Управление доступом в Active Directory

Управление доступом в Active Directory

По соображениям безопасности администраторы могут использовать управление доступом для контроля доступа пользователей к общим ресурсам. В Active Directory управление доступом осуществляется на уровне объектов путем задания для объектов разных уровней доступа или разрешений, таких как «Полный доступ», «Запись», «Чтение» или «Нет доступа». Управление доступом в Active Directory определяет, как различные пользователи могут использовать объекты Active Directory. По умолчанию используются самые строгие разрешения для объектов Active Directory.

Элементы, определяющие разрешения управления доступом к объектам Active Directory, включают дескрипторы безопасности, наследование объектов и проверку подлинности пользователей.

Дескрипторы безопасности

Разрешения на управление доступом назначаются общим объектам и объектам Active Directory для определения того, как разные пользователи могут использовать каждый объект. Общий объект или общий ресурс представляет собой объект, который предполагается использовать одним или несколькими пользователями по сети. Такими объектами могут быть файлы, принтеры, папки и службы. Разрешения управления доступом как к общим объектам, так и к объектам Active Directory, хранятся в их дескрипторах безопасности.

В дескрипторе безопасности содержатся две таблицы управления доступом (ACL), используемые для назначения и контроля сведений безопасности по каждому объекту: избирательная таблица управления доступом (DACL) и системная таблица управления доступом (SACL).

• Избирательные таблицы управления доступом (DACL). В DACL указаны пользователи и группы, которым разрешен или запрещен доступ к объекту. Если пользователь или группы, в которые он входит, явно не указаны в DACL, этому пользователю будет запрещен доступ к объекту. По умолчанию DACL управляется владельцем объекта или пользователем, который создал этот объект, и содержит записи управления доступом (ACE — access control entries), определяющие доступ пользователя к объекту.
• Системные таблицы управления доступом (SACL). В SACL указаны пользователи и группы, для которых требуется выполнять аудит успешных и безуспешных попыток доступа к объекту. Аудит служит для наблюдения за событиями, относящимися к безопасности системы или сети, для обнаружения недостатков в системе безопасности и для определения объемов и расположения любых повреждений. По умолчанию SACL управляется владельцем объекта или создавшим его пользователем. SACL содержит записи управления доступом, определяющие, требуется ли записывать успешные или безуспешные попытки доступа пользователя к объекту с использованием данного разрешения, например «Полный доступ» или «Чтение».
  
  Дополнительные сведения об аудите см. в разделе Параметры аудита объектов.

Чтобы просмотреть DACL и SACL объектов Active Directory, в оснастке «Active Directory – пользователи и компьютеры» установите в меню Вид флажок Дополнительные функции. Это позволит открывать вкладку Безопасность в свойствах каждого объекта. Дополнительные сведения см. в разделе Назначение, изменение или удаление разрешений на объекты Active Directory или атрибуты. Для изменения списков управления доступом к Active Directory также можно воспользоваться средством DSACLS. Дополнительные сведения см. в разделе Средства поддержки Active Directory.

По умолчанию DACL и SACL связаны с каждым объектом Active Directory, что снижает вероятность сетевых атак злоумышленников и случайные ошибки пользователей домена. Однако, если злоумышленник узнает имя и пароль любой учетной записи, имеющей права администрирования Active Directory, данный лес будет уязвим для атак. По этой причине рассмотрите вариант переименования или отключения используемой по умолчанию учетной записи администратора, как описано в разделе Советы и рекомендации по работе с Active Directory.

Наследование объектов

По умолчанию объекты Active Directory наследуют ACE из дескриптора безопасности объекта родительского контейнера. Наследование позволяет применять сведения управления доступом, определенные для объекта контейнера Active Directory, к дескрипторам безопасности любого подчиненного объекта, включая другие контейнеры и их объекты. Это избавляет от необходимости применять разрешения к каждому новому дочернему объекту. При необходимости можно изменить наследуемые разрешения. Однако рекомендуется не изменять используемые по умолчанию разрешения и параметры наследования объектов Active Directory. Дополнительные сведения см. в разделах Советы и рекомендации по назначению разрешений для объектов Active Directory и Смена унаследованных разрешений.