І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory
| Вид материала | Документы |
- На правах рукописи, 1970.76kb.
- Телефон: +7-902-991-3258 (сотовый), 18.27kb.
- 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
- Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
- Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
- План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
- Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
- Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
- Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
- Безпека, 3519.8kb.
2.13.4. Групи, що існують за замовчуванням
В Windows Server 2003 є чотири категорії груп, що існують за замовчуванням: це всі групи з папки Builtin (Встроенные), групи з папки Users (Пользователи), групи спеціальних сутностей і локальні групи, що існують за замовчуванням. Всі ці групи є групами безпеки та мають певні права та дозволи, які призначаються користувачам і групам, що додаються до існуючих за замовчуванням груп.
Групи з папки Builtin
Windows Server 2003 створює локальні в межах домена групи за замовчуванням у папці Builtin (Встроенные) консолі Active Directory Users And Computers (Active Directory — пользователи и компьютеры). Групи із цієї папки використовуються головним чином для надання стандартних дозволів користувачам, що виконують в домені адміністративні функції.
Зазначені групи перераховані в таблиці 2.4.
Таблиця 2.4
Існуючі за замовчуванням групи з папки Builtin
| Назва групи | Опис |
| Account Operators (Операторы учета) | Ця група існує тільки на контролерах домена. За замовчуванням вона пуста. За замовчуванням її члени можуть створювати, змінювати та видаляти записи користувачів, груп і комп'ютерів у всіх контейнерах і підрозділах Active Directory, за винятком папки Builtin і підрозділу Domain Controllers (Контроллери домена). Члени групи не мають дозволу на зміну вмісту груп Administrators (Администраторы) і Domain Admins (Администраторы домена), а також на зміну облікових записів членів цих груп |
| Administrators (Администраторы) | Члени цієї групи мають повний і необмежений доступ до комп'ютера або контролера домена, включаючи право зміни своїх власних дозволів. Якщо така група створюється на першому контролері домена, вона автоматично додається в групу Domain Admins (Администраторы домена) і одержує повний доступ до всього домена |
| Backup Operators (Операторы архива) | За замовчуванням ця група пуста. Її члени можуть створювати резервні копії та відновлювати всі файли комп'ютера, незалежно від дозволів, які встановлені для цих файлів. Крім того, вони можуть входити в систему на комп'ютері та виключати його |
| Guests (Гости) | Члени цієї групи мають ті ж права, що і члени групи Users (Пользователи) |
| Incoming Forest Trust Builders (Построители доверия входящих лесов) | Члени цієї групи можуть створювати вхідні односторонні довіри стосовно цього лісу |
Продовження табл. 2.4
| Network Configuration Operators (Операторы настройки сети) | Члени цієї групи мають такі ж права, як і представники групи Users (Пользователи). Вони можуть виконувати настроювання параметрів мережі на клієнтському комп'ютері, за винятком встановлення та видалення драйверів і служб. Вони не мають права настроювати серверні мережеві служби, такі як Domain Name System (DNS) і Dynamic Host Configuration Protocol (DHCP) |
| Performance Log Users (Пользователи журнала производительности) | Члени цієї групи мають віддалений доступ до журналів лічильників продуктивності даного комп'ютера |
| Performance Monitor Users (Пользователи системного монитора) | Члени цієї групи мають віддалений доступ до контролю продуктивності цього комп'ютера |
| Pre-Windows 2000 Compatible Access (Доступ пред- Windows 2000) | Члени цієї групи мають доступ на читання до всіх користувачів і груп домена. Ця група служить для забезпечення зворотної сумісності з комп'ютерами, що працюють під керуванням Microsoft Windows NT 4 і більш ранніх версій |
| Print Operators (Операторы печати) | Ця група існує тільки на контролерах домена. Члени групи можуть управляти принтерами та чергами друку |
| Remote Desktop Users (Пользователи удаленного рабочего стола) | Члени групи можуть входити на комп'ютер з віддалених точок |
| Replicator (Репликатор) | Ця група забезпечує підтримку функцій реплікації каталогу та використовується службою реплікації файлів на контролерах домена. За замовчуванням група пуста. Єдиним членом групи повинен бути доменний обліковий запис користувача, що використовується для входу в службу Реплікатор контролера домена. Не слід додавати в цю групу інших користувачів |
Продовження табл. 2.4
| Server Operators (Операторы сервера) | Ця група існує тільки на контролерах домена. За замовчуванням вона пуста. Члени групи можуть інтерактивно входити в систему на сервері, створювати і видаляти мережеві ресурси, запускати і зупиняти служби, виконувати резервне копіювання та відновлення файлів, форматувати жорсткий диск комп'ютера і завершувати роботу системи |
| Terminal Service License Users (Пользователи лицензий служб терминалов) | Сервери ліцензій служб терміналів |
| Users (Пользователи) | Члени цієї групи не мають прав і можливостей для внесення змін у масштабі всієї системи. Вони можуть запускати деякі додатки, використовувати принтери, завершувати роботу комп'ютера і знову включати його, використовувати мережеві ресурси, до яких у них є доступ. Вони не можуть робити загальними папки свого комп'ютера або встановлювати принтери. За замовчуванням членом цієї групи є група Domain Users (Пользователи домена) |
| Windows Authorization Access (Группа авторизации доступа Windows) | Члени цієї групи мають доступ до атрибута tokenGroupsGlobalAndUniversal об'єктів Користувачів |
Групи з папки Users
Windows Server 2003 створює групи безпеки в папці Users (Пользователи) консолі Active Directory Users And Computers (Active Directory — пользователи и компьютеры). Групи із цієї папки використовуються головним чином для призначення дозволів за замовчуванням користувачам, що виконують в домені певні адміністративні функції. В таблиці 2.5 перераховані групи, що існують за замовчуванням у папці Users.
Таблиця 2.5
Групи, що існують за замовчуванням у папці Users
| Назва групи | Опис |
| Групи, локальні в межах домена | |
| Cert Publishers (Издатели сертификатов) | Члени цієї групи мають право публікувати сертифікати в Active Directory |
| DnsAdmins | Члени цієї групи мають адміністративний доступ до служби сервера DNS |
| HelpServicesGroup | Ця група дозволяє адміністраторам встановлювати дозволи, що підходять для всіх додатків підтримки. За замовчуванням до складу цієї групи входить тільки один член — обліковий запис, пов'язаний з додатками служби підтримки Microsoft, такими як Microsoft Remote Assistance (Удаленный помощник). Вона обслуговується автоматично службою Довідки та підтримки |
| RAS and IAS Servers (Серверы RAS и IAS) | Серверам, що входять в цю групу, надається доступ до властивостей віддаленого доступу користувачів |
| TelnetCtients | Члени цієї групи мають доступ до сервера Telnet у даній системі |
| Глобальні групи | |
| DnsUpdateProxy | Члени цієї групи є клієнтами DNS, яким дозволено виконувати динамічні відновлення від імені деяких інших клієнтів (таких як сервери DHCP) |
| Domain Admins (Администраторы домена) | Члени цієї групи можуть виконувати адміністративні операції на будь-якому комп'ютері домена |
| Domain Computers (Компьютеры домена) | До цієї групи відносяться всі робочі станції і сервери, приєднані до домену. За замовчуванням будь-який обліковий запис комп'ютера, створений в домені, автоматично додається в цю групу |
Продовження табл. 2.5
| Domain Controllers (Контроллеры домена) | В цю групу входять всі контролери домена |
| Domain Guests (Гости домена) | В цю групу входять всі гості домена |
| Domain Users (Пользователи домена) | В цю групу входять всі користувачі домена. Будь-який створений в домені обліковий запис користувача автоматично додається в цю групу |
| Group Policy Creator Owners (Владельцы-создатели групповой политики) | Члени цієї групи можуть змінювати групову політику даного домена |
| Універсальні групи | |
| Enterprise Admins (Администраторы предприятия) (тільки на контролерах кореневого домена лісу) | Члени цієї групи є адміністраторами всієї мережі (всіх доменів) |
| Schema Admins (Администраторы схемы) (тільки на контролерах кореневого домена лісу) | Члени цієї групи є адміністраторами схеми |
Групи спеціальних сутностей
Групи спеціальних сутностей, які в Microsoft Windows NT називалися просто спеціальними групами, існують на всіх комп'ютерах, що працюють під керуванням Windows Server 2003. Членство в цих групах контролюється операційною сиcтемою.
Для цих груп можна встановлювати дозволи на доступ до ресурсів, але немає можливості переглядати або змінювати їхній склад. Спеціальні групи не відображаються в списках груп, і включати їх в склад інших груп також неможливо. Поняття області дії до груп спеціальних сутностей не застосовується. В Windows Server 2003 членство в групах спеціальних сутностей визначається тим, як комп'ютер використовується, а не тим, хто з ним працює.
В таблиці 2.6 перераховані найбільш широко використовувані групи спеціальних сутностей.
Таблиця 2.6
Групи спеціальних сутностей
| Назва групи | Опис |
| Anonymous Logon (Анонимный вход) | В цю групу входять всі користувачі, які не вказали ім'я та пароль при вході в систему |
| Authenticated Users (Прошедшие проверку) | В цю групу входять всі користувачі, які були перевірені при вході в систему. В цю групу не входить обліковий запис Guest (Гость), навіть якщо йому призначений пароль |
| Dialup (Удаленный доступ) | В цю групу входять всі користувачі, які ввійшли в систему по комутуємому з’єднанню |
| Enterprise Domain Controllers (Контроллеры домена предприятия) | До складу цієї групи входять всі контролери доменів лісу |
| Everyone (Все) | На комп'ютерах з Windows Server 2003 в цю групу входять члени груп Authenticated Users (Прошедшие проверку) і Domain Guests (Гости домена). На комп'ютерах з попередніми версіями Microsoft Windows в групу входять Authenticated Users (Прошедшие проверку), Domain Guests (Гости домена) і члени групи Anonymous Logon (Анонимный вход) |
| Interactive (Интерактивные) | В цю групу входять всі користувачі, що ввійшли в систему локально або через підключення до віддаленого робочого столу |
| Network (Сеть) | В групу входять всі користувачі, які ввійшли в систему через мережеве з'єднання |
Продовження табл. 2.6
| Service (Служба) | В групу входять всі учасники безпеки (користувачі, групи, комп'ютери), що ввійшли в систему в якості служби |
| Terminal Server User (Пользователь сервера терминалов) | При установці Служб терміналів у режимі надання додатків, в цю групу входять всі користувачі, що ввійшли в систему через сервер терміналів. Якщо ж Служби термінал встановлені в режимі віддаленого адміністрування, користувачі, що ввійшли на сервер терміналів, не додаються до цієї групи |
Підвищення безпеки анонімних користувачів
Операційні системи Windows NT і Windows 2000 перевіряють всіх користувачів по базі даних домена, а всі потенційні анонімні користувачі стають членам групи Everyone (Все), тому що групи Authenticated Users (Прошедшие проверку), Anonymous Logon (Анонимный вход) і Domain Guests (Гости домена) автоматично додаються в групу Everyone. Членство в групі Everyone дає анонімним користувачам доступ до об'єктів Active Directory. Щоб зробити контроль доступу до ресурсів більш жорстким необхідно видалити групу Everyone зі списку керування доступом до ресурсу.
В Windows Server 2003 група Anonymous Logon (Анонимный вход) більше не додається в групу Everyone. Тому анонімні користувачі, що намагаються звернутися до ресурсів на такому комп'ютері, будуть відкинуті. Якщо анонімним користувачам потрібний доступ до ресурсів, необхідно явно додати групу Anonymous Logon у список керування доступом і встановити для неї необхідні дозволи. Якщо анонімними користувачам необхідно надавати доступ до всіх ресурсів, можна змінити новий параметр безпеки Windows Server 2003 для групи Everyone, включивши групову політику Network Access: Let Everyone permissions apply to anonymous users (Сетевой доступ: разрешить применение разрешений для всех к анонимным пользователям), що міститься в папці Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности). Докладніше про групову політику буде розглянуто в подрозділі 2.19.
Вбудовані локальні групи
На всіх автономних серверах, серверах-членах домена та робочих станціях з Windows ХР Professional є вбудовані локальні групи. Ці групи створені для надання користувачам прав на виконання системних завдань в рамках одного комп'ютера, таких як резервне копіювання та відновлення файлів, зміна часу і дати, адміністрування системних ресурсів. Windows Server 2003 поміщає вбудовані локальні групи в папку Groups (Группы) оснастки Local Users and Groups (Локальные пользователи и группы) консолі Computer Management (Управление компьютером). В таблиці 2.7 описані права членів найбільш часто використовуваних вбудованих локальних груп. За замовчуванням ці групи не мають членів (за винятком явно обумовлених випадків).
Таблиця 2.7
Вбудовані локальні групи
| Група | Опис |
| Administrators (Администраторы) | Члени цієї групи можуть виконувати на своєму комп'ютері будь-які адміністративні завдання. За замовчуванням в цю групу входить вбудований обліковий запис Administrator (Администратор). Коли сервер приєднується до домену, Windows Server 2003 додає в цю групу визначену глобальну групу Domain Admins (Администраторы домена) |
| Backup Operators (Операторы Архива) | Члени цієї групи можуть використовувати програму Windows Backup (Архивация) для резервного копіювання і відновлення файлів, що містяться на даному комп'ютері |
| Guests (Гости) | Члени цієї групи можуть виконувати тільки ті завдання, права на які були їм присвоєні явно, і одержують доступ тільки до тих ресурсів, для яких встановлені відповідні дозволи. Зміни робочого середовища, зроблені членами цієї групи, не зберігаються. За замовчуванням до складу цієї групи входить вбудований обліковий запис Guest (Гость) |
| HelpServicesGroup | Члени цієї групи можуть встановлювати права, що відносяться до всіх додатків служби підтримки. За замовчуванням єдиним членом групи є обліковий запис додатків служби підтримки Microsoft. |
| Network Configuration Operators (Операторы настройки сети) | Члени цієї групи можуть змінювати параметри TCP/IP, оновлювати та звільняти TCP/IP адреси |
Продовження табл. 2.7
| Performance Monitor Users (Пользователи системного монитора) | Члени цієї групи можуть контролювати лічильники продуктивності на сервері при локальному або віддаленому вході, не являючись при цьому адміністраторами або членами групи Performance Log Users (Пользователи журналов производительности) |
| Performance Log Users (Пользователи журналов производительности) | Члени цієї групи можуть управляти лічильниками, журналами та оповіщеннями продуктивності на сервері локально або з використанням віддалених клієнтів, не являючись адміністраторами або членами групи Performance Monitor Users groups (Пользователи системного монитора) |
| Power Users (Опытные пользователи) | Члени цієї групи можуть створювати та редагувати локальні облікові записи користувачів на даному комп'ютері, а також відкривати загальний доступ до ресурсів |
| Print Operators (Операторы печати) | Члени цієї групи можуть адмініструвати локальні принтери |
| Remote Desktop Users (Пользователи удаленного рабочего стола) | Члени цієї групи можуть віддалено входити на комп'ютер |
| Terminal Server Users (Пользователи сервера терминалов) | В цю групу входять користувачі, що працюють із Сервером терміналів |
| Users (Пользователи) | Члени цієї групи можуть виконувати тільки ті завдання, права на які були виділені їм явно, і одержують доступ тільки до тих ресурсів, для яких встановлені відповідні дозволи. За замовчуванням Windows Server 2003 додає створені локальні облікові записи в групу Users (Пользователи). Коли сервер приєднується до домену, Windows Server 2003 додає в цю групу визначену групу Domain Users (Пользователи домена) |
2.13.5. Стратегії використання груп
Ефективне використання груп вимагає попереднього планування. Дуже важливо виробити стратегію роботи із групами перед тим, як почати їх створювати.
Перед тим як розглядати можливі стратегії використання груп введемо наступні позначення:
• А - облікові записи користувачів (User Accounts).
• G - глобальні групи (Global groups).
• DL - локальні доменні групи (Domain Local groups).
• U - універсальні групи (Universal groups).
• Р - право доступу (Permission).