І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материала

Документы

Содержание 2.11.4. Редагування облікових записів 2.12. Профілі користувачів Вміст профілю користувача Типові папки, що зберігаються в профілі користувача 2.12.2. Види профілів Переміщувані профілі Обов'язкові профілі Тимчасові профілі 2.13. Групи користувачів 2.13.2. Види груп 2.13.3. Область дії групи Правила членства в групах різної області дії В доменах із власним режимом роботи Windows 2000 або Windows Server 2003, група може містити Регіональні менеджери

Подобный материал:

• На правах рукописи, 1970.76kb.
• Телефон: +7-902-991-3258 (сотовый), 18.27kb.
• 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
• Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
• Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
• План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
• Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
• Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
• Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
• Безпека, 3519.8kb.

2.11.4. Редагування облікових записів


Зміни в організації або в складі персоналу тягнуть за собою редагування облікових записів користувачів. До змін записів, які впливають на їх функціональність, відносять переіменування, відключення, включення та видалення. Також часто виникає необхідність розблокувати обліковий запис.

Переіменування облікового запису здійснюється в тому випадку, коли він виділяється іншому користувачеві при необхідності зберегти всі права, дозволи та членство в групах для цього облікового запису. Наприклад, якщо новий працівник фінансового відділу замінює старого, звільненого з компанії, досить змінити ім'я, прізвище та ім'я входу згідно із даними нового працівника.

Відключення та включення облікового запису необхідно здійснювати, коли відомо, що користувач не буде працювати з ним протягом тривалого часу, але коли-небудь цей запис йому знадобиться знову. Наприклад, якщо користувач іде у відпустку на два місяці, його запис варто відключити. Коли він повернеться, досить буде знову включити його запис, і користувач зможе знову увійти в мережу.

Обліковий запис користувача потрібно видаляти в тому випадку, коли співробітник звільняється з організації та переіменовувати його запис не планується. Можна спочатку відключити такий запис, а видалити його, тоді, коли стане зрозуміло, що цей запис більше не знадобиться. В такому випадку закривається доступ до ресурсів, з якими працював звільнений користувач, але зберігається можливість видати цей запис іншому користувачеві.

Якщо користувач не може ввійти в домен або на локальний комп'ютер, причина може бути в тому, що його обліковий запис був заблокований груповою політикою внаслідок здійснення їм деяких порушень, наприклад, при перевищенні встановленого обмеження на кількість невдалих спроб введення пароля (поняття Групова політика буде розглянуто в главі 2.19). У цьому випадку необхідно розблокувати цей запис, а можливо, і перевстановити пароль. Заблокувати обліковий запис користувача спеціально неможливо, якщо необхідно запобігти здійсненню входу по цьому запису, його потрібно відключити.

Необхідність у перевстановленні паролів виникає, коли користувач забуває змінити свій пароль до закінчення терміну дії цього пароля, або коли користувач забуває свій пароль. Щоб перевстановити пароль, непотрібно знати старий пароль. Після перевстановлення пароля, він буде нікому не відомий, у тому числі і адміністратору. Це підвищує рівень безпеки, запобігаючи поширенню інформації про паролі.


2.12. Профілі користувачів


2.12.1. Загальні відомості про профілі користувачів


Профіль користувача — це сукупність папок і даних, що містять інформацію про поточне оточення робочого стола користувача, настройках додатків, а також особисті дані. Профіль користувача містить також відомості про всі мережеві з'єднання, які встановлюються при вході користувача в систему, зокрема, про пункти меню Пуск і мережеві диски. На комп'ютерах, що працюють під керуванням Windows Server 2003, профіль користувача автоматично забезпечує зберігання настроювань робочого середовища користувача на локальному комп'ютері.

Профіль користувача містить настройки та параметри користувачів - знімок його робочого середовища. Нижче наведений приклад набору настроювань із деякого профілю:


Таблиця 2.1

Вміст профілю користувача

Параметри	Джерело
Всі настроювання користувача для Провідника	Windows Explorer (Проводник)
Документи користувача	My Documents (Мои документы)
Зображення користувача	My Pictures (Мои рисунки)
Ярлики вибраних веб-сторінок	Favorites (Избранное)
Створені користувачем мережеві диски	Мережеві диски
Ярлики для інших комп'ютерів тієї ж мережі	My Network Places (Сетевое окружение)
Елементи робочого стола і ярлики	Вміст робочого столу
Настроювання кольорів екрана та параметри відображення тексту	Кольори та шрифти

Продовження табл.2.1

Дані додатків і настроювання користувача	Папка Application data і кущі реєстру
Підключення до мережевих принтерів	Printer settings (Принтеры)
Всі настроювання користувача Панелі керування	Control Panel (Панель управления)
Параметри програм користувача із середовища Windows, включаючи Калькулятор, Блокнот і Paint	Accessories (Стандартные)
Настроювання Користувача для програм, написаних для Windows Server 2003	Програми сімейства Windows Server 2003
Закладки Довідкової системи Windows Server 2003	Закладки довідкової системи користувача

Локальні профілі користувачів зберігаються в папці C:\Documents and Settings, де С - буква системного диска. Якщо Windows Server 2003 була встановлена поверх Windows NT 4, локальні профілі будуть розташовуватися в папці %Systemroot%\Profiles. Переміщувані профілі користувачів зберігаються в загальній папці на сервері. В таблиці 2.2 перераховані типові папки, що входять до складу профілю користувача.


Таблиця 2.2

Типові папки, що зберігаються в профілі користувача

Папка	Зміст
Application data	Дані різних програм (наприклад, особисті словники). Виробники програм самі вирішують, що саме їм варто зберігати в профілі користувача
Cookies	Відомості про користувача
Desktop (Рабочий стол)	Елементи робочого стола: файли, ярлики і папки
Favorites (Избранное)	Ярлики вибраних веб-сторінок
Local Settings	Папки Application data. History і Temporary files Дані додатків переміщуються разом з користувачем, якщо він використовує переміщуваний профіль
My Documents (Мои документы)	Документи Користувача та вкладені папки

Продовження табл.2.2

My Recent Documents (Недавние документы)	Ярлики недавно використаних документів і папок
NetHood	Ярлики до елементів меню My Network Neighborhood (Сетевое окружение)
PrintHood	Ярлики до елементів папки Printers (Принтери)
SendTo	Ярлики вкладеного меню Send to (Отправить) із контекстного меню
Start Menu (Главное меню)	Ярлики для запуску програм
Templates (Шаблоны)	Шаблони користувача

Папки Application data, Local Settings, My Recent Documents, NetHood, PrintHood, SendTo, Templates є схованими.

Крім того, в профілі користувача зберігається файл ntuser.dat — частина реєстру, що відноситься до користувача. Коли користувач виходить із системи, вона записує вміст куща HKEY_CURRENT_USER у файл ntuser.dat.

Папка My Documents (Мои документы) служить для централізованого зберігання всіх настроювань та особистих документів користувача в одній папці, що входить до складу профілю. Windows Server 2003 автоматично створює папку My Documents, в якій всі програми Microsoft за замовчуванням розміщають дані користувача. Крім того файли і програми користувача можуть розміщуватися в домашніх папках.


2.12.2. Види профілів

Профілі користувача бувають чотирьох видів:

• локальні (local);
  
• переміщувані (roaming);
  
• обов'язкові (mandatory);
  
• тимчасові (temporary).
  

Локальні профілі

Локальний профіль користувача зберігається тільки на одному комп'ютері. Коли користувач входить на клієнтський комп'ютер, система відновлює його настроювання робочого столу та підключення незалежно від того, скільки ще користувачів працюють із цим же комп'ютером разом із ним. Локальний профіль користувача автоматично створюється при його першому входженні на робочу станцію або сервер. Локальний профіль користувача зберігається в папці C:\Documents and Settings \ім'я_входу_користувача, де С - буква системного диска, а ім'я_входу_користувача - ім'я входу користувача.

Змінюючи параметри робочого столу, користувач змінює свій профіль. Коли користувач встановлює нове мережеве з'єднання або додає файл у папку My Documents, зміни вносяться в його профіль відразу ж або при виході із системи. При наступному входженні на той же комп'ютер всі зміни відновлюються.

Для створення локального профілю користувачеві досить просто ввійти в систему

Переміщувані профілі

Якщо користувач працює по черзі на декількох комп'ютерах, йому стане в нагоді переміщуваний профіль. Такий профіль зберігається на сервері та завантажується на локальний комп'ютер при кожному входженні користувача в систему. На відміну від локального профілю, що зберігається тільки на одному комп'ютері, переміщуваний профіль доступний на будь-якій робочій станції або на будь-якому сервері мережі. Зміни вносяться в профіль локально, а потім переносяться на сервер, коли користувач виходить із системи. Переміщуваний профіль створюється системним адміністратором і зберігається в загальній папці на сервері.

При першому входженні користувача на комп'ютер Windows Server 2003 копіює на цей комп'ютер всі документи із сервера. При наступних входженнях на той же комп'ютер Windows Server 2003 порівнює локальні файли профілю з файлами, що зберігаються на сервері. Копіюються тільки ті файли, що змінилися з моменту останнього входу на даний комп'ютер, це скорочує тривалість процедури входження в систему.

Щоб створити переміщуваний профіль, необхідно призначити його обліковому запису користувача.

Переміщувані профілі користувачів найкраще розміщувати на файлових серверах, на яких часто виконується резервне копіювання. Також щоб прискорити процедуру входження в мережу, бажано помістити переміщуваний профіль на звичайному сервері, а не на контролері домена.

Сімейство Windows Server 2003 не підтримує шифрування файлів всередині переміщуваного профілю. Переміщувані профілі, що використовуються із клієнтами Служб теміналів, не копіюються на сервер доти, поки інтерактивний користувач не вийде із системи, і його сеанс не буде закритий.

Обов'язкові профілі

Обов'язковий профіль можна призначити індивідуальному користувачеві або цілій групі. Обов'язковий профіль - це переміщуваний профіль, у який не можна вносити ніяких змін (тобто він доступний тільки для читання). Такий профіль зберігається на сервері і завантажується на локальний комп'ютер кожен раз при входженні користувача в систему. Він доступний на будь-якому комп'ютері мережі. Користувач може змінювати параметри робочого стола на локальному комп'ютері, поки він перебуває в мережі, але ці зміни не зберігаються при виході із системи. При наступному входженні в систему профіль буде таким же, як і при попередньому входженні. Змінювати обов'язкові профілі можуть тільки системні адміністратори.

Щоб створити обов'язковий профіль, необхідно створити шаблон профілю, визначити розміщення цього шаблона, визначити профіль, призначити його обліковому запису користувача, а потім настроїти профіль як обов'язковий.

Створення обов'язкового профіля здійснюється в описаній нижче послідовності:

На етапі створення шаблона обов'язкового профілю потрібно створити доменний обліковий запис, профіль якого і стане цим шаблоном. Обліковий запис створюється тільки для редагування профілю. Це дозволяє змінювати профіль, не використовуючи обліковий запис реального користувача.

Щоб розмістити шаблон обов'язкового профілю, потрібно створити загальну папку, що повинна бути доступна в момент входу користувача в систему.

На етапі визначення обов'язкового профілю користувача, необхідно вибрати шаблон профілю, вказати шлях до створеної для зберігання профілю папки, а потім вибрати користувача або групу, які повинні працювати з обов'язковим профілем. Остання операція виконується на вкладці User Profiles (Профили пользователей) діалогового вікна System Properties (Свойства: Система).

Щоб призначити обов'язковий профіль обліковому запису, потрібно вказати шлях до папки, де зберігається цей профіль, на вкладці Profile (Профиль) діалогового вікна Properties (Свойства) облікового запису користувача.

Щоб зробити профіль обов'язковим, потрібно заборонити редагування файлу ntuser.dat, перейменувавши його в ntuser.man.

Тимчасові профілі

Тимчасовий профіль створюється кожен раз, коли які-небудь неполадки заважають завантаженню профіля користувача по мережі. Наприкінці сеансу роботи із системою тимчасовий профіль видаляється разом із всіма виконаними змінами і створеними файли.


2.13. Групи користувачів


2.13.1. Загальні відомості про групи


Група - це об'єкт Active Directory, що являє собою сукупність облікових записів користувачів. Групи спрощують процес адміністрування, тому що завдяки їм з'являється можливість призначати дозволи та права сукупностям користувачів, а не індивідуально кожному обліковому запису.

Будь-який користувач може бути в декількох групах одночасно. Дозволи управляють доступом користувачів до конкретних ресурсів: папок, файлів, принтерів. Наприклад, якщо декільком користувачам потрібно читати дані з одного файлу, можна додати їхні облікові записи в одну групу, а потім дати цій групі дозвіл на читання з файлу. В групи можна додавати не тільки облікові записи користувачів, але й інші групи, контакти та комп'ютери. Додавання груп в інші групи дозволяє консолідувати їх і ще більше спрощує призначення дозволів.

Включення комп'ютерів у групи спрощує надання системним завданням одних комп'ютерів доступу до ресурсів на інших комп'ютерах.


2.13.2. Види груп


В Active Directory передбачено два види груп, які визначаються метою створення групи - це групи безпеки та групи розповсюдження.

Групи, які створюються з метою призначення їм дозволів для надання доступу до ресурсів відносяться до виду груп безпеки.

Групи розповсюдження призначені для розсилання користувачам повідомлень електронної пошти. Додатки використовують групи розповсюдження як звичайні списки користувачів з метою, що не має відношення до безпеки. Групи розповсюдження не можуть використовуватися для призначення дозволів. Програма може використовувати групи розповсюдження тільки в тому випадку, якщо вона розрахована на роботу з Active Directory. Наприклад, Microsoft Exchange Server може використовувати групи розповсюдження як списки розсилання для відправлення повідомлень електронної пошти.

Програми, що використовують пошук в Active Directory, можуть застосовувати групи безпеки і в інших цілях, наприклад для одержання інформації про користувача для використання у веб-додатку. Таким чином, група безпеки може одночасно виконувати функції групи розповсюдження.

Групи обох видів зберігаються в базі даних Active Directory, що дозволяє використовувати їх у будь-якому місці мережі.

2.13.3. Область дії групи


При створенні групи крім її виду необхідно вказати область дії групи. Область дії групи визначає, в якій частині мережі можна призначати дозволи цій групі. Крім того, область дії групи дозволяє по-різному використовувати групи при призначенні дозволів. Залежно від області дії групи бувають глобальні, локальні в межах домена та універсальні.

Глобальні групи безпеки використовуються для організації користувачів, що пред'являють однакові вимоги доступу до мережі. Глобальна група має наступні характеристики:

• Обмежене членство. У глобальну групу можуть бути додані тільки члени того домена, в якому вона була створена.
  
• Доступ до ресурсів у будь-якому домені. Глобальна група може одержувати дозволи на доступ до ресурсів у будь-якому домені того ж дерева або лісу.
  

Локальні в межах домена групи безпеки, їх ще називають локальні доменні групи, найчастіше використовуються для призначення дозволів доступу до ресурсів. Група, локальна в межах домена, має наступні характеристики:

• Необмежене членство. В групу можуть бути додані користувачі з будь-якого домена.
  
• Доступ до ресурсів в одному домені. Група, локальна в межах домена, може використовуватися тільки для призначення дозволів доступу до ресурсів, що знаходяться в тому ж домені, де була створена ця група.
  

Універсальні групи безпеки найчастіше використовуються для призначення дозволів доступу до ресурсів, розташованих у різних доменах. Універсальна група безпеки має наступні характеристики:

• Необмежене членство. В групу можуть бути додані користувачі з будь-якого домена в тому ж лісі.
  
• Доступ до ресурсів у будь-якому домені. Універсальна група може використовуватися для призначення дозволів доступу до ресурсів, що знаходяться в будь-якому домені того ж лісу.
  
• Підтримуються тільки в доменах, що працюють в основному режимі Windows 2000 або Windows Server 2003. Універсальні групи безпеки недоступні в доменах, що працюють у змішаному режимі Windows 2000.
  

Універсальні групи безпеки і їх члени зберігаються в глобальному каталозі. Універсальна група тимчасово зберігається в розділі каталогу домена, де вона була створена, до тих пір, поки глобальний каталог не проведе запит в домені про внесені зміни. Як тільки глобальний каталог одержує відомості про новий об'єкт, зміни реплікуються в інші глобальні каталоги того ж лісу.

В Windows 2000 зміна одного члена групи з універсальною областю дії приводило до реплікації всіх відомостей про членство в цій групі на всі глобальні каталоги дерева або лісу доменів, що створювало серйозне навантаження на мережу та на процесори. Крім того, якщо членство в групах змінювалося одночасно на декількох контролерах домена, деякі зміни могли бути загублені в процесі вирішення конфліктів реплікації. В домені, що працює в режимі Windows Server 2003, реплікуються тільки дані, що змінилися, це значно скорочує трафік реплікації глобальних каталогів і зменшує ймовірність втрати інформації.

Ті об'єкти, які може містити група визначаються правилами членства в групах. Членами груп можуть бути облікові записи користувачів, інші групи, контакти та комп'ютери. В таблиці 2.3 описані правила членства в групах.


Таблиця 2.3


Правила членства в групах різної області дії

Область групи	В доменах зі змішаним режимом роботи Windows 2000, група може містити	В доменах із власним режимом роботи Windows 2000 або Windows Server 2003, група може містити
Глобальна	Облікові записи користувачів і комп'ютерів з того ж домена	Облікові записи користувачів і комп'ютерів, а також глобальні групи з того ж домена
Локальна в межах домена	Облікові записи користувачів і комп'ютерів, а також глобальні групи з будь-якого домена	Облікові записи користувачів і комп'ютерів, глобальні та універсальні групи з будь-якого домена, локальні в межах домена групи з того ж домена
Універсальна	В доменах із цим режимом роботи недоступна	Облікові записи користувачів і комп'ютерів, глобальні групи та інші універсальні групи з будь-якого домена лісу

Як було відзначено раніше, одні групи можуть містити в собі інші групи.

Добавлення або вкладення (nesting) груп в інші групи допомагає скоротити зусилля по призначенню дозволів. Windows Server 2003 підтримує необмежену вкладеність груп у доменах із власним режимом роботи Windows 2000 або Windows Server 2003.

Наприклад, можна для кожного регіонального відділення організації включити менеджерів кожного регіону у свою власну групу Регіональні менеджери. Потім можна додати кожну групу Регіональні менеджери в групу Всі менеджери. Якщо доступ до деякого ресурсу потрібно всім менеджерам мережі, досить призначити дозвіл групі Всі менеджери. Оскільки вона містить членів всіх регіональних груп менеджерів, то всі менеджери мережі одержать доступ до ресурсу. Ця стратегія полегшує призначення дозволів і децентралізує відстеження членства в групах.

Всі перераховані вище типи груп створюються на рівні домена. Крім них існує також такий тип груп як локальні групи (їх варто відрізняти від локальних доменних груп)

Локальна група - це сукупність облікових записів користувачів на одному комп'ютері. Локальні групи використовуються для призначення дозволів доступу до ресурсів, що знаходяться на тому ж комп'ютері, де створені локальні групи. Windows Server 2003 створює локальні групи в локальній базі даних безпеки.

Локальні групи не можна створювати на контролерах домена, тому що на них немає баз даних безпеки крім Active Directory.

Правила членства в локальних групах такі:

• Локальні групи можуть містити локальні облікові записи користувачів з того ж комп'ютера, на якому була створена локальна група.
  
• Локальні групи не можна включати ні в які інші групи.