Адмiнiстрування користувачiв з використанням локальних i глобальних груп
МРЖНРЖСТЕРСТВО ОСВРЖТИ РЖ НАУКИ УКРАРЗНИ
КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМРЖЧНИЙ КОЛЕДЖ
Реферат з предмету: "КомптАЩютернi мережi "
На тему: "Адмiнiстрування користувачiв з використанням локальних i глобальних груп"
Студента групи 1ОКРЖСМ-06
Петренко Михайла
Перевiрила: Дрокiна Т.М.
Краснодон 2009
Змiст
1. Користувачi, ресурси та операцii доступу
Типи користувачiв i груп користувачiв
Типи об'iктiв
Типи операцiй доступу
2. Локальнi, глобальнi i спецiальнi групи
3. Вбудованi групи користувачiв i iх права
4. Можливостi користувачiв
5. Дозволи на доступ до каталогiв i файлiв
6. Керування профiлями користувачiв
7. Аудит
Призначення аудиту
Реалiзацiя полiтики аудита
Адмiнiстрування користувачiв полягаi у створеннi облiковоi iнформацii користувачiв (що визначаi iм'я користувача, приналежнiсть користувача до рiзних груп користувачiв, пароль користувача), а також у визначеннi прав доступу користувача до ресурсiв мережi - комп'ютерiв, каталогiв, файлiв, принтерiв i т.п.
Створення облiковоi iнформацii користувачiв здiйснюiться в мережi Windows NT утилiтою User Manager для локального комп'ютера i User Manager for Domains для всiх компьеров домену. Права доступу до ресурсiв задаються в мережi Windows NT рiзними засобами, залежно вiд типу ресурсу. Можливiсть використання комп'ютерiв Windows NT Workstation в якостi робочих станцiй - за допомогою User Manager for Domains, доступ до локальних каталогiв i файлiв (тiльки для файловоi системи NTFS, що пiдтримуi права доступу) - за допомогою засобiв Windows NT Explorer, до вiддалених роздiляються каталогами - за допомогою Server Manager, доступ до принтерiв - з панелi Printers.
У мережi Windows NT можуть бути визначенi наступнi типи користувачiв та груп користувачiв:
локальний iнтерактивний користувач комп'ютера (користувач, який заведено в локальнiй облiковоi базi даних комп'ютера, i який працюi з ресурсами комп'ютера iнтерактивно);
локальний мережний користувач комп'ютера (користувач, який заведено в локальнiй облiковоi базi даних комп'ютера, i який працюi з ресурсами комп'ютера через мережу);
користувач домену (користувач, який заведено в глобальнiй облiковоi базi даних домену на PDC);
локальна група комп'ютера (може створюватися на всiх комп'ютерах домену, крiм PDC i BDC, в яких вона вироджуiться в локальну групу домену);
локальна група домену - складаiться з користувачiв домену (заводиться тiльки на PDC);
глобальна група домену - складаiться з користувачiв домену (може входити в локальну групу домену).
Для кожного типу груп i деякий набiр вбудованих груп: Administrators, Server Operators, Users, Everyone, DomainUsers та iн
Для однозначноi iдентифiкацii глобальноi групи в багато доменнiй мережi, використовуiться складений ii iм'я, наприклад Marketing \ Managers, де Marketing - iм'я домену, Managers - заради глобальноi групи.
Каталоги та файли. Процедури завдання правил доступу розрiзняються для локальних i подiлюваних (share) каталогiв i файлiв. Операцii: read, full control, change, add,..;
Принтери;
Операцiйна система. По вiдношенню до цього типу об'iктiв визначаються права з виконання рiзних сервiсiв i утилiт: вхiд, архiвування файлiв, змiна конфiгурацii панелей Program Manager,..
Операцii доступу - це дii об'iктiв над суб'iктами. Операцii можуть бути або дозволенi, або забороненi, або взагалi не мати сенсу для даноi пари об'iкта i суб'iкта.
Всi безлiч операцiй подiляiться на пiдмножини, що мають особливi назви:
дозволу (permissions) - це безлiч операцiй, якi можуть бути визначенi для суб'iктiв усiх типiв по вiдношенню до об'iктiв типу файл, каталог або принтер;
права (user rights) - визначаються для об'iктiв типу група на виконання деяких системних операцiй: створення резервних копiй, вимикання комп'ютера (shutdown) i т.п. Права призначаються за допомогою User Manager for Domains;
можливостi користувачiв (user abilities) - визначаються для окремих користувачiв на виконання дiй, пов'язаних з формуванням iх операцiйного середовища, наприклад, змiна складу програмних груп, якi показуються на екранi дисплея, включення нових iкон в Desktop, можливiсть використання команди Run i т.п.
Права та дозволи данi групi автоматично надаються ii членам, дозволяючи адмiнiстратору розглядати велику кiлькiсть користувачiв як одиницю облiковоi iнформацii.
Можливостi користувачiв визначаються профiлем користувача.
Windows NT Server використовуi три типи груп: локальнi, глобальнi i спецiальнi. Кожен тип маi своi призначення, можливостi та обмеження.
Локальна група може визначатися для домену або для комп'ютера. Локальнi групи дають користувачам права та дозволи на ресурси того комп'ютера (або сайти), де зберiгаiться облiкова iнформацiя локальноi групи. Доступ до ресурсiв комп'ютера - Windows NT Workstation або Windows NT Server можуть бути визначенi тiльки для членiв локальноi групи цього комп'ютера, навiть якщо цi комп'ютери i членами домену. Наприклад, доступ до ресурсiв сервера Windows NT Server 2 на малюнку 1 може бути визначений лише для користувачiв, облiковi данi яких зберiгаються в SAM 2 цього комп'ютера.
Так як база SAM PDC копiюiться на всi BDC домену, то користувачi, визначенi в PDC, можуть мати права на ресурси як PDC, так i всiх BDC домену.
Доступ до ресурсiв комп'ютера для користувачiв домену забезпечуiться за рахунок механiзму включення в локальну групу окремих користувачiв домену i глобальних груп домену. Включенi користувачi та групи отримують тi ж права доступу, що й iншi члени цiii групи. Механiзм включення глобальних груп в локальнi i основним засобом централiзованого адмiнiстрування прав доступу в доменi Windows NT.
Локальна група не може мiстити iншi локальнi групи. Тому в мережi, що використовуi модель робочоi групи немаi можливостi визначити на одному комп'ютерi всiх користувачiв мережi та надавати iм доступ до ресурсiв iнших комп'ютерiв.
Рис. 1. Приклад глобальноi групи
У будь-якому випадку локальна група об'iднуi деяке число користувачiв i глобальних груп, яким присвоюiться загальне iм'я - iм'я локальноi групи. Локальнi групи можуть включати користувачiв i глобальнi групи не тiльки цього домену, але i будь-яких довiряiмо доменiв.
Windows NT Workstation i Server пiдтримують кiлька вбудованих локальних груп для виконання системних завдань. Адмiнiстратор може створювати додатковi локальнi групи для управлiння доступом до ресурсiв. Вбудованi локальнi групи дiляться на двi категорii - адмiнiстратори (Administrators), якi мають всi права та дозволи на цей комп'ютер, i оператори, якi мають обмеженi права на виконання специфiчних завдань. Для Windows NT Server i такi групи-оператори: оператори архiвування (Backup Operator), реплiкатори (Replicator), оператори сервера (Serevr Operator), принт-оператори (Print Operator) i оператори облiковоi iнформацii (Account Operator). Для Windows NT Workstation i тiльки двi групи операторiв - Backup Operators i Power Users.
Крiм того, як на Windows NT Server, так i на Windows NT Workstation i вбудованi локальнi групи Users - для звичайних користувачiв, i Guests - для тимчасових користувачiв, якi не можуть мати профiлю i повиннi володiти мiнiмальними правами.
Для спрощення органiзацii надання доступу користувачам з iншого домену в Windows NT введено поняття глобальноi групи.
Глобальна група користувачiв - це група, яка маi iм'я i права, глобальнi для всiii мережi, на вiдмiну вiд локальних груп користувачiв, якi мають iмена i права, дiйснi тiльки в межах одного домену. Адмiнiстратор довiряючого домену може надавати доступ до ресурсiв свого домену користувачам з глобальних груп тих доменiв, яким довiряi даний домен. Глобальнi групи можна включати до складу локальних груп користувачiв ресурсного домену.
Глобальна група - це деяке число користувачiв одного домену, якi групуються пiд одним iм'ям. Глобальним групам можуть даватися права i вирiшення шляхом включення iх в локальнi групи, якi вже мають необхiднi права та дозволи. Глобальна група може мiстити тiльки облiкову iнформацiю користувачiв з локальних облiкових баз даних, вона не може мiстити локальнi групи або iншi глобальнi групи.
РЖснуi три типи вбудованих глобальних груп: адмiнiстратор домену (Domain Admins), користувачi домену (Domain Users) i гостi домену (Domain Guests). Цi групи з самого початку i членами локальних груп адмiнiстраторiв, користувачiв i гостей вiдповiдно.
Необхiдно використовувати вбудованi групи там, де тiльки це можливо. Рекомендуiться формувати групи в такiй послiдовностi:
В облiковому доменi необхiдно створити користувачiв i додати iх до глобальних групам.
Увiмкнути глобальнi групи до складу локальних груп ресурсних доменiв.
Надати локальним групам необхiднi права та дозволи.
Спецiальна група - використовуiться виключно Windows NT Server для системного доступу. Спецiальнi групи не мiстять облiковоi iнформацii користувачiв i груп. Адмiнiстратори не можуть приписати користувачiв до цих груп. Користувачi або належать до цих груп за замовчуванням (наприклад, кожен користувач i членом спецiальноi групи Everyone), або вони стають ними в залежностi вiд своii мережевоi активностi.
РЖснуi 4 типи спецiальних груп:
Network (Cетевая)
Interactive (РЖнтерактивна)
Everyone (Кожен)
Creator Owner (Творець-Власник).
Будь-який користувач, який хоче отримати доступ до ресурсiв, що роздiляються по мережi, автоматично стаi членом групи Network. Користувач, локально що ввiйшов в комп'ютер, автоматично включаiться до групи Interactive. Один i той же користувач в залежностi вiд того, як вiн працюi з комп'ютером, буде мати рiзнi права. Будь-який користувач мережi i членом групи Everyone. Адмiнiстратор може призначити групi Everyone будь-якi права. При цьому адмiнiстратор може надати будь-якi права користувачевi, не заводячи на нього облiковоi iнформацii на своiму комп'ютерi. Група Creator Owner мiстить облiкову iнформацiю користувача, який створив ресурс або володii ним.
У файловiй системi NTFS дозволу групi Creator Owner даються на рiвнi каталогу. Власник будь-якого каталогу чи файлу, створеного в цьому каталогi, отримуi дозволи, данi групi Creator Owner. Наприклад, можна призначити будь-якому каталогу для членiв групи Everyone дозволу Read (Читання), а групi Creator Owner надати доступ Full Control (Повне управлiння). Будь-який користувач, який створюi файли або пiдкаталоги в цьому каталозi, буде мати до них доступ Full Control.
Права визначаються для об'iктiв типу група на виконання деяких системних операцiй: створення резервних копiй, вимикання комп'ютера (shutdown) i т.п. Права призначаються за допомогою User Manager for Domains.
Оператори облiковоi iнформацii (Accounts operators) не можуть змiнювати облiкову iнформацiю адмiнiстраторiв, або ж змiнювати глобальну групу Domain Admins або локальнi групи Administrators, Server Operators, Account Operators, Print Operators або Backup Operators.
2Хотя члени групи Users мають право створювати локальнi групи домену, але вони не зможуть ним скористатися, якщо iм не дозволено входити локально в сервер або не дозволено користуватися утилiтою User Manager for Domains.
3Хотя Everyone маi право блокувати сервер, тiльки користувачi, якi можуть також входити локально в цей сервер можуть насправдi його заблокувати.
Схожi права можна задати i по вiдношенню до Windows NT Server, не виконуi роль PDC або BDC - за допомогою утилiти User Manager for Domains, а також до Windows NT Workstation за допомогою утилiти User Manager.
Можливостi користувачiв - визначаються для окремих користувачiв на виконання нечисленних дiй, що стосуються реорганiзацii iх операцiйного середовища:
Включення нових програмних одиниць (iконок) до групи програм панелi Program Manager;
Створення програмних груп Program Manager;
Змiна складу програмних груп;
Змiна властивостей програмних одиниць (наприклад, включення в стартову групу);
Запуск програм з меню FILE в Program Manager;
Встановлення з'iднань з мережевим принтером, крiм тих (якi вже передбаченi в профiлi користувача).
Можливостi користувача i частиною так званого профiлю користувача (User Profile), який можна змiнювати за допомогою утилiти User Profile Editor. Профiль поряд з описаними можливостями включаi i встановлення середовища користувача на його робочому комп'ютерi, такi як кольори, шрифти, набiр програмних груп та iх складу.
Адмiнiстратор може керувати доступом користувачiв до каталогiв i файлiв в роздiлах диска, вiдформатували пiд файлову систему NTFS. Роздiли, вiдформатованi пiд FAT i HPFS, не пiдтримуються засобами захисту Windows NT. Однак можна захистити колективнi по мережi каталоги незалежно вiд того, яка використовуiться файлова система.
Для захисту файлу або каталогу необхiдно встановити для нього дозволу (permissions). Кожне встановлене дозвiл визначаi вид доступу, який користувач або група користувачiв мають по вiдношенню до даного каталогу або файлу. Наприклад, коли ви встановлюiте дозвiл Read до файлу MY IDEAS. DOC для групи COWORKERS, користувачi з цiii групи можуть переглядати данi цього файлу i його атрибути, але не можуть змiнювати файл або видаляти його.
Windows NT дозволяi використовувати набiр стандартних дозволiв, якi можна встановлювати для каталогiв i файлiв. Стандартними дозволами для каталогiв i: No Access, Read, Add, Add & Read, Change i Full Control.
При встановленнi стандартноi чiткостi поруч з ним у дужках вiдображаються великi лiтери встановлених iндивiдуальних дозволiв. Наприклад, при встановленнi для файлу стандартноi чiткостi Read поруч зi словом Read з'являiться абревiатура RX, яка означаi, що стандартного дозволу Read вiдповiдаi установка двох iндивiдуальних дозволiв - Read i Execute.
Адмiнiстратор може з допомогою утилiти File Manager встановлювати як стандартнi, так i iндивiдуальнi дозволу.
Для того, щоб ефективно користуватися можливостями механiзмiв безпеки NTFS, потрiбно пам'ятати наступне:
Користувачi не можуть користуватися каталогом або файлом, якщо вони не мають дозволу на це, або ж вони не належать до групи, яка маi вiдповiдний дозвiл.
Дозволи мають накопичувальний ефект, за винятком дозволу No Access, яка скасовуi всi iншi наявнi дозволу. Наприклад, якщо група CO-WORKERS маi дозвiл Change для якогось файлу, а група Finance маi для цього файлу тiльки дозвiл Read, i Петров i членом обох груп, то в Петрова буде дозвiл Change. Однак, якщо дозвiл для групи Finance змiниться на No Access, то Петров не зможе використовувати цей файл, незважаючи на те, що вiн член групи, яка маi доступ до файлу.
Коли ви створюiте в каталозi файли i пiдкаталоги, то вони успадковують дозволи, якi маi каталог.
Користувач, який створюi файл чи каталог, i власником (owner) цього файлу або каталогу. Власник завжди маi повний доступ до файлу або каталогу, тому що може змiнювати дозволи для нього. Користувачi - члени групи Administrators - завжди можуть стати власниками будь-якого файлу або каталогу.
Найзручнiшим шляхом управлiння захистом файлiв i каталогiв i установка дозволiв для груп користувачiв, а не для окремих користувачiв. Зазвичай користувачу потрiбен доступ до багатьох файлiв. Якщо користувач i членом будь-якоi групи, яка маi доступ до цих файлiв, то адмiнiстратору простiше позбавити користувача цих прав, вилучивши його зi складу групи, а не змiнювати дозволи для кожного файлу. Зауважимо, що установка дозволу для iндивiдуального користувача не скасовуi дозволiв, даних користувача як члену певноi групи.
Коли користувач локально входить перший раз на будь-який комп'ютер, то для нього за умовчанням створюiться профiль. Всi налаштування середовища (колiр фону, шпалери, шрифти i т.п.) автоматично зберiгаються в пiдкаталозi Profiles системного каталогу даного комп'ютера, наприклад, C: \ NT40w \ Profiles \ username, де username - iм'я користувача. Профiль зберiгаiться у файлi з iм'ям ntuser. dat
Адмiнiстратор також може настроювати профiль користувача, входячи в будь-який комп'ютер пiд iм'ям цього користувача.
На вiдмiну вiд профiлю користувача, що встановлюiться за замовчуванням, iснуi також Roaming - перемiщуваний профiль користувача, який формуi одну й ту ж середовище для даного користувача, незалежно вiд того, з якого комп'ютера вiн увiйшов в мережу.
Перемiщуванi користувача профiлi зберiгаються централiзовано на серверi, а не на локальних комп'ютерах користувачiв.
Адмiнiстратор може визначити для користувача один з двох типiв перемiщуваних профiлiв.
РЖндивiдуальний перемiщуваний профiль, який користувач може змiнювати. Будь-якi змiни, якi користувач внiс у своi середовище, вносяться в iндивiдуальний перемiщуваний профiль тодi, коли користувач логiчно виходить з мережi. Коли той же користувач входить знову, з сервера завантажуiться останнiй варiант профiлю. Таким чином, якщо використовуються перемiщуванi iндивiдуальнi профiлi, то у кожного користувача i свiй власний перемiщуваний профiль. Цей профiль зберiгаiться у файлi ntuser. dat в одному з подiлюваних каталогiв сервера.
Обов'язковий (mandatory) перемiщуваний профiль - це налаштована адмiнiстратором профiль, який користувач не може змiнити. Один обов'язковий профiль може бути призначений декiльком користувачам. Цей вид профiлю доцiльно призначати тих користувачiв, яким потрiбна однакова середу, наприклад, операцiонiстам банку. Обов'язковий профiль повинен мати розширення. Man. РЖндивiдуальний профiль можна зробити обов'язковим, перейменувавши його з Ntuser. dat в Ntuser. man.
Починаючи з версii 4.0, адмiнiстраторовi пропонуiться бiльш потужний засiб керування профiлями користувачiв - System Policy Editor. З його допомогою адмiнiстратор може змiнювати профiль користувача, не входячи пiд його iм'ям. При цьому вiн може встановлювати обмеження, якi неможливо було б встановити, входячи пiд iм'ям користувача, наприклад, заборона на використання команди Run. System Policy Editor може може використовуватися для формування як локальних, так i перемiщуваних профiлiв. Перемiщуваний профiль зберiгаiться у файлi Ntconfig. pol в подiлюваному каталозi Netlogon на PDC.
Аудит - це функцiя Windows NT, що дозволяi вiдстежувати дiяльнiсть користувачiв, а також всi системнi подii в мережi. За допомогою аудиту адмiнiстратор отримуi iнформацiю:
про виконане дii,
про користувача, який виконав цю дiю,
про дату i час виконання дii.
Адмiнiстратор використовуi полiтику аудиту (Audit Policy) для вибору типiв подiй, якi потрiбно вiдстежувати. Коли подiя вiдбуваiться, в журнал безпеки того комп'ютера, на якому воно вiдбулося, додаiться новий запис. Журнал безпеки i тим засобом, за допомогою якого адмiнiстратор вiдстежуi наступ тих типiв подiй, якi вiн поставив.
Полiтика аудита контролера домену визначаi кiлькiсть i тип фiксованих подiй, що вiдбуваються на всiх контролерах домену. На комп'ютерах Windows NT Workstation або Windows NT Server, що входять до домену, полiтика аудиту визначаi кiлькiсть i тип фiксованих подiй, що вiдбуваються тiльки на даному комп'ютерi.
Адмiнiстратор може встановити полiтику аудиту для домену для того, щоб:
вiдстежувати успiшнi i неуспiшнi подii, такi як логiчнi входи користувачiв, читання файлiв, змiни в дозволах користувачiв i груп, виконання мережевих з'iднань тощо;
виключити або мiнiмiзувати ризик несанкцiонованого використання ресурсiв;
аналiзувати тимчасовi тенденцii, використовуючи архiв журналу безпеки.
Аудит i частиною системи безпеки. Коли всi засоби безпеки вiдмовляють, записи в журналi виявляються iдиним джерелом iнформацii, на пiдставi якоi адмiнiстратор може зробити висновки про те, що сталося або готуiться вiдбутися в системi.
Встановлення полiтики аудита i привiлейованим дiiю: користувач повинен або бути членом групи Administrators на тому комп'ютерi, для якого встановлюiться полiтика, або мати права Manage auditing and security log.
Полiтика аудиту встановлюiться окремо для кожного комп'ютера. Наприклад, для аудиту логiчного входу користувачiв до домену необхiдно встановити полiтику аудиту на PDC (ця ж полiтика визначена i для всiх BDC домену). Для спостереження за доступом до файлiв на сервер домену - member server-необхiдно встановити полiтику аудиту на цьому серверi.
Подii записуються в журнал певного комп'ютера, але можуть переглядатися з будь-якого комп'ютера мережi користувачем, який маi права адмiнiстратора на той комп'ютер, де вiдбулася подiя.
Встановлення полiтики аудита включаi два етапи:
визначення полiтики аудиту за допомогою панелi Audit Policy утилiти User Manager for Domains або User Manager;
визначення каталогiв, файлiв i принтерiв, доступ до яких необхiдно вiдстежувати. Для цього використовуiться Windows NT Explorer або панель Printers. Спостереження за файлами i каталогами можливо тiльки для файловоi системи NTFS.
Перегляд журналу подiй здiйснюiться за допомогою утилiти Event Viewer (журнал Security).
Вместе с этим смотрят:
GPS-навигация
GPS-прийомник авиационный
IP-телефония и видеосвязь
IP-телефония. Особенности цифровой офисной связи
Unix-подобные системы