it_vse (519823), страница 29
Текст из файла (страница 29)
Группа пользователей создается при помощи команды " Контекстное меню/Создать/Группа". Группы используются для более удобного управления правами доступа – нет необходимости вручную определять права доступа для каждого члена группы. Права определяются в целом на группу, а члены группы получают эти права автоматически. Например, если какие-либо файлы доступны группе"Служба сбыта", то достаточно поместить сотрудника в эту группу, и файлы станут автоматически доступны и ему. Один и тот же сотрудник может быть членом в нескольких группах. Для того, чтобы изменитьчленство в группах необходимо воспользоваться командой "Выделить пользователя/Двойной щелчок/Членгрупп/Добавить".
В этом же диалоговом окне, на вкладке "Учетная запись", можно запретить смену пароляпользователем, указать срок действия пароля, ограничить время входа пользователя и др. Вкладка "Среда"позволяет запустить определенную программу при входе пользователя в систему. Вкладка "Входящие звонки" позволяет разрешить/запретить входящие звонки от имени этого пользователя, определить номер, покоторому перезвонит сервер удаленного доступа, при попытке пользователя подключиться к нему. Другиевкладки позволяют разрешить удаленное управление сеансом пользователя, указать адрес пользователя,номер телефона и пейджера, определить перемещаемый профиль пользователя, сценарии входа пользователя в систему и др.Добавление пользователя в группу можно осуществить и другим способом: "Выделить группу/Двойной щелчок/Члены группы/Добавить" (на этой же вкладке удобно просматривать список пользователей, входящих в данную группу).
Можно сделать саму группу членом другой группы: "Выделить группу/Двойной щелчок/Член групп/Добавить". Для быстрого добавления большого количества пользователей вгруппу можно воспользоваться командой "Выделить пользователей или подразделения/Контекстноеменю/Добавить участников в группу".Смена пароля пользователя может быть осуществлена, как самим пользователем ("CTRL-ALTDELETE / Смена пароля"), так и администратором ("Выделить пользователя/Контекстное меню/Сменапароля"). Для того, чтобы временно отключить учетную запись (имя – пароль) пользователя, необходимовоспользоваться командой "Выделить пользователя/Контекстное меню/Отключить учетную запись".
Длятого, чтобы переместить пользователя в новое подразделение, необходимо воспользоваться командой"Выделить пользователя/Контекстное меню/Переместить". Подразделение – это аналог отдела предприятия,способ объединения пользователей и групп пользователей, со сходными требованиями к политике безопасности (например, подразделение "Бухгалтерия").
Для того, чтобы создать подразделение необходимовоспользоваться командой "Выделить имя домена/Контекстное меню/Создать/Подразделение". В рамкахподразделения можно создавать пользователей и группы пользователей. Можно создавать подразделения, Ляхевич А.Г., 2000 - 2002 годвложенные в другие подразделения. Для подразделения можно задать групповую политику безопасности"Выделить подразделение/Контекстное меню/Свойства/Групповая политика/Создать" (подробнее групповаяи другие политики безопасности будут рассмотрены в разделе "Политики безопасности Windows 2000" ).Каждое имя пользователя/группы связывается с уникальным идентификатором пользователя/группы (например, S-1-2-34-56789012345-67890123456-7890123456-7890). Разграничение доступа и системааудита в Windows 2000 использует уникальные идентификаторы для назначения прав доступа и контролядоступа к разным объектам (файлы, принтеры и т.д.).
При этом администраторы работают по прежнему спонятными именами пользователей, а уникальные идентификаторы используются только внутри самойWindows 2000. Невозможно в рамках одной лекции полностью описать всю систему разграничения доступаWindows 2000, поэтому приведем лишь несколько примеров разграничения доступа на основании именпользователей/групп пользователей:1) Для ограничения доступа к файлу/каталогу достаточно воспользоваться командой "Выделить файл(каталог)/Контекстное меню/Свойства/Безопасность" – указать пользователей/группы пользователей,имеющих доступ к данному файлу(каталогу), указать права этих пользователей.
Нажав кнопки "Дополнительно" и "Показать/Изменить" на этой же вкладке, можно перейти к расширенному управлению правамидоступа. В этом же диалоговом окне, на вкладке "Аудит", можно задать аудит (контроль) действий пользователя по доступу к этому файлу/каталогу. Можно настроить запись в специальный журнал (Пуск/Панельуправления/ Администрирование/Просмотр событий/Журнал безопасности) успех или неудачу при попыткеполучить доступ к файлу (каталогу).
Регистрация успешных попыток позволяет следить за разрешенной деятельностью пользователей, регистрация неудачных попыток – выявить попытки нарушения прав доступа.2) Для ограничения доступа к различным разделам реестра, необходимо воспользоваться программойregedt32 (Пуск/Выполнить/regedt32).3) Политики безопасности (см. ниже) могут запретить пользователю локальный вход на конкретныйкомпьютер или/и доступ к конкретному компьютеру по сети.
Соответствующие параметры политик называются "Локальный вход в систему" и "Отказ в доступе к компьютеру из сети" и доступны через меню"Пуск/Настройка/Панель управления/Администрирование/ Локальная политика безопасности/Параметрыбезопасности/Локальные политики/Назначение прав пользователя" (см. также политику безопасностидомена, контролера домена, групповые политики – подробнее далее в лекциях).5.12.2.
Домены в Windows 2000, доверительные отношения между доменами,аутентификация пользователя (протоколы Kerberos и NTLM).В Windows 2000 вся сеть подразделяется на домены. Домен - это семейство компьютеров,объединенных по некоторому признаку (например, домен "Бухгалтерия", домен "Маркетинг). Доменсоздается при установке Active Directory на сервер - контролер домена ("Пуск/Настройка/Панель управления/Администрирование/Настройка сервера/Active Directory").
В каждом домене свой набор рабочихгрупп и список пользователей. Домены имеют древовидную структуру, могут иметь подчиненные домены иподразделения.В каждом домене назначается свой администратор. Администратор домена имеет право устанавливать права доступа только в своем домене. Таким образом, административные права не сконцентрированы водних руках одного пользователя (как, например, root в Unix/Linux системах), а распределены между администраторами доменов, каждый из которых отвечает только за свою область.
В рамках своего домена, администратор, путем установки дополнительных разрешений, может делегировать отдельным пользователямчасть прав по администрированию домена, снимая с себя лишнюю работу. Например отдельному пользователю/группе пользователей можно делегировать следующие права по управлению подразделением "бухгалтерия": чтение всей информации о пользователе, создание, удаление и изменение информации в учетныхзаписях пользователей (групп пользователей), изменение членства пользователя в группах, смена паролейпользователей, применение к подразделению той или иной групповой политики.
Для этого достаточноотдать команду "Пуск/Панель управления/Администрирование/Active Directory – пользователи и компьютеры/ Выделить подразделение/Контекстное меню/Делегирование управления". Аналогично выполняетсяделегирование управление и для других объектов Active Directory: домена, стандартных пользователей(папка "Users"), компьютеров (папка "Computers") и контролеров домена ("Domain controlers").Между доменами могут устанавливаться доверительные отношения ("Пуск/Панель управления/Администрирование/Active Directory – домены и доверие/Выделить домен/ Контекстное меню/Свойства/Доверия"). Доверительные отношения означают, что если пользователь прошел регистрацию вдомене "Бухгалтерия" (правильно ввел имя и пароль), и между доменом "Бухгалтерия" и доменом "Маркетинг" есть доверительные отношения, то пользователь может получить доступ к компьютерам домена"Маркетинг", не проходя там повторную регистрацию.
Необходимо отметить, что пользователь домена"Бухгалтерия" даже не имеет в домене "Маркетинг" учетной записи (имя-пароль) и тем не менее можетполучить доступ к компьютерам "Маркетинга", естественно, в пределах прав, которые администратордомена "Маркетинг" установит для "людей из бухгалтерии". Доверительные отношения между доменамимогут быть двусторонними (если А доверяет B, то и B доверяет А) или односторонними (если A доверяет B,то это не означает, что B доверяет A). Двусторонние доверительные отношения являются транзитивными, Ляхевич А.Г., 2000 - 2002 годт.е. если А доверяет B и B доверяет C, то и A доверяет C. Однако в любом случае, взаимодействие доменов вдоверительных отношениях происходят только по криптографически защищенным протоколам Kerberos илиNTLM, во избежание подмены злоумышленником одной из сторон доверительного взаимодействия.Протоколы Kerberos и NTLM используются для аутентификации (подтверждении личности) пользователя.
Протокол NTLM использовался еще в Windows NT 4.0, а протокол Kerberos появился в Windows2000. Ниже кратко приведены сведения по этим протоколам:• протокол Kerberos V5 – специальный протокол, который подтверждает подлинность как пользователя, так и сетевых служб. Механизм таков: пользователь входит в сеть, введя свой пароль(система challenge-response) или используя смарт-карту. При правильности введенных данныхKerberos выдает пользователю "билет пользователя" (TGT) на все время нахождения в сети. Имея"билет пользователя", пользователь в любое время может обратиться к Kerberos, для получения"билета службы" (TGS - например, билет для почтовой службы или билет для доверенного домена"Маркетинг"), который во-первых подтверждает для службы подлинность пользователя (содержитзашифрованные данные о пользователе), а во-вторых подтверждает для пользователя подлинностьслужбы, т.к.
только подлинная служба (криптографически стойко подключенная к центру распространения ключей шифрования Kerberos) сможет правильно обработать зашифрованный "билет службы" и правильно ответить пользователю. Для самого пользователя весь этот процесс протекаетабсолютно прозрачно: он только вводит свое имя и пароль при подключении к сети.• аутентификация NTLM – используется для совместимости с предыдущей версией Windows NT4.0. Система challenge-response: пользователь передает серверу свое имя, сервер возвращает пользователю случайное число, при помощи которого пользователь шифрует свой пароль (однонаправленная хэш-функция MD5) и возвращает его серверу, который имея в своей базе подлинный парольпользователя, выполняет над ним туже операцию хэширования и сравнивает результат с пришедшим от пользователя. При совпадении – пользователь регистрируется.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
