Главная
Случайная страница
Категории:
ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника
|
Обзор свойств учетных записей пользователей
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли " Active Directory – пользователи и компьютеры ", причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль " Active Directory – пользователи и компьютеры " и посмотрим свойства только что созданного нами пользователя.
Закладка " Общие ". На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:
- " Имя "
- " Фамилия "
- " Выводимое имя "
- " Описание "
- " Номер телефона "
- " Электронная почта "
Закладка " Адрес " — справочная информация для поиска в AD.
Закладка " Учетная запись " — очень важный набор параметров (параметры " Имя входа пользователя " и " Имя входа пользователя (пред-Windows 2000) " обсуждались выше при создании пользователя):
- кнопка " Время входа " — дни и часы, когда пользователь может войти в домен;
- кнопка " Вход на… " — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
- Поле типа чек-бокс " Заблокировать учетную запись " — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
- " Параметры учетной записи " (первые три параметра обсуждались выше):
- " Требовать смену пароля при следующем входе в систему "
- " Запретить смену пароля пользователем "
- " Срок действия пароля не ограничен "
- " Отключить учетную запись " — принудительное отключение учетной записи (пользователь не сможет войти в домен);
- " Для интерактивного входа в сеть нужна смарт-карта " — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
- " Срок действия учетной записи " — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)
Закладки " Телефоны ", " Организация " — справочная информация о пользователе для поиска в AD.
Закладка " Профиль "
Профиль ( profile ) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
- локальные — хранятся в папке " Documents and Settings " на том разделе диска, где установлена операционная система;
- перемещаемые (сетевые, или roaming ) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа,%username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
- обязательные ( mandatory ) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.
Параметр "Сценарий входа" определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл ( .bat, .cmd ), исполняемая программа (.exe, .com), файл сценария (.vbs, js).
Закладка " Член групп " — позволяет управлять списком групп, в которые входит данный пользователь.
Закладка " Входящие звонки ".
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты " Разрешить доступ " и " Запретить доступ ", а также параметры обратного дозвона ("Ответный вызов сервера "). В режимах " Windows 2000 основной " и " Windows 2003 " доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.
Закладки " Профиль служб терминалов ", " Среда ", " Сеансы ", " Удаленное управление " — данные закладки управляют параметрами работы пользователя на сервере терминалов:
- управление разрешением пользователя работать на сервере терминалов;
- размещение профиля при работе в терминальной сессии,
- настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);
- управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного подключения к отключенной сессии);
- разрешение администратору подключаться к терминальной сессии пользователя.
Правление группами
Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.
Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.
Рассмотрим подробнее, какие группы могут создаваться в Active Directory.
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).
Типы групп
- Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеетидентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
- Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Область действия групп
- Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
- Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
- Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.
В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.
Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.
Маркер доступа.
При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.
Стратегия создания и использования групп.
При создании и использовании групп следует придерживаться следующих правил:
- Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
- Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируютсяна основе разрешений для доступа к конкретным ресурсам.
- Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.
По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.
Встроенные и динамически формируемые группы.
Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.
Перечислим наиболее часто используемые на практике встроенные и динамические группы.
Встроенные локальные группы (на рабочей станции или простом сервере).
| Название группы
| Описание
| Администраторы
| Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группаАдминистраторы домена.
| Операторы резервного копирования
| Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
| Администраторы DHCP(создается при установке службы DHCP Server)
| Члены этой группы могут администрировать службу DHCP Server.
| Операторы сетевой конфигурации
| Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
| Пользователи монитора производительности
| Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
| Пользователи журнала производительности
| Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
| Опытные пользователи
| Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группахОпытные пользователи, Пользователи и Гости.
| Операторы печати
| Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
| Пользователи удаленного рабочего стола
| Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
| Пользователи
| Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группыИнтерактивные и Прошедшие проверку.
| Встроенные доменные локальные группы.
| Название группы
| Описание
| Администраторы
| Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
| Операторы учетных записей
| Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группуАдминистраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
| Операторы резервного копирования
| Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
| Администраторы DNS(создается при установке службы DNS)
| Члены группы имеют административный доступ к серверам DNS.
| Операторы сетевой конфигурации
| Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
| Пользователи монитора производительности
| Члены группы могут следить за счетчиками производительности на контроллерах домена.
| Пользователи журнала производительности
| Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
| Операторы печати
| Члены группы могут управлять работой принтеров домена
| Операторы сервера
| Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
| Пользователи
| Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи доменаявляется по умолчанию членом данной группы.
| Встроенные глобальные группы.
| Название группы
| Описание
| Администраторы домена
| Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
| Компьютеры домена
| Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
| Контроллеры домена
| Все контроллеры домена являются членами этой группы.
| Пользователи домена
| Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группуПользователи.
| Администраторы предприятия(создается только в корневом домене леса)
| Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
| Администраторы схемы (создается только в корневом домене леса)
| Члены этой группы могут изменять схему Active Directory.
| Динамические группы.
| Название группы
| Описание
| Интерактивные
| В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
| Прошедшие проверку
| Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
| Все
| Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.
|
|