Построение локальной вычислительной сети подразделения организации под управлением Windows NT
Страница 7
Таблица 3.1(продолжение)
Элементы учетной карточки |
Комментарий |
Expiration date - Дата истечения срока |
Дата в будущем, когда учетную карточку автоматически исключают из базы, полезна при принятии на работу временных служащих. |
Home directory - Собственный каталог |
Каталог на сервере, который принадлежит пользователю; пользователь управляет доступом к этому каталогу. |
Logon script Сценарий начала сеанса |
Пакетный или исполняемый файл, который запускается автоматически, когда пользователя начинает сеанс. |
Profile - Установки (параметры) |
Файл, содержащий запись о параметрах среды рабочего стола (Desktop) пользователя, о таких, например, как сетевые соединения, цвета экрана и установочные параметры, определяющие, какие аспекты среды, пользователь может изменить. |
Account type Тип учетной карточки |
Тип учетной карточки - глобальный или локальный. |
Кроме того, есть различные условия, которые или верны или неверны для каждой учетной карточки пользователя, как показано в табл.3.2.
Таблица 3.2
Дополнительные поля учетной карточки пользователя
Условия учетной карточки |
ПО УМОЛЧАНИЮ |
Комментарии |
Изменение пароля в начале следующего сеанса? |
ДА |
Если ДА, пользователь изменяет пароль при следующем входе в систему. Затем эта величина устанавливается на НЕТ. |
Пользователь не может изменить Пароль |
НЕТ |
Если ДА, пользователь не может изменить пароль. Это полезно для коллективных учетных карточек. |
Пароль не имеет срока |
НЕТ |
Если ДА, учетная карточка пользователя игнорирует политику истечения срока пароля, установленную для домена и срок пароля никогда не истекает. |
Account Disabled – учетная карточка исключена |
НЕТ |
Если ДА, эта учетная карточка исключается и ее пользователь не может работать в сети. Она не удаляется из базы данных и может быть восстановлена. Это удобно для шаблонов учетных карточек. |
Windows NT позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий[1].
Табл.3.3 включает категории событий, которые могут быть выбраны для ревизии, а также события покрываемые каждой категорией.
Таблица 3.3
Категории событий для ревизии
|
События |
Начало и конец сеанса |
Попытки начала сеанса, попытки конца сеанса; создание и завершение сетевых соединений к серверу |
Доступ к файлам и объектам |
Доступы к каталогу или файлу, которые устанавливаются для ревизии в диспетчере файлов; использование принтера, управление компьютером |
Использование прав пользователя |
Успешное использование прав пользователя и неудачные попытки использовать права, не назначенные пользователям |
Управление пользователями и группами |
Создание, удаление и модификация учетных карточек пользователя и групп |
Изменения полиса безопасности |
Предоставление или отменена прав пользователя пользователям и группам, установка и разрыв связи доверия с другими доменами |
Перезапуск, выключение и система |
Остановка и перезапуск компьютера, заполнение контрольного журнала и отвержение данных проверки если контрольный журнал уже полон |
Трассировка процесса |
Начало и остановка процессов в компьютере |
Табл.3.4 показывает типы доступа к каталогам и файлам, которые можно проверить.
Таблица 3.4
Типы доступа к каталогам и файлам
Доступ к каталогу |
Доступ к файлу |
Отображение имен файлов в каталоге |
Отображение данных, хранимых в файле |
Отображение атрибутов каталога |
Отображение атрибутов файла |
Изменение атрибутов каталога |
Отображение владельца файла и разрешений |
Создание подкаталогов и файлов |
Изменение файла |
Переход в подкаталогах каталога |
Изменение атрибутов файла |
Отображение владельца каталога и разрешений |
Запуск файла |
Удаление каталога |
Удаление файла |
Изменение разрешений каталога |
Изменение файловых разрешений |
Изменение владельца каталога |
Изменение владельца файла |
Права пользователя определяют разрешенные типы действий для этого пользователя. Действия, регулируемые правами, включают вход в систему на локальный компьютер, выключение, установку времени, копирование и восстановление файлов сервера и выполнение других задач.
В доменах Windows NT Server права предоставляются и ограничиваются на уровне домена; если группа находится непосредственно в домене, участники имеют права во всех первичных и резервных контроллерах домена. В каждой рабочей станции Windows NT и в каждом компьютере Windows NT Server, который не является контроллером домена, предоставленные права применяются только к этому единственному компьютеру[1].