Адміністрування користувачів з використанням локальних і глобальних груп

2

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ

КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ

Реферат з предмету: "Компютерні мережі "

На тему: "Адміністрування користувачів з використанням локальних і глобальних груп"

Студента групи 1ОКІСМ-06

Петренко Михайла

Перевірила: Дрокіна Т.М.

Краснодон 2009

Зміст

• Типи користувачів і груп користувачів
• Типи обєктів
• Типи операцій доступу
• 2. Локальні, глобальні і спеціальні групи
• 3. Вбудовані групи користувачів і їх права
• 4. Можливості користувачів
• 5. Дозволи на доступ до каталогів і файлів
• 6. Керування профілями користувачів
• 7. Аудит
• Призначення аудиту
• Реалізація політики аудита

1. Користувачі, ресурси та операції доступу

Адміністрування користувачів полягає у створенні облікової інформації користувачів (що визначає імя користувача, приналежність користувача до різних груп користувачів, пароль користувача), а також у визначенні прав доступу користувача до ресурсів мережі - компютерів, каталогів, файлів, принтерів і т.п.

Створення облікової інформації користувачів здійснюється в мережі Windows NT утилітою User Manager для локального компютера і User Manager for Domains для всіх компьеров домену. Права доступу до ресурсів задаються в мережі Windows NT різними засобами, залежно від типу ресурсу. Можливість використання компютерів Windows NT Workstation в якості робочих станцій - за допомогою User Manager for Domains, доступ до локальних каталогів і файлів (тільки для файлової системи NTFS, що підтримує права доступу) - за допомогою засобів Windows NT Explorer, до віддалених розділяються каталогами - за допомогою Server Manager, доступ до принтерів - з панелі Printers.

Типи користувачів і груп користувачів

У мережі Windows NT можуть бути визначені наступні типи користувачів та груп користувачів:

локальний інтерактивний користувач компютера (користувач, який заведено в локальній облікової базі даних компютера, і який працює з ресурсами компютера інтерактивно);

локальний мережний користувач компютера (користувач, який заведено в локальній облікової базі даних компютера, і який працює з ресурсами компютера через мережу);

користувач домену (користувач, який заведено в глобальній облікової базі даних домену на PDC);

локальна група компютера (може створюватися на всіх компютерах домену, крім PDC і BDC, в яких вона вироджується в локальну групу домену);

локальна група домену - складається з користувачів домену (заводиться тільки на PDC);

глобальна група домену - складається з користувачів домену (може входити в локальну групу домену).

Для кожного типу груп є деякий набір вбудованих груп: Administrators, Server Operators, Users, Everyone, DomainUsers та ін

Для однозначної ідентифікації глобальної групи в багато доменній мережі, використовується складений її імя, наприклад Marketing Managers, де Marketing - імя домену, Managers - заради глобальної групи.

Типи обєктів

Каталоги та файли. Процедури завдання правил доступу розрізняються для локальних і поділюваних (share) каталогів і файлів. Операції: read, full control, change, add,...;

Принтери;

Операційна система. По відношенню до цього типу обєктів визначаються права з виконання різних сервісів і утиліт: вхід, архівування файлів, зміна конфігурації панелей Program Manager,...

Типи операцій доступу

Операції доступу - це дії обєктів над субєктами. Операції можуть бути або дозволені, або заборонені, або взагалі не мати сенсу для даної пари обєкта і субєкта.

Всі безліч операцій поділяється на підмножини, що мають особливі назви:

дозволу (permissions) - це безліч операцій, які можуть бути визначені для субєктів усіх типів по відношенню до обєктів типу файл, каталог або принтер;

права (user rights) - визначаються для обєктів типу група на виконання деяких системних операцій: створення резервних копій, вимикання компютера (shutdown) і т.п. Права призначаються за допомогою User Manager for Domains;

можливості користувачів (user abilities) - визначаються для окремих користувачів на виконання дій, повязаних з формуванням їх операційного середовища, наприклад, зміна складу програмних груп, які показуються на екрані дисплея, включення нових ікон в Desktop, можливість використання команди Run і т.п.

Права та дозволи дані групі автоматично надаються її членам, дозволяючи адміністратору розглядати велику кількість користувачів як одиницю облікової інформації.

Можливості користувачів визначаються профілем користувача.

2. Локальні, глобальні і спеціальні групи

Windows NT Server використовує три типи груп: локальні, глобальні і спеціальні. Кожен тип має своє призначення, можливості та обмеження.

Локальна група може визначатися для домену або для компютера. Локальні групи дають користувачам права та дозволи на ресурси того компютера (або сайти), де зберігається облікова інформація локальної групи. Доступ до ресурсів компютера - Windows NT Workstation або Windows NT Server можуть бути визначені тільки для членів локальної групи цього компютера, навіть якщо ці компютери є членами домену. Наприклад, доступ до ресурсів сервера Windows NT Server 2 на малюнку 1 може бути визначений лише для користувачів, облікові дані яких зберігаються в SAM 2 цього компютера.

Так як база SAM PDC копіюється на всі BDC домену, то користувачі, визначені в PDC, можуть мати права на ресурси як PDC, так і всіх BDC домену.

Доступ до ресурсів компютера для користувачів домену забезпечується за рахунок механізму включення в локальну групу окремих користувачів домену і глобальних груп домену. Включені користувачі та групи отримують ті ж права доступу, що й інші члени цієї групи. Механізм включення глобальних груп в локальні є основним засобом централізованого адміністрування прав доступу в домені Windows NT.

Локальна група не може містити інші локальні групи. Тому в мережі, що використовує модель робочої групи немає можливості визначити на одному компютері всіх користувачів мережі та надавати їм доступ до ресурсів інших компютерів.

Рис. 1. Приклад глобальної групи

У будь-якому випадку локальна група обєднує деяке число користувачів і глобальних груп, яким присвоюється загальне імя - імя локальної групи. Локальні групи можуть включати користувачів і глобальні групи не тільки цього домену, але і будь-яких довіряємо доменів.

Windows NT Workstation і Server підтримують кілька вбудованих локальних груп для виконання системних завдань. Адміністратор може створювати додаткові локальні групи для управління доступом до ресурсів. Вбудовані локальні групи діляться на дві категорії - адміністратори (Administrators), які мають всі права та дозволи на цей компютер, і оператори, які мають обмежені права на виконання специфічних завдань. Для Windows NT Server є такі групи-оператори: оператори архівування (Backup Operator), реплікатори (Replicator), оператори сервера (Serevr Operator), принт-оператори (Print Operator) і оператори облікової інформації (Account Operator). Для Windows NT Workstation є тільки дві групи операторів - Backup Operators і Power Users.

Крім того, як на Windows NT Server, так і на Windows NT Workstation є вбудовані локальні групи Users - для звичайних користувачів, і Guests - для тимчасових користувачів, які не можуть мати профілю і повинні володіти мінімальними правами.

Для спрощення організації надання доступу користувачам з іншого домену в Windows NT введено поняття глобальної групи.

Глобальна група користувачів - це група, яка має імя і права, глобальні для всієї мережі, на відміну від локальних груп користувачів, які мають імена і права, дійсні тільки в межах одного домену. Адміністратор довіряючого домену може надавати доступ до ресурсів свого домену користувачам з глобальних груп тих доменів, яким довіряє даний домен. Глобальні групи можна включати до складу локальних груп користувачів ресурсного домену.

Глобальна група - це деяке число користувачів одного домену, які групуються під одним імям. Глобальним групам можуть даватися права і вирішення шляхом включення їх в локальні групи, які вже мають необхідні права та дозволи. Глобальна група може містити тільки облікову інформацію користувачів з локальних облікових баз даних, вона не може містити локальні групи або інші глобальні групи.

Існує три типи вбудованих глобальних груп: адміністратор домену (Domain Admins), користувачі домену (Domain Users) і гості домену (Domain Guests). Ці групи з самого початку є членами локальних груп адміністраторів, користувачів і гостей відповідно.

Необхідно використовувати вбудовані групи там, де тільки це можливо. Рекомендується формувати групи в такій послідовності:

В обліковому домені необхідно створити користувачів і додати їх до глобальних групам.

Увімкнути глобальні групи до складу локальних груп ресурсних доменів.

Надати локальним групам необхідні права та дозволи.

Спеціальна група - використовується виключно Windows NT Server для системного доступу. Спеціальні групи не містять облікової інформації користувачів і груп. Адміністратори не можуть приписати користувачів до цих груп. Користувачі або належать до цих груп за замовчуванням (наприклад, кожен користувач є членом спеціальної групи Everyone), або вони стають ними в залежності від своєї мережевої активності.

Існує 4 типи спеціальних груп:

Network (Cетевая)

Interactive (Інтерактивна)

Everyone (Кожен)

Creator Owner (Творець-Власник).

Будь-який користувач, який хоче отримати доступ до ресурсів, що розділяються по мережі, автоматично стає членом групи Network. Користувач, локально що ввійшов в компютер, автоматично включається до групи Interactive. Один і той же користувач в залежності від того, як він працює з компютером, буде мати різні права. Будь-який користувач мережі є членом групи Everyone. Адміністратор може призначити групі Everyone будь-які права. При цьому адміністратор може надати будь-які права користувачеві, не заводячи на нього облікової інформації на своєму компютері. Група Creator Owner містить облікову інформацію користувача, який створив ресурс або володіє ним.

У файловій системі NTFS дозволу групі Creator Owner даються на рівні каталогу. Власник будь-якого каталогу чи файлу, створеного в цьому каталогі, отримує дозволи, дані групі Creator Owner. Наприклад, можна призначити будь-якому каталогу для членів групи Everyone дозволу Read (Читання), а групі Creator Owner надати доступ Full Control (Повне управління). Будь-який користувач, який створює файли або підкаталоги в цьому каталозі, буде мати до них доступ Full Control.

3. Вбудовані групи користувачів і їх права

Права визначаються для обєктів типу група на виконання деяких системних операцій: створення резервних копій, вимикання компютера (shutdown) і т.п. Права призначаються за допомогою User Manager for Domains.

Оператори облікової інформації (Accounts operators) не можуть змінювати облікову інформацію адміністраторів, або ж змінювати глобальну групу Domain Admins або локальні групи Administrators, Server Operators, Account Operators, Print Operators або Backup Operators.

2Хотя члени групи Users мають право створювати локальні групи домену, але вони не зможуть ним скористатися, якщо їм не дозволено входити локально в сервер або не дозволено користуватися утилітою User Manager for Domains.

3Хотя Everyone має право блокувати сервер, тільки користувачі, які можуть також входити локально в цей сервер можуть насправді його заблокувати.

Схожі права можна задати і по відношенню до Windows NT Server, не виконує роль PDC або BDC - за допомогою утиліти User Manager for Domains, а також до Windows NT Workstation за допомогою утиліти User Manager.

4. Можливості користувачів

Можливості користувачів - визначаються для окремих користувачів на виконання нечисленних дій, що стосуються реорганізації їх операційного середовища:

Включення нових програмних одиниць (іконок) до групи програм панелі Program Manager;

Створення програмних груп Program Manager;

Зміна складу програмних груп;

Зміна властивостей програмних одиниць (наприклад, включення в стартову групу);

Запуск програм з меню FILE в Program Manager;

Встановлення зєднань з мережевим принтером, крім тих (які вже передбачені в профілі користувача).

Можливості користувача є частиною так званого профілю користувача (User Profile), який можна змінювати за допомогою утиліти User Profile Editor. Профіль поряд з описаними можливостями включає і встановлення середовища користувача на його робочому компютері, такі як кольори, шрифти, набір програмних груп та їх складу.

5. Дозволи на доступ до каталогів і файлів

Адміністратор може керувати доступом користувачів до каталогів і файлів в розділах диска, відформатували під файлову систему NTFS. Розділи, відформатовані під FAT і HPFS, не підтримуються засобами захисту Windows NT. Однак можна захистити колективні по мережі каталоги незалежно від того, яка використовується файлова система.

Для захисту файлу або каталогу необхідно встановити для нього дозволу (permissions). Кожне встановлене дозвіл визначає вид доступу, який користувач або група користувачів мають по відношенню до даного каталогу або файлу. Наприклад, коли ви встановлюєте дозвіл Read до файлу MY IDEAS. DOC для групи COWORKERS, користувачі з цієї групи можуть переглядати дані цього файлу і його атрибути, але не можуть змінювати файл або видаляти його.

Windows NT дозволяє використовувати набір стандартних дозволів, які можна встановлювати для каталогів і файлів. Стандартними дозволами для каталогів є: No Access, Read, Add, Add & Read, Change і Full Control.

При встановленні стандартної чіткості поруч з ним у дужках відображаються великі літери встановлених індивідуальних дозволів. Наприклад, при встановленні для файлу стандартної чіткості Read поруч зі словом Read зявляється абревіатура RX, яка означає, що стандартного дозволу Read відповідає установка двох індивідуальних дозволів - Read і Execute.

Адміністратор може з допомогою утиліти File Manager встановлювати як стандартні, так і індивідуальні дозволу.

Для того, щоб ефективно користуватися можливостями механізмів безпеки NTFS, потрібно памятати наступне:

Користувачі не можуть користуватися каталогом або файлом, якщо вони не мають дозволу на це, або ж вони не належать до групи, яка має відповідний дозвіл.

Дозволи мають накопичувальний ефект, за винятком дозволу No Access, яка скасовує всі інші наявні дозволу. Наприклад, якщо група CO-WORKERS має дозвіл Change для якогось файлу, а група Finance має для цього файлу тільки дозвіл Read, і Петров є членом обох груп, то в Петрова буде дозвіл Change. Однак, якщо дозвіл для групи Finance зміниться на No Access, то Петров не зможе використовувати цей файл, незважаючи на те, що він член групи, яка має доступ до файлу.

Коли ви створюєте в каталозі файли і підкаталоги, то вони успадковують дозволи, які має каталог.

Користувач, який створює файл чи каталог, є власником (owner) цього файлу або каталогу. Власник завжди має повний доступ до файлу або каталогу, тому що може змінювати дозволи для нього. Користувачі - члени групи Administrators - завжди можуть стати власниками будь-якого файлу або каталогу.

Найзручнішим шляхом управління захистом файлів і каталогів є установка дозволів для груп користувачів, а не для окремих користувачів. Зазвичай користувачу потрібен доступ до багатьох файлів. Якщо користувач є членом будь-якої групи, яка має доступ до цих файлів, то адміністратору простіше позбавити користувача цих прав, вилучивши його зі складу групи, а не змінювати дозволи для кожного файлу. Зауважимо, що установка дозволу для індивідуального користувача не скасовує дозволів, даних користувача як члену певної групи.

6. Керування профілями користувачів

Коли користувач локально входить перший раз на будь-який компютер, то для нього за умовчанням створюється профіль. Всі налаштування середовища (колір фону, шпалери, шрифти і т.п.) автоматично зберігаються в підкаталозі Profiles системного каталогу даного компютера, наприклад, C: NT40w Profiles username, де username - імя користувача. Профіль зберігається у файлі з імям ntuser. dat

Адміністратор також може настроювати профіль користувача, входячи в будь-який компютер під імям цього користувача.

На відміну від профілю користувача, що встановлюється за замовчуванням, існує також Roaming - переміщуваний профіль користувача, який формує одну й ту ж середовище для даного користувача, незалежно від того, з якого компютера він увійшов в мережу.

Переміщувані користувача профілі зберігаються централізовано на сервері, а не на локальних компютерах користувачів.

Адміністратор може визначити для користувача один з двох типів переміщуваних профілів.

Індивідуальний переміщуваний профіль, який користувач може змінювати. Будь-які зміни, які користувач вніс у своє середовище, вносяться в індивідуальний переміщуваний профіль тоді, коли користувач логічно виходить з мережі. Коли той же користувач входить знову, з сервера завантажується останній варіант профілю. Таким чином, якщо використовуються переміщувані індивідуальні профілі, то у кожного користувача є свій власний переміщуваний профіль. Цей профіль зберігається у файлі ntuser. dat в одному з поділюваних каталогів сервера.

Обовязковий (mandatory) переміщуваний профіль - це налаштована адміністратором профіль, який користувач не може змінити. Один обовязковий профіль може бути призначений декільком користувачам. Цей вид профілю доцільно призначати тих користувачів, яким потрібна однакова середу, наприклад, операціоністам банку. Обовязковий профіль повинен мати розширення. Man. Індивідуальний профіль можна зробити обовязковим, перейменувавши його з Ntuser. dat в Ntuser. man.

Починаючи з версії 4.0, адміністраторові пропонується більш потужний засіб керування профілями користувачів - System Policy Editor. З його допомогою адміністратор може змінювати профіль користувача, не входячи під його імям. При цьому він може встановлювати обмеження, які неможливо було б встановити, входячи під імям користувача, наприклад, заборона на використання команди Run. System Policy Editor може може використовуватися для формування як локальних, так і переміщуваних профілів. Переміщуваний профіль зберігається у файлі Ntconfig. pol в поділюваному каталозі Netlogon на PDC.

7. Аудит

Призначення аудиту

Аудит - це функція Windows NT, що дозволяє відстежувати діяльність користувачів, а також всі системні події в мережі. За допомогою аудиту адміністратор отримує інформацію:

про виконане дії,

про користувача, який виконав цю дію,

про дату і час виконання дії.

Адміністратор використовує політику аудиту (Audit Policy) для вибору типів подій, які потрібно відстежувати. Коли подія відбувається, в журнал безпеки того компютера, на якому воно відбулося, додається новий запис. Журнал безпеки є тим засобом, за допомогою якого адміністратор відстежує наступ тих типів подій, які він поставив.

Політика аудита контролера домену визначає кількість і тип фіксованих подій, що відбуваються на всіх контролерах домену. На компютерах Windows NT Workstation або Windows NT Server, що входять до домену, політика аудиту визначає кількість і тип фіксованих подій, що відбуваються тільки на даному компютері.

Адміністратор може встановити політику аудиту для домену для того, щоб:

відстежувати успішні і неуспішні події, такі як логічні входи користувачів, читання файлів, зміни в дозволах користувачів і груп, виконання мережевих зєднань тощо;

виключити або мінімізувати ризик несанкціонованого використання ресурсів;

аналізувати тимчасові тенденції, використовуючи архів журналу безпеки.

Аудит є частиною системи безпеки. Коли всі засоби безпеки відмовляють, записи в журналі виявляються єдиним джерелом інформації, на підставі якої адміністратор може зробити висновки про те, що сталося або готується відбутися в системі.

Встановлення політики аудита є привілейованим дією: користувач повинен або бути членом групи Administrators на тому компютері, для якого встановлюється політика, або мати права Manage auditing and security log.

Реалізація політики аудита

Політика аудиту встановлюється окремо для кожного компютера. Наприклад, для аудиту логічного входу користувачів до домену необхідно встановити політику аудиту на PDC (ця ж політика визначена і для всіх BDC домену). Для спостереження за доступом до файлів на сервер домену - member server-необхідно встановити політику аудиту на цьому сервері.

Події записуються в журнал певного компютера, але можуть переглядатися з будь-якого компютера мережі користувачем, який має права адміністратора на той компютер, де відбулася подія.

Встановлення політики аудита включає два етапи:

визначення політики аудиту за допомогою панелі Audit Policy утиліти User Manager for Domains або User Manager;

визначення каталогів, файлів і принтерів, доступ до яких необхідно відстежувати. Для цього використовується Windows NT Explorer або панель Printers. Спостереження за файлами і каталогами можливо тільки для файлової системи NTFS.

Перегляд журналу подій здійснюється за допомогою утиліти Event Viewer (журнал Security).