного користувача до того чи іншого відділу та створену вище структуру даних, організувати глобальні та доменні локальні групи з метою максимального досягнення вимог доступу до даних.
Вимоги доступу до даних мають наступний вигляд:
| Назва домена | Назва папки | Суб’єкти доступу | Дозволені операції |
| Study1.local | Management | Адміністратори домена | Повний доступ |
| | | Користувачі відділу управління цього домену | Читання і редагування |
| | | Користувачі відділу управління домену Study2.local | Тільки читання |
| | Finansi | Адміністратори домена | Повний доступ |
| | | Користувачі фінансового відділу | Читання і редагування |
| Користувачі відділу управління цього домену | Читання і редагування | ||
| | | Користувачі відділу управління домену Study2.local | Тільки читання |
| | Byxgalteria | Адміністратори домена | Повний доступ |
| | | Користувачі бухгалтерії | Читання і редагування |
| | | Користувачі відділу управління цього домену | Тільки читання |
| Kv.study1.local | Shop | Адміністратори домена | Повний доступ |
| | | Користувачі торгового відділу цього домена | Читання і редагування |
| | | Користувачі торгового відділу домена Study2.local | Тільки читання |
| | | Користувачі відділу управління домена Study2.local | Тільки читання |
| | Sklad | Адміністратори домена | Повний доступ |
| | | Користувачі складу | Читання і редагування |
| | | Користувачі відділів управління домену Study1.local та домену Study2.local | Тільки читання |
| Study2.local | Management | Адміністратори домена | Повний доступ |
| | | Користувачі відділу управління цього домену | Читання і редагування |
| | | Користувачі відділу управління домену Study1.local | Тільки читання |
| | ІТ | Адміністратори домена | Повний доступ |
| | | Користувачі відділу ІТ | Читання і редагування |
| | | Користувачі відділу управління домену Study1.local та Study2.local | Тільки читання |
| | Shop | Адміністратори домена | Повний доступ |
| | | Користувачі торгового відділу цього домена | Читання і редагування |
| | | Користувачі торгового відділу домена Kv.study1.local | Тільки читання |
| | | Користувачі відділу управління домена Study2.local | Тільки читання |
- встановити права доступу груп користувачів до файлових ресурсів мережі відповідно до заданих вимог доступу.
РЕКОМЕНДАЦІЇ ДО ВИКОНАННЯ РОБОТИ
Організація структури даних підприємства.
- Створіть на контролері домена srv1 папку Library1, на контролері домена srv2 папку Library2, на контролері домена srv3 папку Library3 та встановіть загальний доступ до кожної із цих папок.
- В кожній із папок створіть підпапки згідно структури наведеної в завданні.
Створення груп користувачів, як учасників прав доступу
- Створіть в кожному домені глобальні групи, кожна з яких буде містити працівників окремого відділу. Щодо назви глобальної групи, то вона повинна відображати тип групи та назву відділу, з якого згруповані в ній користувачі, наприклад G_Management.
- Запустіть консоль Active Directory – Users and Computers
- Із контекстного меню контейнеру Users виконайте команду New/Group.
- В діалоговому вікні параметрів групи задайте ім`я групи G_Management та встановіть маркер в позицію Global, натисніть ОК.
- Аналогічним чином створіть всі необхідні глобальні групи.
- Розподіліть необхідні облікові записи користувачів по глобальним групам згідно належності користувачів тому чи іншому підрозділу підприємства. Для цього дворазово клацніть на назві глобальної групи, перейдіть на вкладку Members та натискаючи кнопку Add введіть ім`я облікового запису користувача, який повинен увійти в цю групу або застосуйте механізм пошуку облікового запису користувача, натиснувши кнопку Advanced (Дополнительно), а потім Find now (Найти) у вікні вибору об’єкта пошуку Select users, ontacts, Computers or Groups .
- Запустіть консоль Active Directory – Users and Computers
- Створіть в кожному домені локальні доменні групи, яким в подальшому будуть призначені права доступу до файлових ресурсів згідно вимог доступу до даних. Для цього відносно кожної папки створіть стільки локальних домених груп скільки рівнів доступу існує до цієї папки. Н-д: для папки Management, не враховуючи адміністратора правом повного доступу, існує два рівні доступу: читання та читання і редагування, згідно з цим необхідно створити локальну доменну групу, якій буде надано дозвіл на читання та локальну доменну групу, якій буде надано дозвіл на редагування та читання. Щодо назви локальної доменної групи, то вона повинна відображати тип групи, назву папки, до якої будуть призначені дозволи та ступінь дозволу, наприклад D_Management_Write – локальна доменна група, якій буде надане право на редагування та читання папки Management, D_Management_Read – локальна доменна група, якій буде надане право на читання папки Management.
Щоб забезпечити вимоги доступу користувачів до відповідних файлових об’єктів, включітьв локальні домені групи глобальні групи, які містять відповідних користувачів.
- Запустіть консоль Active Directory – Users and Computers
- Із контекстного меню контейнеру Users виконайте команду New/Group.
- В діалоговому вікні параметрів групи задайте ім`я групи та встановіть маркер в позицію Domain local, натисніть ОК.
- Аналогічним чином створіть всі необхідні локальні доменні групи.
- Включіть у кожну локальну доменну групу глобальні групи, які містять користувачів, що повинні мати права доступу до ресурсів згідно вимог доступу. Для цього виконайте дії аналогічні заповненню глобальних груп тільки замість імені користувача введіть назви тих глобальних груп, які повинні входити в локальну доменну групу або скористайтеся механізмом пошуку об’єктів , натиснувши кнопку Advanced (Дополнительно), а потім Find now (Найти) у вікні вибору об’єкта пошуку Select users, ontacts, Computers or Groups. Якщо необхідно вибрати глобальну групу із іншого домену, то у вікні вибору імені об’єкта в полі From this location потрібно встановити назву домену, з якого вибирається група.
Реалізація прав доступу до файлових ресурсів мережі
Реалізація прав доступу до файлових ресурсів мережі буде основана:
- На відкритті повного доступу до папок Library#, що містять підпапки з документами на мережевому рівні, при цьому, для забезпечення більш надійної захисту, право «Повний доступ» на мережевому рівні необхідно надати не групі «Everyone», а групі «Autenticated Users» - групі, в яку входять облікові записи всіх зареєстрованих користувачів домена за виключенням запису «Гость». Групу «Everyone» доцільно видалити із списку користувачів і груп, які мають доступ до цих папок на мережевому рівні.
- На встановленні обмеження доступу до папок Library# на рівні дозволів NTFS групам користувачів:
- Domain Admins (Адміністратори домена): повний доступ.
- Domain Users (Користувачі): читання, читання та виконання, перегляд вмісту папки.
- Domain Admins (Адміністратори домена): повний доступ.
- На встановленні обмеження доступу до кожної підпапки на рівні дозволів NTFS згідно наведених вимог доступу до даних підпапки.
- Настроювання мережевих дозволів.
- Відкрийте вкладку Sharin у діалоговому вікні властивостей папки Library# і натисніть кнопку Permission. Зі списку суб'єктів доступу видаліть групу Everyone і додайте групу Autenticated Users , якій надайте дозвіл Full control (Повний доступ).
- Створення дозволів NTFS для кореневої папки.
- Зареєструйтеся на сервері як адміністратор.
- Відкрийте вкладку Security у вікні властивостей папки Library#. Натисніть кнопку Advanced та зніміть прапорець Allow inheritable permission from the parent to propagate to this object and all child object... (Наследовать от родительского объекта).
- Зі списку суб'єктів доступу видаліть всіх наявних там користувачів та групи послідовним натисканням кнопки Remove та ОК.
- Замість них додайте в список наступні групи з наступними правами:
• Domain Admins: повний доступ.
• Domain Users: читання, читання й виконання, перегляд вмісту папки.
• Autenticated Users: читання, читання й виконання, перегляд вмісту папки.
- Створення дозволів NTFS для папок підрозділів.
Відповідно до спроектованої структури груп згідно вимог доступу до даних дозволи NTFS будуть налагоджені на локальні доменні групи.
- Відкрийте вкладку Security у вікні властивостей окремої підпапки. Натисніть кнопку Advanced та зніміть прапорець Allow inheritable permission from the parent to propagate to this object and all child object... (Наследовать от родительского объекта).
- На вкладці Security в списку суб'єктів доступу виділіть групу Domain Users і натисніть кнопку Remove та ОК.
- Замість неї додайте в список відповідні локальні доменні групи та при необхідності інші суб’єкти доступу та встановіть їм права, згідно вимог доступу до даних.
- Натисканням на кнопку ОК закрийте діалогове вікно властивостей підпапки.
- Виконайте те ж саме з рештою підпапок настроюючи дозволи згідно вимог доступу до даних.
- Здійсніть перевірку встановлених рівнів прав доступу до підпапок для різних користувачів.
- Завдання для самостійного виконання:
- Надайте користувачам ІТ відділу право на повний доступ до підпапок відділів управління, бухгалтерії та фінансового відділу.
- Скасуйте користувачу User2_2 із торгового відділу домену Kv.srudy1.local право на читання інформації із папки торгівельного відділу домену Study2.local.
- Надайте працівникам торгівельних відділів підприємства право читати інформацію із папки складу.
- Перевірте результати.
4.10. Організація пошуку об’єктів Active Directory
в рамках ієрархічної структури каталога.
Делегування адміністративних повноважень
Мета: навчитися організовувати ієрархічну структуру каталога, переносити облікові записи користувачів по організаційних підрозділах, виконувати пошук об’єктів по заданих властивостях, навчитися зберігати запити пошуку об’єктів довільного змісту, ознайомитися з механізмом делегування адміністративних повноважень.
Технічне забезпечення.
Для виконання завдання представлено корпоративну мережу підприємства, доменна структура якої складається із двох дерев Study1.local та Study2.local в складі одного лісу. В склад дерева Study1.local входить домен Study1.local, в якому встановлено два контролери домена srv1 та srv6 та дочірній домен Kv.Study1.local з контролером srv2. В домені Study2.local також встановлено два контролери домена srv3 та srv4. Схематично структура доменів із позначеннями комп’ютерів представлена на рисунку 4.13. Сервери Srv6 та Srv4 можна не включати.
Рис. 4.13 – Схематичне представлення лабораторного стенда
В кожному домені створені облікові записи користувачів домену, параметри яких наведені в таблиці, де також відображена організаційна структура відділів підприємства:
| Назва домену | Назва відділу організаційної структури підприємства | Ім’я входа облікового запису користувача | Пароль | Им’я |
| | Відділ управління | user1_1 | Parol_user_1_1 | User1_1 |
| Study1.local | Фінансовий відділ | user2_1 | Parol_user_2_1 | User2_1 |
| | Бухгалтерія | user3_1 | Parol_user_3_1 | User3_1 |
| | | user4_1 | Parol_user_4_1 | User4_1 |
| | Торгівельний відділ | user1_2 | Parol_user_1_2 | User1_2 |
| Kv.study1.local | | user2_2 | Parol_user_2_2 | User2_2 |
| | Склад | user3_2 | Parol_user_3_2 | User3_2 |
| | Відділ управління | user1_3 | Parol_user_1_3 | User1_3 |
| Study2.local | ІТ відділ | user2_3 | Parol_user_2_3 | User2_3 |
| | Торгівельний відділ | user3_3 | Parol_user_3_3 | User3_2 |
| | | user4_3 | Parol_user_4_3 | User4_3 |