Тема: «Управление пользователями и группами»
План
Введение
- Группы
- Влияние групп на производительность сети
- Планирование организационных единиц
- Создание организационных единиц
Введение
Основная задача сети — обеспечивать пользователей доступом к файлам папкам, приложениям, принтерам и соединениям с Internet, которые требуются для выполнения их работы. Администратору сети требуются дополнительные возможности, например, скрытие информации от тех, кому она не нужна, а также защита пользователей от них самих. Ключом к выполнению всех этих требований является конфигурирование организационных единиц, групп, пользователей и групповых политик.
- Группы
По определению, группы в семействе Microsoft Windows Server 2003 являются объектами службы каталогов Active Directory или объектами локального компьютера, в которые входят пользователи, контакты, компьютеры или другие группы. Вообще говоря, группа — это просто набор пользовательских учетных записей. Назначение групп — упростить администрирование, чтобы администратор сети мог присваивать права и полномочия на уровне групп, а не каждому пользователю по отдельности.
- Классификация
В Windows Server 2003 существуют два типа групп: безопасности и распространения. Почти все группы, используемые в Windows 2000 и Windows Server 2003, — это группы безопасности, поскольку только этому типу групп могут присваиваться полномочия. Для каждой группы безопасности также назначается область действия группы (group scope), которая определяет, каким образом членам группы присваиваются полномочия. Программы, которые могут выполнять поиск в Active Directory, могут использовать группы безопасности для целей, не связанных с безопасностью, таких как отправка электронной почты, группе пользователей. Группы распространения не имеют полномочий системы безопасности, и они могут использоваться только с приложениями электронной почты для отправки сообщений наборам пользователей.
- Назначение областей действия групп
После того, как группа создана, ей назначается область действия, которая, в свою очередь, определяет, каким образом будут присваиваться полномочия. Существует три области действия групп:
- глобальная;
- локальная в домене;
- универсальная.
- Глобальная область действия
Группа с глобальной областью действия глобальна в том смысле, что она позволяет предоставлять полномочия доступа к ресурсам, находящимся в любом домене. Но члены группы могут принадлежать только тому домену, в котором создана данная группа, и в этом смысле она не глобальна. Глобальные группы лучше всего использовать для требующих частого обслуживания объектов каталога, таких как учетные записи пользователей и компьютеров. Глобальные группы могут быть членами универсальных и локальных групп в любом домене, и их членами могут быть:
- другие глобальные группы в том же домене;
- отдельные учетные записи из того же домена.
- Локальная в домене область действия
Локальная в домене группа противоположна глобальной группе в том смысле, что ее члены могут принадлежать любому домену, но они могут иметь полномочия доступа к ресурсам только того домена, в котором создана данная группа. Члены локальной в домене группы имеют одинаковые требования доступа к определенным ресурсам в отдельном домене. Локальные в домене группы могут содержать одного или нескольких членов следующих типов:
- другие локальные в домене группы того же домена;
- глобальные группы из любого домена;
- универсальные группы из любого домена;
- отдельные учетные записи из любого домена.
Примечание. Правила вложенности могут применяться в полном объеме только при собственном режиме (native mode), когда все контроллеры данного домена являются серверами Microsoft Windows 2000 или Windows Server 2003. В доменах со смешанным режимом (mixed mode) группы безопасности с глобальной областью действия могут содержать только индивидуальные учетные записи, но не другие группы. Группы безопасности с локальной в домене областью действия могут содержать и глобальные группы, и учетные записи.
- Универсальная область действия
Универсальная группа безопасности может содержать членов любого домена, и ей Могут быть присвоены полномочия доступа к ресурсам любого домена. Универсальная область действия может показаться идеальным решением для организации с несколькими доменами, но ее применение возможно только для доменов, работающих в собственном режиме.
Практические советы. Влияние групп на производительность сети
Важность планирования групп станет еще более очевидной, когда вы оцените негативное влияние, которое может оказывать на производительность сети организация ваших групп. Когда пользователь входит в сеть, контроллер домена определяет групповую принадлежность данного пользователя и присваивает ему маркер безопасности. Этот маркер содержит, помимо идентификатора учетной записи пользователя, идентификаторы безопасности (S1D) всех групп, которым принадлежит данный пользователь. И чем больше групп, которым он принадлежит, тем больше времени потребуется для создания маркера и входа пользователя в сеть.
Кроме того, созданный маркер безопасности передается каждому компьютеру, на который входит данный пользователь. Этот компьютер проверяет все идентификаторы безопасности на полномочия доступа ко всем разделяемым ресурсам данного компьютера. Большое число пользователей при большом количестве разделяемых ресурсов (включая отдельные папки) может потребовать использования значительной доли пропускной способности сети и длительного времени на обработку. Одно из решений этой проблемы — ограничение состава групп безопасности. Для пользователей, которым не требуются специальные полномочия и права, используйте группы распространения.
Группы с универсальной областью действия сами по себе оказывают влияние на производительность сети, поскольку все такие группы вместе со своими членами представлены в глобальном каталоге (Global Catalog). При любом изменении в составе группы с универсальной областью действия этот факт должен быть передан всем серверам глобального каталога в дереве доменов, что увеличивает трафик репликации в сети. Группы с глобальной или локальной в домене областью действия также представлены в глобальном каталоге (но не их отдельные члены), поэтому решение заключается в том, чтобы ограничить состав универсальных групп, сведя его преимущественно к глобальным группам.
- Планирование организационных единиц
Организационная единица (OU) используется в соответствии с ее названием как средство организации набора объектов внутри домена. OU может содержать любой набор объектов Active Directory, таких как: принтеры, компьютеры, группы и т.д.
Раньше при излишнем разрастании домена обычно происходило разбиение этого домена на несколько доменов. Организационные единицы представляют альтернативную административную подструктуру, которая является намного более гибкой. Их можно формировать в виде иерархии внутри домена, а административное управление можно делегировать по функциям в одном OU или в целом поддереве организационных единиц. (OU — это минимальный компонент, которому вы можете делегировать административное управление.) В то же время организационные единицы можно легко модифицировать, перемещать, переименовывать и даже удалять. Еще одно преимущество состоит в том что, в отличие от домена, поддереву организационных единиц не требуется контроллер домена.
Практические советы. Организационные единицы или новый домен?
К сожалению, не существует твердых правил для выбора между разбиением разрастающейся сети на домены и использованием новых OU. Если выполняется любое из следующих условий, то, видимо, нужно использовать несколько доменов:
- требуется децентрализованное администрирование;
- сеть охватывает конкурирующие деловые подразделения или совместные предприятия;
- части сети соединены очень медленными каналами (например, с
помощью аналоговых модемов), поэтому полная репликация вызовет серьезные
проблемы
трафика. Если это не слишком медленный канал, то вы можете использовать
несколько сайтов (областей) в одном домене, и тогда репликация будет менее частой; - требуются различные политики учетных записей. Поскольку политики
учетных
записей применяются на уровне домена, очень отличающиеся политики могут
потребовать создания отдельных доменов.
К ситуациям, когда стоит использовать организационные единицы, относятся следующие случаи:
- требуется локализованное и/или жестко контролируемое администрирование;
- структура данной организации требует распределения сетевых объектов по отдельным контейнерам;
- структура, которую вы хотите разделить на отдельные части, видимо, со временем изменится.
Поэтому обычно в ситуациях, требующих гибкой и даже «подвижной» структуры, имеет смысл использовать организационные единицы.
Организационные единицы — это только контейнеры; они не предоставляют Членство и не являются центрами безопасности. Права и полномочия предоставляются пользователям путем их включения в группы. После создания ваших групп используйте организационные единицы или организуйте объекты-группы и назначайте параметры Group Policy.
- Создание групп
Для создания и удаления групп используйте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Группы следует создавать в контейнере Users (Пользователи) или в организационной единице (OU), которые вы создаете специально для хранения групп. Чтобы создать группу, выполните следующие шаги.
- Откройте оснастку Active Directory Users and Computers из меню Adminislrative Tools.
- Раскройте домен, в котором нужно создать группу.
- Щелкните правой кнопкой на контейнере Users, укажите команду New и выберите и контекстном меню пункт Group (Группа).
- Заполните требуемую информацию.
- Имя группы (Group name) должно быть уникальным в данном домене.
- Имя в поле Group name будет заполнено автоматически.
- В секции Group Scope (Область действия группы) выберите вариант DomainLocal (Локальная в домене), Global (Глобальная) или Universal (Универсальная).
• В секции Group Type (Тип группы) выберите Security (Группа безопасности) или Distribution (Группа распространения).
5. По окончании щелкните на кнопке ОК. В контейнере Users появится новая группа. Возможно, вам придется подождать несколько минут, пока группа не будет реплицирована в глобальный каталог, после чего вы сможете добавлять членов группы.
- Удаление групп
Не создавайте группы, которые вам не нужны, а те группы, которые вам больше не нужны, удаляйте сразу же из системы. Ненужные группы представляют риск для безопасности, поскольку вы можете случайно предоставить полномочия доступа там, где это делать не следует.
Каждая группа, как и каждый пользователь, имеет уникальный идентификатор безопасности (security identifier — SID). SID используется для идентификации группы и полномочий, присвоенных этой группе. При удалении группы SID тоже удаляется и больше не используется. Если вы удалили группу и затем решили снова создать ее, вам придется конфигурировать пользователей и полномочия, как для новой группы.
Чтобы удалить группу, щелкните правой кнопкой на ее имени в оснастке Active Directory Users and Computers и выберите в контекстном меню пункт Delete. При удалении группы происходит удаление только самой группы и полномочий, связанных с этой группой. Это не влияет на учетные записи пользователей, являющихся членами этой группы.
- Локальная группа
Локальная группа — это набор пользовательских учетных записей на одном компьютере. Пользовательские учетные записи должны быть локальными дли данного компьютера, и членам локальной группы могут присваиваться полномочия доступа только к ресурсам того компьютера, на котором создана данная локальная группа. Локальные группы можно создавать на любом компьютере с Windows Server 2003, за исключением контроллера домена. Обычно вам не нужны локальные группы на компьютере, входящем в какой-либо домен, или, по крайней мере, это требуется нечасто. Локальные группы не включаются в Active Directory, поэтому вы должны администрировать их по отдельности на соответствующем компьютере. Для создания локальной группы выполните следующие шаги.
- Щелкните правой кнопкой на значке рабочего стола My Computer (Мой компь
ютер) и выберите в контекстном меню пункт Manage (Управление). - В дереве консоли раскройте узел System Tools
(Системные средства) и затем рас
кройте узел Local Users And Groups (Локальные пользователи и группы). - Щелкните правой кнопкой на папке Groups (Группы) и выберите в
контекст
ном меню пункт New Group (Создать группу). - В диалоговом окне New Group
введите имя группы. При необходимости можно
ввести описание группы. - Щелкните на кнопке Add, чтобы добавить членов
в группу (вы можете сделать
это в данный момент или позже). - По окончании щелкните на кнопке Create (Создать), и в списке
групп правой
панели появится новая группа.
Когда вы создаете домен Active Directory с одним или несколькими контроллерами домена Windows Server 2003, в контейнерах Users (Пользователи) и Built-in (Встроенные) автоматически создаются встроенные группы. Многие из этих групп имеют также встроенные права, которые автоматически присваиваются членам такой группы.
Но все действия по созданию групп и пользователей выполняются в Active Directory.
- Active Directory (AD) — это
объектно-ориентированная, иерархическая, распределенная система базы данных
службы каталогов, которая обеспечивает централизованное хранение информации об
оборудовании, программном обеспечении и человеческих ресурсах всей
корпоративной сети.
- Служба каталогов — это комплексная, жизненно важная часть инфраструктуры корпоративной сети, и ее следует протестировать, прежде чем внедрять в работающие сети в особенности те, что выполняют критические функции.
Active Directory составлена из объектов, которые представляют различные ресурсы в сети, такие как пользователи, серверы, принтеры и приложения. Объект — это набор атрибутов, которые определяют ресурс, дают ему имя описывают его возможности и указывают тех, кому разрешено использовать его. Некоторые из атрибутов объекта присваиваются ему автоматически при его создании, такие как глобальный уникальный идентификатор (GLID) назначаемый каждому объекту, в то время как другие задает администратор сети. Объект пользователя, например, имеет атрибуты, которые хранят информацию о самом пользователе, представляемом объектом, например, имя учетной записи, пароль, номер телефона, адрес электронной почты, а также информацию о других объектах, с которыми пользователь взаимодействуем. Существует множество различных типов объектов, каждый из которых имеет свой набор атрибутов, зависящий от функций типа.
- Типы объектов
В Active Directory существует два основных типа объектов: объекты-контейнеры и объекты-листья. Контейнер — это просто объект, который содержит другие объекты, в то время как лист не может хранить другие объекты. Объекты-контейнеры фактически выполняют те же функции, что и ветви дерева, а объекты-листья «растут» из ветвей. Active Directory использует контейнеры в качестве организационных единиц (OU, organizational unit) и групп, чтобы хранить другие объекты. Контейнеры могут содержать иные контейнеры или объекты-листья, такие как пользователи и компьютеры. Руководящий принцип структуры дерева каталогов заключается в том, что права и разрешения распространяются вниз по дереву. Назначение контейнеру права говорит о том, что по умолчанию все объекты в контейнере наследуют это право. Данный факт позволяет администраторам управлять доступом к сетевым ресурсам, назначая права и разрешения контейнерам, а не отдельным пользователям. Пo умолчанию дерево Active Directory составлено из объектов, которые представляют пользователей и компьютеры в сети, логических объектов, используемых для их упорядочивания, а также папок и принтеров, к которым пользователи должны иметь постоянный доступ. Эти объекты, их функции и пиктограммы, используемые для представления их в служебных программах, таких как Active Directory Users and Computers.
- Учетные записи.
- Создание учетных записей пользователей
Для каждого человека, который имеет доступ к сети, требуется пользовательская учетная запись. Учетная запись пользователя позволяет:
- аутентифицировать «верительные данные» (identity) пользователя, подсоединяющегося к сети;
- управлять доступом к ресурсам домена;
- осуществлять аудит действий, выполняемых с помощью этой учетной записи.
Windows Server 2003 создает только две заранее определенные учетные записи: учетную запись Administrator, которая предоставляет все права и полномочия, и учетную запись Guest, которая имеет ограниченные права. Все остальные учетные записи создаются администратором и являются либо учетными записями на уровне Домена (действительны по умолчанию во всем домене), либо локальными учетными записями (их можно применять только на машине, где они созданы).
- Имена учетных записей пользователей
В Active Directory каждая учетная запись пользователя имеет основное имя (principal пате). Это имя состоит из двух частей: основное имя безопасности и суффикс основного имени. Для существующих учетных записей пользователей Windows NT основное имя безопасности по умолчанию совпадает с именем, которое используется для входа в Домен Windows NT. Для новых учетных записей пользователей Windows Server 2003 основное имя безопасности назначает администратор. По умолчанию суффикс основного имени совпадает с DNS-именем корневого домена в дереве доменов. Таким образом, пользователь, указанный как EduardoP в домене Windows NT, имеет основное имя EduardoP@scribes.com в Windows Server 2003 (а также в Windows 2000 Server).
- Параметры учетных записей
Планирование параметров учетных записей для пользователей упрощает процесс их создания. Нужно заранее учесть следующие параметры учетных записей.
- Logon Hours (Время входа). По умолчанию пользователь может
подсоединяться
в любое время дня или ночи. По причинам безопасности, возможно, потребуется ограничить доступ некоторых или всех пользователей определенными периодами дня или определенными днями недели. - Log On To (Подсоединяться к). По умолчанию пользователи могут
входить на
все рабочие станции. По причинам безопасности вы можете ограничить вход на
определенную машину или машины, если в данном домене установлен протокол NetBIOS. Без NetBIOS система Windows 2000 не может определять местоположение определенного входа. - Account Expiration (Срок действия учетной записи). Вы можете задать при необходимости
срок действия учетной записи. По очевидным причинам имеет смысл
задавать для временных работников срок действия, совпадающий с датой окончания из контрактов.
В учетных записях пользователей можно задавать и другие параметры — много других параметров; они подробно описываются в разделе «Задание свойств учетных записей пользователей». Три только что описанных параметра будут применяться, скорее всего, к большим группам пользователей.
Практические советы. Создание соглашения об именах
Основное имя безопасности следует присваивать с помощью постоянно действующего соглашения об именах, чтобы вы и ваши пользователи могли запоминать имена пользователей и находить их в списках. Вот некоторые возможные варианты.
- Имя плюс инициал фамилии. Например, MichaelG и SusanM. В случае совпадения имен можно добавлять номера (MichaelGl и MichaelG2) или достаточное количество букв, чтобы обеспечить однозначную идентификацию (IngridMat иIngridMur).
- Имя плюс номер. Например, Davel 12 и Dave 113. Здесь возможны
проблемы, если
имя имеет большое распространение. Трудно запомнить свое собственное пользовательское имя и еще труднее — идентифицировать других пользователей. - Инициал имени плюс фамилия. Например, MSmith. Если у вас работают
Linda
Smith и Louise Smith, то можно использовать LiSmith и LoSmith или LSmithl и
LSmith2. - Фамилия плюс инициалы. Это соглашение полезно использовать в
большой сети.
При наличии нескольких пользователей с одинаковой фамилией добавьте не
сколько букв, например, SmithLi или SmithLo.
Независимо от выбранного способа вы должны учесть не только существующих пользователей вашей сети, но и будущих пользователей. Поэтому, если в вашей компании появится сотрудник U Ti или Chomondely St.J.Montgomery-Glossup, в вашем соглашении об именах должны быть предусмотрены и такие имена.
- Пароли
Все ваши пользователи должны иметь хорошо подобранные пароли, и эти пароли должны периодически изменяться. Пароли следует выбирать согласно рекомендациям врезки с практическими советами «Правила для хороших паролей». Задавайте блокировку учетных записей на случай ввода неверных паролей. (Разрешите три-пять попыток, чтобы допустить возможность ошибки при вводе.)
Практические советы. Правила для хороших паролей
«Хороший» пароль имеет следующие характеристики:
- он не является перестановкой символов имени входа;
- он содержит не менее двух букв и хотя бы один небуквенный символ;
- он содержит не менее семи символов;
- это не имя и не инициалы пользователя, его детей или других близких к нему людей, и не комбинация этих элементов в сочетании с другими легкодоступными личными данными, такими как дата рождения, номер телефона или номер водительских прав.
Лучше всего использовать для паролей алфавитно-цифровые акронимы фраз, которые имеют смысл для данного пользователя, но, скорее всего, не известны другим людям. В результате пользователь легко запоминает пароль, и, в то же время, его трудно разгадать другим людям.
Имеет смысл научить пользователей созданию паролей и пониманию конфиденциальности паролей, но самое главное — проследите за тем, чтобы ваш собственный пароль, выбранный для администрирования, был достаточно хорошим паролем, и почаще изменяйте его. Это позволит избежать взлома вашей системы и последствий этого взлома. Если пользователи будут подсоединяться к сети через телефонные линии из дома или из удаленного сайта, вам могут потребоваться более жесткие меры безопасности по сравнению с авторизацией пароля на уровне домена.
Администраторам следую иметь две учетные записи на компьютере: одна учетная запись администратора и одна обычная пользовательская учетная запись. Если вы не выполняете административные задачи, используйте обычную пользовательскую учетную запись. Из-за привилегий, связанных с административными учетными записями, они являются главной целью злоумышленников
- Создание учетной записи пользователя на уровне домена
Учетные записи пользователей на уровне домена можно создавать в используемой по умолчанию организационной единице (OU) Users или использовать для них другую OU. Чтобы добавить учетную запись на уровне домена, выполните следующие шаги.
- Откройте оснастку Active Directory Users and Computers из меню Administrative Tools.
- Щелкните правой кнопкой на контейнере, в котором вы хотите создать
учетную
запись, укажите команду New и затем выберите в контекстном меню пункт User (Пользователь). - Введите имя (First name) и фамилию (Last name). Поле Full Name (Полное имя) будет заполнено автоматически. Полное имя должно быть уникальным в OU, где создается данная пользовательская учетная запись.
- Введите имя входа пользователя (User logon name), исходя из вашего соглашения об именах. Это имя должно быть уникальным в Active Directory. Поле User logon name (pre-Windows 2000) [Имя входа пользователя (пред-Windows 2000)] заполняется автоматически. Это имя, используемое для входа с компьютеров, работающих под управлением таких систем, как Windows NT. Щелкните на кнопке Next.
- Введите пароль и задайте политики пароля. Введите пароль и задайте политики пароля. Щелкните на кнопке Next. Появится окно подтверждения.
- Если компоненты учетной записи, которую вы собираетесь создать, заданы правильно, щелкните на кнопке Finish (Готово). Иначе используйте кнопку Back (Назад), чтобы внести поправки.
На данный момент новая учетная запись пользователя добавляется в OU с принятыми по умолчанию настройками. Скорее всего, эти настройки по умолчанию вам не совсем подходят, поэтому измените свойства этой новой учетной записи.
- Создание локальной учетной записи пользователя
Локальная учетная запись не позволяет выполнять вход в домен; она позволяет осуществлять доступ только к ресурсам компьютера, где она создана и используется. Чтобы создать локальную пользовательскую учетную запись, выполните следующие шаги.
- Щелкните правой кнопкой на значке My Computer и выберите в контекстном меню пункт Manage.
- В дереве консоли щелкните на узле Local Users and Groups. Щелкните правой кнопкой на строке Users и выберите в контекстном меню пункт New User (Новый пользователь).
- В диалоговом окне New User введите имя пользователя, полное имя и описание.
- Щелкните на кнопке Create.
На данный момент будет создана новая пользовательская учетная запись с настройками по умолчанию. Локальные учетные записи могут принадлежать локально созданным группам (на одном компьютере).
Контрольные вопросы:
- Что представляет собой учетная запись?
- Какие группы бывают по назначению и выполнению функций?
- Какие группы бывают по отношению к расположению компьютеров?
- В чем заключается отличие между локальными и глобальными группами?
- Что представляют собой объекты активного каталога?
- Какие функции выполняет служба активного каталога?
- Каково назначение групп?
- Какую функцию выполняет организационная единица?
- Каким образом должно формироваться имя учетной записи?
- Опишите порядок создания ученой записи?