Сетевое администрирование - лекции. Теория администрирования сетей tcpIP
 Скачать 263.5 Kb.
|
Тема 1. Учетные записи и группы безопасности1. Понятие пользовательской учетной записиДля каждого пользователя в системе создается защищенная паролем учетная запись. Сущность учетной записи заключается в следующем. Каждый пользователь, приступающий к работе в системе Windows 2000/XP, должен зарегистрироваться, т.е. подтвердить свою идентичность. Процесс подтверждения реализован путем проверки имени пользователя и пароля. После успешной регистрации пользователя Windows обращается к защищенной информации из учетной записи, определяющей перечень доступных/запрещенных ресурсов. При этом используются разрешения, определяющие доступ к совместно используемым файлам, папкам и сетевым ресурсам. Информация о пользовательских учетных записях хранится в защищенной базе данных Security Accounts Manager (SAM). С целью отслеживания каждой записи и связанных с нею прав и разрешений применяется значение переменной длины, называемое идентификатором безопасности (SID). В момент создания пользовательской учетной записи ей присваивается уникальный идентификатор SID. В Windows 2000/XP все значения SID начинаются с сокращения S-1. Затем следует ряд чисел, уникальным образом идентифицирующих каждую учетную запись. Доступ к этим идентификаторам осуществляется с помощью системного реестра. Если пользователь работает в корпоративной сети, то могут использоваться доменные учетные записи. Доменные учетные записи хранятся на центральном компьютере, который называется доменным контроллером. При этом в процессе регистрации в поле Log On To (Регистрация) в окне Log On To Windows (Регистрация в Windows) указывается имя компьютера (при регистрации с применением локальной учетной записи) или название домена (в случае регистрации с использованием доменной учетной записи). Каждая доменная пользовательская учетная запись имеет собственный уникальный идентификатор SID. Эта запись хранится в каталоге домена, который управляется доменным контроллером. Каждый участник домена может связываться с этой базой данных и использовать находящийся там список учетных записей. Поэтому пользователь индивидуального компьютера, указав название доменной группы безопасности, может передавать право доступа к ресурсам общего пользования. Встроенные пользовательские учетные записи Windows 2000/XP После завершения установки Windows 2000/XP создаются несколько встроенных пользовательских учетных записей, которым назначены определенные привилегии и ограничения: Администратор (Administrator). Данная учетная запись предоставляет полный набор прав доступа для всего компьютера. Являясь постоянным членом группы Administrators, эта учетная запись позволяет реализовать неограниченный доступ ко всем файлам и ключам системного реестра. Учетная запись Administrator может создавать другие учетные записи пользователей. Гость (Guest). Учетная запись Guest предназначена для случайных пользователей или же тех, кто обращается к данной системе однократно. Заданные по умолчанию привилегии для этой учетной записи довольно ограниченны. Пользователи-гости могут только выполнять программы и сохранять документы, управлять ресурсами ЭВМ они не имеют права. HelpAssistant. Учетная запись HelpAssistant, используемая для сеансов Remote Assistance, по умолчанию отключена (и защищена строгим паролем). Она устанавливается на компьютере начинающего пользователя и предназначена для регистрации удаленного эксперта. SUPPORT_xxxxxxxx. Windows XP может содержать одну или несколько учетных записей, которые предназначены для реализации интерактивной поддержки и обслуживания поставщиками, например компанией Microsoft либо производителем вашего компьютера. Здесь ххххххххх представляет номер, определяемый поставщиком. 2. Группы безопасностиДля облегчения администрирования несколько учетных записей можно объединить в одну группу и назначать унифицированные права доступа всем ее членам, а не каждому пользователю в отдельности. Такая группа будет называться группой безопасности. Группы безопасности позволяют организовать пользовательские учетные записи в соответствии с требованиями к уровню безопасности. Можно создать группу безопасности дома, в офисе, можно сформировать группу, объединяющую всех бухгалтеров и т.д. При этом разрешения, определяющие уровень безопасности, можно присваивать всей группе или отдельным пользователям. Пользовательская учетная запись может относиться к одной группе, к нескольким группам либо вообще не быть связанной ни с одной из групп. Несмотря на то, что привилегии можно передавать каждой пользовательской учетной записи, этот путь достаточно утомителен и часто приводит к ошибкам. Передача привилегий отдельным пользовательским учетным записям свидетельствует о недостаточной практической подготовке администратора. Лучше присваивать разрешения и права доступа группам, а затем добавлять пользовательские учетные записи в группу, имеющую соответствующие привилегии. Типы учетных записейДля Windows XP характерен термин тип учетной записи. Обычно этот термин имеет значение при обращении к инструменту User Accounts (Пользовательские учетные записи) в панели управления. Тип учетной записи позволяет описать членство в группе безопасности. И хотя допускается произвольное количество групп безопасности, Windows XP относит каждую пользовательскую учетную запись к одному из четырех указанных типов: Computer administrator (администраторы компьютера). Члены указанной группы Administrators (Администраторы) классифицируются в качестве учетных записей администраторов компьютера. Limited (ограничения). Члены группы Users (Пользователи) классифицируются с помощью учетных записей с ограничениями. Guest (Гости). Члены группы Guests (Гости) ассоциируются с гостевыми учетными записями. Unknown (неизвестные). Учетная пользовательская запись, не включенная в группы Administrators, Users или Guests, относится к категории неизвестных учетных записей. Поскольку учетные записи, создаваемые с помощью утилиты User Accounts из панели управления, присваиваются группе Administrators или группе Users, неизвестные учетные записи встречаются только при обновлении ранних версий Windows, а также при обращении к, консоли Local Users And Groups или к команде Net Localgroup при контроле членства в группах. Встроенные группы безопасности В состав Windows входит несколько встроенных групп безопасности. Каждая из них имеет заранее определенный набор прав доступа, разрешений и ограничений. Ниже приводится краткое описание этих групп. Администраторы - Наиболее мощная группа, обеспечивающая полный контроль над системой. Администратор имеет право выполнять следующие операции: установка операционной системы и ее компонентов; установка пакетов обновления; обновление операционной системы; восстановление операционной системы; настройка главных параметров операционной системы (политики паролей, управления доступом, политики аудита, настройки драйверов в режиме ядра и так далее); вступление во владение файлами, ставшими недоступными; управление журналами безопасности и аудита; архивирование и восстановление системы. Опытные пользователи (Power Users) - Включает многие, но не все привилегии, присущие группе администраторов. Опытный пользователь имеет право выполнять следующие операции: выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения; устанавливать программы, не изменяющие файлы операционной системы, и системные службы; настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления; создавать и управлять локальными учетными записями пользователей и групп; останавливать и запускать системные службы, не запущенные по умолчанию. Пользователи (Users) - Ограниченный набор привилегий для пользователей, которые не нуждаются в администрировании системы. Пользователь имеет право выполнять следующие операции: запускать только сертифицированные для Windows приложения; создавать локальные группы и управлять ими; создавать и изменять свои файлы; Гости (Guests) - Поддержка ограниченного доступа для случайных пользователей и гостей. Операторы архива (Backup Operators) - Предоставление привилегий, требуемых для восстановления файлов и папок. Члены этой группы могут архивировать и восстанавливать файлы на компьютере независимо от всех разрешений, которыми защищены эти файлы. Репликаторы (Replicator) - Обеспечение возможности управления репликацией, присущей доменным сетям. Операторы настройки сети (Network) - Члены этой группы допускаются к установке, конфигурированию сетевых компонентов. Пользователи удаленного рабочего стола (Remote) - Обеспечение доступа к компьютеру посредством удаленного рабочего стола (Remote Desktop). Позволяет специалистам в удаленном режиме просматривать действия, происходящие на экране компьютера или брать на себя управление рабочей станцией в случае возникновения проблем. HelpServices - Предоставление возможности техническому персоналу подключаться к вашему компьютеру. Для обеспечения высокой степени безопасности в процессе текущей работы рекомендуется не регистрироваться сотрудникам (даже самим администраторам) с правами доступа администратора. Вместо этого при ежедневной работе надо воспользоваться учетной записью с несколько меньшими системными привилегиями. Регистрироваться в роли администратора следует только в тех случаях, когда требуется выполнять именно административные задания. Подобный подход позволит избежать нарушений в системной конфигурации, инфицирования операционной системы вирусом, а также создаст заслоны для внедрения «троянских коней». В Windows 2000 свои ежедневные обязанности можно выполнять в рамках группы Power Users. |