Управление пользователями и группами

Учетные записи (accounts) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:

• Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM (Security Accounts Manager) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups (Локальные пользователи и группы) консоли Computer Management (Управление компьютером). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
• Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли " Active Directory Users and Computers " (" Active Directory – пользователи и компьютеры ").
• Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator (Администратор) и Guest (Гость). По умолчанию учетная запись Гость отключена.

Правила выбора символов для создания пароля:

• длина пароля — не менее 7 символов;
• пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
• пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
• пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
• пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

Профиль (profile) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

• локальные — хранятся в папке " Documents and Settings " на том разделе диска, где установлена операционная система;
• перемещаемые (сетевые, или roaming) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа,%username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
• обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

• Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
• Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп

• Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
• Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
• Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа (Access Token), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

При создании и использовании групп следует придерживаться следующих правил:

1. Включать глобальные учетные записи пользователей (A ccounts) в глобальные группы (G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции (L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.
3. Давать разрешения (P ermissions) на доступ к ресурсам локальным группам.

По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP.