Информ технологии 2 семестр ОКС,Лекции Сети II сем,Сети Л Пользователи и группы домена Сети

Л Пользователи и группы домена Сети

лекция

Тема: «Управление пользователями и группами»

План

Введение

  1. Группы
  2. Влияние групп на производительность сети
  3. Планирование организационных единиц
  4. Создание организационных единиц

Введение

Основная задача сети —  обеспечивать пользователей доступом к файлам папкам, приложениям, принтерам  и соединениям с Internet, которые требуются для выполнения их  работы. Администратору сети требуются дополнительные возможности, например, скрытие информации от тех, кому она не нужна, а также защита пользователей от них самих. Ключом к выполнению  всех этих требований является конфигурирование  организационных единиц, групп, пользователей и групповых политик.

  1. Группы

По определению, группы в семействе Microsoft Windows Server 2003 являются объек­тами службы каталогов Active Directory или объектами локального компьютера, в которые входят пользователи, контакты, компьютеры или другие группы. Вообще говоря, группа — это просто набор пользовательских учетных записей. Назначение групп — упростить администрирование, чтобы администратор сети мог присваивать права и полномочия на уровне групп, а не каждому пользователю по отдельности.

  1. Классификация

В Windows Server 2003 существуют два типа групп: безопасности и распростра­нения. Почти все группы, используемые в Windows 2000 и Windows Server 2003, — это группы безопасности, поскольку только этому типу групп могут присваиваться полномочия. Для каждой группы безопасности также назначается область действия группы (group scope), которая определяет, каким образом членам группы присваи­ваются полномочия. Программы, которые могут выполнять поиск в Active Directory, могут использовать группы безопасности для целей, не связанных с безопасностью, таких как отправка электронной почты, группе пользователей. Группы распространения не имеют полномочий системы безопасности, и они могут использоваться только с приложениями электронной почты для отправки сообщений наборам пользователей.

  1. Назначение областей действия групп

После того, как группа создана, ей назначается область действия, которая, в свою очередь, определяет, каким образом будут присваиваться полномочия. Существует три области действия групп:

  1. глобальная;
  2. локальная в домене;
  3. универсальная.
    1. Глобальная область действия

Группа с глобальной областью действия глобальна в том смысле, что она позволяет предоставлять полномочия доступа к ресурсам, находящимся в любом домене. Но члены группы могут принадлежать только тому домену, в котором создана данная группа, и в этом смысле она не глобальна. Глобальные группы лучше всего исполь­зовать для требующих частого обслуживания объектов каталога, таких как учетные записи пользователей и компьютеров. Глобальные группы могут быть членами уни­версальных и локальных групп в любом домене, и их членами могут быть:

  • другие глобальные группы в том же домене;
  • отдельные учетные записи из того же домена.
    • Локальная в домене область действия

Локальная в домене группа противоположна глобальной группе в том смысле, что ее члены могут принадлежать любому домену, но они могут иметь полномочия дос­тупа к ресурсам только того домена, в котором создана данная группа. Члены ло­кальной в домене группы имеют одинаковые требования доступа к определенным ресурсам в отдельном домене. Локальные в домене группы могут содержать одного или нескольких членов следующих типов:

  • другие локальные в домене группы того же домена;
  • глобальные группы из любого домена;
  • универсальные группы из любого домена;
  • отдельные учетные записи из любого домена.

Примечание. Правила вложенности могут применяться в полном объеме только при собственном режиме (native mode), когда все контроллеры дан­ного домена являются серверами Microsoft Windows 2000 или Windows Server 2003. В доменах со смешанным режимом (mixed mode) группы безопасно­сти с глобальной областью действия могут содержать только индивидуаль­ные учетные записи, но не другие группы. Группы безопасности с локаль­ной в домене областью действия могут содержать и глобальные группы, и учетные записи.

  1. Универсальная область действия

Универсальная группа безопасности может содержать членов любого домена, и ей Могут быть присвоены полномочия доступа к ресурсам любого домена. Универсаль­ная область действия может показаться идеальным решением для организации с несколькими доменами, но ее применение возможно только для доменов, работающих в собственном режиме.

  Практические советы. Влияние групп на производительность сети

Важность планирования групп станет еще более очевидной, когда вы оцените нега­тивное влияние, которое может оказывать на производительность сети организа­ция ваших групп. Когда пользователь входит в сеть, контроллер домена определяет групповую принадлежность данного пользователя и присваивает ему маркер безо­пасности. Этот маркер содержит, помимо идентификатора учетной записи пользо­вателя, идентификаторы безопасности (S1D) всех групп, которым принадлежит дан­ный пользователь. И чем больше групп, которым он принадлежит, тем больше времени потребуется для создания маркера и входа пользователя в сеть.

Кроме того, созданный маркер безопасности передается каждому компьютеру, на который входит данный пользователь. Этот компьютер проверяет все идентифи­каторы безопасности на полномочия доступа ко всем разделяемым ресурсам дан­ного компьютера. Большое число пользователей при большом количестве разделя­емых ресурсов (включая отдельные папки) может потребовать использования значительной доли пропускной способности сети и длительного времени на обра­ботку. Одно из решений этой проблемы — ограничение состава групп безопасности. Для пользователей, которым не требуются специальные полномочия и права, ис­пользуйте группы распространения.

Группы с универсальной областью действия сами по себе оказывают влияние на производительность сети, поскольку все такие группы вместе со своими членами представлены в глобальном каталоге (Global Catalog). При любом изменении в со­ставе группы с универсальной областью действия этот факт должен быть передан всем серверам глобального каталога в дереве доменов, что увеличивает трафик реп­ликации в сети. Группы с глобальной или локальной в домене областью действия также представлены в глобальном каталоге (но не их отдельные члены), поэтому решение заключается в том, чтобы ограничить состав универсальных групп, сведя его преимущественно к глобальным группам.

  • Планирование организационных единиц

Организационная единица (OU) используется в соответствии с ее названием как средство организации набора объектов внутри домена. OU может содержать любой набор объектов Active Directory, таких как: принтеры, компьютеры, группы и т.д.

Раньше при излишнем разрастании домена обычно происходило разбиение этого домена на несколько доменов. Организационные единицы представляют альтерна­тивную административную подструктуру, которая является намного более гибкой. Их можно формировать в виде иерархии внутри домена, а административное уп­равление можно делегировать по функциям в одном OU или в целом поддереве организационных единиц. (OU — это минимальный компонент, которому вы можете делегировать административное управление.) В то же время организационные еди­ницы можно легко модифицировать, перемещать, переименовывать и даже удалять. Еще одно преимущество состоит в том что, в отличие от домена, поддереву органи­зационных единиц не требуется контроллер домена.

 Практические советы. Организационные единицы или новый домен?

К сожалению, не существует твердых правил для выбора между разбиением разрас­тающейся сети на домены и использованием новых OU. Если выполняется любое из следующих условий, то, видимо, нужно использовать несколько доменов:

  • требуется децентрализованное администрирование;
  • сеть охватывает конкурирующие деловые подразделения или совместные пред­приятия;
  • части сети соединены очень медленными каналами (например, с помощью ана­логовых модемов), поэтому полная репликация вызовет серьезные проблемы
    трафика. Если это не слишком медленный канал, то вы можете использовать
    несколько сайтов (областей) в одном домене, и тогда репликация будет менее частой;
  • требуются различные политики учетных записей. Поскольку политики учетных
    записей применяются на уровне домена, очень отличающиеся политики могут
    потребовать создания отдельных доменов.

К ситуациям, когда стоит использовать организационные единицы, относятся следующие случаи:

  • требуется локализованное и/или жестко контролируемое администрирование;
  • структура данной организации требует распределения сетевых объектов по от­дельным контейнерам;
  • структура, которую вы хотите разделить на отдельные части, видимо, со време­нем изменится.

Поэтому обычно в ситуациях, требующих гибкой и даже «подвижной» структу­ры, имеет смысл использовать организационные единицы.

Организационные единицы — это только контейнеры; они не предоставляют Членство и не являются центрами безопасности. Права и полномочия предоставляются пользователям путем их включения в группы. После создания ваших групп используйте организационные единицы или организуйте объекты-группы и назна­чайте параметры Group Policy.

  • Создание групп

Для создания и удаления групп используйте оснастку Active Directory Users and Computers (Пользователи и компьютеры Active Directory). Группы следует созда­вать в контейнере Users (Пользователи) или в организационной единице (OU), ко­торые вы создаете специально для хранения групп. Чтобы создать группу, выпол­ните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers из меню Adminislrative Tools.
  2. Раскройте домен, в котором нужно создать группу.
  3. Щелкните правой кнопкой на контейнере Users, укажите команду New и выбе­рите и контекстном меню пункт Group (Группа).
  4. Заполните требуемую информацию.
  5. Имя группы (Group name) должно быть уникальным в данном домене.
  6. Имя в поле Group name будет заполнено автоматически.
  7. В секции Group Scope (Область действия группы) выберите вариант DomainLocal (Локальная в домене), Global (Глобальная) или Universal (Универсаль­ная).

•    В секции Group Type (Тип группы) выберите Security (Группа безопасности) или Distribution (Группа распространения).

5. По окончании щелкните на кнопке ОК. В контейнере Users появится новая груп­па. Возможно, вам придется подождать несколько минут, пока группа не будет реплицирована в глобальный каталог, после чего вы сможете добавлять членов группы.

  • Удаление групп

Не создавайте группы, которые вам не нужны, а те группы, которые вам больше не нужны, удаляйте сразу же из системы. Ненужные группы представляют риск для безопасности, поскольку вы можете случайно предоставить полномочия доступа там, где это делать не следует.

Каждая группа, как и каждый пользователь, имеет уникальный идентификатор безопасности (security identifier — SID). SID используется для идентификации груп­пы и полномочий, присвоенных этой группе. При удалении группы SID тоже уда­ляется и больше не используется. Если вы удалили группу и затем решили снова создать ее, вам придется конфигурировать пользователей и полномочия, как для новой группы.

Чтобы удалить группу, щелкните правой кнопкой на ее имени в оснастке Active Directory Users and Computers и выберите в контекстном меню пункт Delete. При удалении группы происходит удаление только самой группы и полномочий, свя­занных с этой группой. Это не влияет на учетные записи пользователей, являющих­ся членами этой группы.

  • Локальная группа

Локальная группа — это набор пользовательских учетных записей на одном компь­ютере. Пользовательские учетные записи должны быть локальными дли данного компьютера, и членам локальной группы могут присваиваться полномочия доступа только к ресурсам того компьютера, на котором создана данная локальная группа. Локальные группы можно создавать на любом компьютере с Windows Server 2003, за исключением контроллера домена. Обычно вам не нужны локальные группы на компьютере, входящем в какой-либо домен, или, по крайней мере, это требуется нечасто. Локальные группы не включаются в Active Directory, поэтому вы должны администрировать их по отдельности на соответствующем компьютере. Для созда­ния локальной группы выполните следующие шаги.

  1. Щелкните правой кнопкой на значке рабочего стола My Computer (Мой компь­
    ютер) и выберите в контекстном меню пункт Manage (Управление).
  2. В дереве консоли раскройте узел System Tools (Системные средства) и затем рас­
    кройте узел Local Users And Groups (Локальные пользователи и группы).
  3. Щелкните правой кнопкой на папке Groups (Группы) и выберите в контекст­
    ном меню пункт New Group (Создать группу).
  4. В диалоговом окне New Group введите имя группы. При необходимости можно
    ввести описание группы.
  5. Щелкните на кнопке Add, чтобы добавить членов в группу (вы можете сделать
    это в данный момент или позже).
  6. По окончании щелкните на кнопке Create (Создать), и в списке групп правой
    панели появится новая группа.

Когда вы создаете домен Active Directory с одним или несколькими контроллерами домена Windows Server 2003, в контейнерах Users (Пользователи) и Built-in (Встроен­ные) автоматически создаются встроенные группы. Многие из этих групп имеют так­же встроенные права, которые автоматически присваиваются членам такой группы.

Но все действия по созданию  групп и пользователей выполняются в Active Directory.

  • Active Directory (AD) — это объектно-ориентированная, иерархическая, распределенная система базы данных службы каталогов, которая обеспечивает централизованное хранение информации об оборудовании, программном обеспечении и человеческих ресурсах всей корпоративной сети.
    • Служба каталогов — это комплексная, жизненно важная часть инфраструктуры  корпоративной сети, и ее следует протестировать, прежде чем внедрять в работающие сети в особенности те, что выполняют критические функции.

Active Directory составлена из объектов, которые представляют различные ресурсы в сети, такие как пользователи, серверы, принтеры и приложения. Объект — это набор атрибутов, которые определяют ресурс, дают ему имя описывают его возможности и указывают тех, кому разрешено использовать его. Некоторые из атрибутов объекта присваиваются ему автоматически при его создании, такие как глобальный уникальный идентификатор (GLID) назначаемый каждому объекту, в то время как другие задает администратор сети. Объект пользователя, например, имеет атрибуты, которые хранят  информацию о самом пользователе, представляемом объектом, например, имя учетной записи, пароль, номер телефона, адрес электронной почты, а также информацию о других объектах, с которыми пользователь взаимодействуем. Существует множество различных типов объектов, каждый из которых имеет свой набор атрибутов, зависящий от функций типа.

  • Типы объектов

В Active Directory существует два основных типа объектов: объекты-контейнеры и объекты-листья. Контейнер — это просто объект, который со­держит другие объекты, в то время как лист не может хранить другие объек­ты. Объекты-контейнеры фактически выполняют те же функции, что и вет­ви дерева, а объекты-листья «растут» из ветвей. Active Directory использует контейнеры в качестве организационных единиц (OU, organizational unit) и групп, чтобы хранить другие объекты. Контейнеры могут содержать иные контейнеры или объекты-листья, такие как пользователи и компьютеры. Руководящий принцип структуры дерева каталогов заключается в том, что права и разрешения распространяются вниз по дереву. Назначение контей­неру права говорит о том, что по умолчанию все объекты в контейнере на­следуют это право. Данный факт позволяет администраторам управлять дос­тупом к сетевым ресурсам, назначая права и разрешения контейнерам, а не отдельным пользователям. Пo умолчанию дерево Active Directory составлено из объектов, которые представляют пользователей и компьютеры в сети, логических объектов, исполь­зуемых для их упорядочивания, а также папок и принтеров, к которым поль­зователи должны иметь постоянный доступ. Эти объекты, их функции и пиктограммы, используемые для представления их в служебных программах, таких как Active Directory Users and Computers.

  • Учетные записи.
    • Создание учетных записей пользователей

Для каждого человека, который имеет доступ к сети, требуется пользовательская учетная запись. Учетная запись пользователя позволяет:

  • аутентифицировать «верительные данные» (identity) пользователя, подсоединяющегося к сети;
  • управлять доступом к ресурсам домена;
  • осуществлять аудит действий, выполняемых с помощью этой учетной записи.

Windows Server 2003 создает только две заранее определенные учетные записи: учетную запись Administrator, которая предоставляет все права и полномочия, и учет­ную запись Guest, которая имеет ограниченные права. Все остальные учетные за­писи создаются администратором и являются либо учетными записями на уровне Домена (действительны по умолчанию во всем домене), либо локальными учетны­ми записями (их можно применять только на машине, где они созданы).

  • Имена учетных записей пользователей

В Active Directory каждая учетная запись пользователя имеет основное имя (principal пате). Это имя состоит из двух частей: основное имя безопасности и суффикс основного имени. Для существующих учетных записей пользователей Windows NT основное имя безопасности по умолчанию совпадает с именем, которое используется для входа в Домен Windows NT. Для новых учетных записей пользователей Windows Server 2003 основное имя безопасности назначает администратор. По умолчанию суффикс основного имени совпадает с DNS-именем корневого домена в дереве доменов. Таким образом, пользователь, указанный как EduardoP в домене Windows NT, имеет основное имя EduardoP@scribes.com в Windows Server 2003 (а также в Windows 2000 Server).

  • Параметры учетных записей

Планирование параметров учетных записей для пользователей упрощает процесс их создания. Нужно заранее учесть следующие параметры учетных записей.

  • Logon Hours (Время входа). По умолчанию пользователь может подсоединяться
    в любое время дня или ночи. По причинам безопасности, возможно, потребует­ся ограничить доступ некоторых или всех пользователей определенными перио­дами дня или определенными днями недели.
  • Log On To (Подсоединяться к). По умолчанию пользователи могут входить на
    все рабочие станции. По причинам безопасности вы можете ограничить вход на
    определенную машину или машины, если в данном домене установлен прото­кол NetBIOS. Без NetBIOS система Windows 2000 не может определять местопо­ложение определенного входа.
  • Account Expiration (Срок действия учетной записи). Вы можете задать при необ­ходимости срок действия учетной записи. По очевидным причинам имеет смысл
    задавать для временных работников срок действия, совпадающий с датой окон­чания из контрактов.

В учетных записях пользователей можно задавать и другие параметры — много других параметров; они подробно описываются в разделе «Задание свойств учетных записей пользователей». Три только что описанных параметра будут применяться, скорее всего, к большим группам пользователей.

Практические советы. Создание соглашения об именах

Основное имя безопасности следует присваивать с помощью постоянно действую­щего соглашения об именах, чтобы вы и ваши пользователи могли запоминать име­на пользователей и находить их в списках. Вот некоторые возможные варианты.

  • Имя плюс инициал фамилии. Например, MichaelG и SusanM. В случае совпаде­ния имен можно добавлять номера (MichaelGl и MichaelG2) или достаточное количество букв, чтобы обеспечить однозначную идентификацию (IngridMat иIngridMur).
  • Имя плюс номер. Например, Davel 12 и Dave 113. Здесь возможны проблемы, если
    имя имеет большое распространение. Трудно запомнить свое собственное пользо­вательское имя и еще труднее — идентифицировать других пользователей.
  • Инициал имени плюс фамилия. Например, MSmith. Если у вас работают Linda
    Smith и Louise Smith, то можно использовать LiSmith и LoSmith или LSmithl и
    LSmith2.
  • Фамилия плюс инициалы. Это соглашение полезно использовать в большой сети.
    При наличии нескольких пользователей с одинаковой фамилией добавьте не­
    сколько букв, например, SmithLi или SmithLo.

Независимо от выбранного способа вы должны учесть не только существующих пользователей вашей сети, но и будущих пользователей. Поэтому, если в вашей ком­пании появится сотрудник U Ti или Chomondely St.J.Montgomery-Glossup, в вашем соглашении об именах должны быть предусмотрены и такие имена.

  • Пароли

Все ваши пользователи должны иметь хорошо подобранные пароли, и эти пароли должны периодически изменяться. Пароли следует выбирать согласно рекоменда­циям врезки с практическими советами «Правила для хороших паролей». Задавайте блокировку учетных записей на случай ввода неверных паролей. (Разрешите три-пять попыток, чтобы допустить возможность ошибки при вводе.)

Практические советы. Правила для хороших паролей

«Хороший» пароль имеет следующие характеристики:

  • он не является перестановкой символов имени входа;
  • он содержит не менее двух букв и хотя бы один небуквенный символ;
  • он содержит не менее семи символов;
  • это не имя и не инициалы пользователя, его детей или других близких к нему людей, и не комбинация этих элементов в сочетании с другими легкодоступны­ми личными данными, такими как дата рождения, номер телефона или номер водительских прав.

Лучше всего использовать для паролей алфавитно-цифровые акронимы фраз, которые имеют смысл для данного пользователя, но, скорее всего, не известны дру­гим людям. В результате пользователь легко запоминает пароль, и, в то же время, его трудно разгадать другим людям.

Имеет смысл научить пользователей созданию паролей и пониманию конфиден­циальности паролей, но самое главное — проследите за тем, чтобы ваш собственный пароль, выбранный для администрирования, был достаточно хорошим паролем, и почаще изменяйте его. Это позволит избежать взлома вашей системы и последствий этого взлома. Если пользователи будут подсоединяться к сети через телефонные ли­нии из дома или из удаленного сайта, вам могут потребоваться более жесткие меры безопасности по сравнению с авторизацией пароля на уровне домена.

Администраторам следую иметь две учетные записи на компьютере: одна учет­ная запись администратора и одна обычная пользовательская учетная запись. Если вы не выполняете административные задачи, используйте обычную пользовательс­кую учетную запись. Из-за привилегий, связанных с административными учетны­ми записями, они являются главной целью злоумышленников

  • Создание учетной записи пользователя на уровне домена

Учетные записи пользователей на уровне домена можно создавать в используемой по умолчанию организационной единице (OU) Users или использовать для них дру­гую OU. Чтобы добавить учетную запись на уровне домена, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers из меню Administrative Tools.
  2. Щелкните правой кнопкой на контейнере, в котором вы хотите создать учетную
    запись, укажите команду New и затем выберите в контекстном меню пункт User (Пользователь).
  3. Введите имя (First name) и фамилию (Last name). Поле Full Name (Полное имя) будет заполнено автоматически. Полное имя должно быть уникальным в OU, где создается данная пользовательская учетная запись.
  4. Введите имя входа пользователя (User logon name), исходя из вашего соглаше­ния об именах. Это имя должно быть уникальным в Active Directory. Поле User logon name (pre-Windows 2000) [Имя входа пользователя (пред-Windows 2000)] заполняется автоматически. Это имя, используемое для входа с компью­теров, работающих под управлением таких систем, как Windows NT. Щелкните на кнопке Next.
  5. Введите пароль и задайте политики пароля. Введите пароль и задайте политики пароля. Щелкните на кнопке Next. Появит­ся окно подтверждения. 
  6. Если компоненты учетной записи, которую вы собираетесь создать, заданы пра­вильно, щелкните на кнопке Finish (Готово). Иначе используйте кнопку Back (Назад), чтобы внести поправки.

На данный момент новая учетная запись пользователя добавляется в OU с при­нятыми по умолчанию настройками. Скорее всего, эти настройки по умолчанию вам не совсем подходят, поэтому измените свойства этой новой учетной записи.

  • Создание локальной учетной записи пользователя

Локальная учетная запись не позволяет выполнять вход в домен; она позволяет осуществлять доступ только к ресурсам компьютера, где она создана и используется. Чтобы создать локальную пользовательскую учетную запись, выполните следующие шаги.

  1. Щелкните правой кнопкой на значке My Computer и выберите в контекстном меню пункт Manage.
  2. В дереве консоли щелкните на узле Local Users and Groups. Щелкните правой кнопкой на строке Users и выберите в контекстном меню пункт New User (Но­вый пользователь).
  3. В диалоговом окне New User введите имя пользователя, полное имя и описание.
  4. Щелкните на кнопке Create.

На дан­ный момент будет создана новая пользовательская учетная запись с настройка­ми по умолчанию. Локальные учетные записи могут принадлежать локально со­зданным группам (на одном компьютере).

Контрольные вопросы:

  1. Что представляет собой учетная запись?
  2. Какие группы бывают по назначению и выполнению функций?
  3. Какие группы бывают по отношению к расположению компьютеров?
  4. В чем заключается отличие между локальными и глобальными группами?
  5. Что представляют собой объекты активного каталога?
  6. Какие функции выполняет служба активного каталога?
  7. Каково назначение групп?
  8. Какую функцию выполняет организационная единица?
  9. Каким образом должно формироваться имя учетной записи?
  10. Опишите порядок создания ученой записи?