Тема: «Учетные записи и группы» Вопросы темы - pismo.netnado.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Лабораторная работа №3 Тема: «Учетные записи пользователей и групп... 1 115.74kb.
Вопросы по бухгалтерскому учету (для экстерната) 1 21.09kb.
«Вторая мировая и Великая Отечественная война Советского Союза» 2 409.15kb.
Бухгалтерские счета и способ двойной записи 1 93.93kb.
Темы рефератов по языкознанию. Для 3 курса 7(3) группы. 2006 г 1 18.25kb.
2. Учетные унифицированные регистры 1 209.2kb.
Обязательно ли присутствие ребёнка при записи его в 1-ый класс? 1 128.07kb.
«Название темы реферативного доклада» 1 142.54kb.
Пакет контрольно-измерительных материалов для 302 группы Задание... 1 93.29kb.
Практическая работа №7 Тема : «Настройка локальной политики безопасности» 1 132.81kb.
Лекции являются собственностью студента Михалин Михаила Александровича. 1 261.12kb.
Неизвестная история майкопской милиции 1 73.99kb.
Урок литературы «Война глазами детей» 1 78.68kb.
Тема: «Учетные записи и группы» Вопросы темы - страница №1/1

Тема: «Учетные записи и группы»

Вопросы темы:

  1. Учетные записи, виды учетных записей.

  2. Управление учетными записями

  3. Группы, виды групп и управлении ими.

  4. Процесс регистрации пользователя.



  1. Учетные записи, виды учетных записей.

Мы уже говорили о том, что одной из главнейших задач администрирования стала задача сетевой безопасности системы.

Для этой цели используются вопросы идентификации и аутентификации пользователей.

Для каждого пользователя система должна быть в состоянии уникальным образом идентифицировать каждого клиента сети. Существует много способов идентификации, но наиболее распространенный среди них заключается в использовании символьной строки с идентификатором пользователя (User Identification Code – UID).

Процесс аутентификации пользователей – проверки подлинности, заключается в проверке системой того факта, что пользователь действительно является тем, за кого себя выдает. Чаще всего для проведения этой проверки используются пароли. Если соблюдены все правила присвоения паролей и пользователи тщательно им следуют, пароли становятся довольно эффективным средством аутентификации пользователей.

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows, поскольку назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.

Обычно право доступа ассоциируется с объектом – файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

Учетной записью пользователя называется уникальный личный код, несущий информацию о правах доступа к ресурсам.

Каждому пользователю, работающему в домене или на одном из его компьютеров, администратор заводит учетную запись. Учетные записи необходимы для осуществления контроля доступа пользователей к ресурсам домена или локальным ресурсам компьютера.



При создании учетной записи ей присваивается уникальный защитный код – Security Identifier или SID, который предоставляет собой число, идентифицирующее учетную запись.
Виды учетных записей:
В MS Windows предусмотрено три типа учетных записей:

  1. Локальная учетная запись – позволяет пользователю зарегистрироваться на конкретном компьютере, чтобы получить доступ к его ресурсам.

Локальная учетная запись позволяет пользователю войти в систему и получить доступ к ресурсам только того компьютера, на котором создана эта запись. При создании локальной учетной записи Windows создает запись только в базе данных системы защиты этого компьютера, которая называется локальной базой данных безопасности.

Т.о., локальная учетная запись:



        • предоставляет доступ к ресурсам локального компьютера;

        • создается только на компьютерах, не включенных в домен;

        • содержится в локальной БД безопасности.



  1. Учетная запись домена – позволяет пользователям получить доступ к домену и его ресурсам из любого места сети.

В процессе входа в систему пользователь вводит свой пароль и регистрационное имя.

На основе этих сведений Windows опознает пользователя и выделяет ему маркер доступа, который содержит информацию о пользователе и параметрах защиты.

Маркер доступа идентифицирует пользователя для компьютеров, работающих под управлением Windows, к ресурсам которых пользователь хочет получить доступ. Windows создает маркер доступа на время данной сессии.



Доменная учетная запись создается в копии БД каталога Active Directory на контроллере домена.

Этот контроллер реплицирует информацию о новой учетной записи на другие контроллеры домена. Затем все контроллеры в дереве домена могут опознать пользователя в процессе входа в систему.



Учетная запись домена:

  • предоставляет доступ к сетевым ресурсам в домене;

  • предоставляет маркер доступа для идентификации;

  • создается в Active Directory на контроллере домена.



  1. Встроенная учетная запись – позволяет выполнять функции администрирования или получать доступ к локальным или сетевым ресурсам.

Windows 2000/2003 автоматически создает встроенные учетные записи. Наиболее часто применяются встроенные учетные записи Administrator и Guest (Гость).
Встроенная учетная запись Administrator (Администратор).
Применяется для управления компьютером в целом. Если компьютер является частью домена, можно использовать ее для конфигурирования домена. Задачи, выполняемые с помощью учетной записи Administrator, включают создание и модификацию учетных записей и групп, управление политикой безопасности, установку принтеров, назначение разрешений учетным записям для доступа к ресурсам.

Удалить учетную запись Administrator нельзя.
Учетная запись Guest (Гость)
Использование встроенной учетной записи Guest (Гость) необходимо для предоставления возможности входа в систему временным пользователям.

Учетная запись Guest по умолчанию отключена. Активизируйте ее только в сетях, не требующих высокой степени защиты, и всегда назначайте пароль. Вы можете переименовать эту учетную запись, но не удалить ее.


2. Управление учетными записями


  1. Планирование учетных записей.

При планировании учетных записей необходимо учитывать правила именования новых учетных записей и требования для паролей.

Правила именования учетных записей:

  • Имена пользователей должны быть уникальны;

  • Имена пользователей могут содержать до 20 символов как строчных, так и прописных;

  • Недопустимо использование следующих символов: «/ \ [ ] : ; | = , + * ? < > ;

  • Необходимо согласовать учетные записи для пользователей с одинаковыми именами, например ИвановАВ или ИвановАлексейВ.




  1. Требования к паролям:

    • Всегда необходимо назначать пароль для учетной записи Администратор для предотвращения неавторизованного доступа;

    • Использовать нужно пароли, которые трудно угадать, т.е. нужно избегать паролей с очевидными ассоциациями (например, год рождения, имя родственника и т.д.);

    • Длина пароля может достигать 128 символов, рекомендуемая длина - восемь символов;

    • Необходимо использовать как строчные, так и прописные буквы, числа, а также допустимые алфавитно-цифровые символы.

Независимо от того, является ли компьютер под управлением Windows членом домена или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы и управлять ими.

Управление учетными записями пользователей и группами осуществляется при помощи консоли Управление компьютером. Вызвать ее можно , в меню Пуск выбрав Программы\Администрирование или щелкнув правой кнопки мыши значок Мой компьютер и в контекстном меню выбрав пункт Управление.


Для управления учетными записями пользователей нужно раскрыть ветвь дерева Локальные пользователи и группы в дереве консоли Управление компьютером и выбрать ветвь Пользователи.

В списке справа отображаются локальные и встроенные учетные записи пользователей. Все операции по управлению учетными записями осуществляются с помощью контекстного меню.





Создание новой учетной записи


В контекстном меню выберите Новый пользователь. В появившемся окне введите имя учетной записи (поле Пользователь), полное имя пользователя и описание учетной записи. При задании имени учетной записи рекомендуется использовать только латинские символы, цифры и некоторые знаки.

Поля Полное имя и Описание заполнять не обязательно. Достаточно удобно в качестве описания учетной записи указывать должность пользователя или кратко описывать выполняемые им функции.

Далее задается пароль для новой учетной записи. Допустимо использование пустого пароля, хотя это не рекомендуется из соображений безопасности.

При необходимости можно изменить параметры создаваемой учетной записи.



Таблица№1

Параметр

Описание


Потребовать смену пароля

при следующем входе в систему


Для входа пользователя в систему используется пароль, заданный при создании учетной записи. Сразу после успешной аутентификации пользователь получает запрос на смену пароля, в ответ на который он должен задать новый пароль. Этот подход необходимо использовать в тех случаях, когда администратор системы не должен знать пароли пользователей. Если установлен этот флажок, вы не можете установить флажки Запретить смену пароля пользователем и Срок действия пароля не ограничен



Запретить смену пароля пользователем


Пользователь не имеет права изменять пароль своей учетной записи. Обычно этот параметр устанавливается для учетных записей пользователей, работающих удаленно, или учетных записей, используемых для запуска различных служб. В обоих случаях владелец учетной записи все равно не может изменить пароль



Срок действия пароля не ограничен


По умолчанию срок действия пароля не ограничивается, но такое ограничение может быть установлено (и чаще всего устанавливается) через локальную или доменную политику безопасности. Данный параметр позволяет обойти это ограничение и используется обычно для учетных записей, от имени которых запускаются различные службы или для удаленных пользователей, не имеющих технической возможности сменить пароль по истечению срока его действия. Если срок действия пароля истек, пользователь не сможет войти в систему


Отключить учетную запись


Отключает учетную запись пользователя, запрещая ему вход в систему. Отключенная учетная запись не может быть использована ни для входа в систему, ни для доступа к компьютеру по сети, ни для запуска служб. Включать и отключать учетные записи может только администратор


После заполнения всех свойств новой учетной записи щелкните кнопку Создать. Учетная запись будет создана, а все поля окна добавления нового пользователя очистятся, предлагая вам ввести данные следующего пользователя. Если вы ввели всех пользователей, щелкните кнопку Закрыть.

Переименование учетной записи


Учетная запись любого пользователя, включая администратора, может быть переименована. Переименовать учетную запись вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя учетной записи пользователя и нажмите Enter. Дополнительного подтверждения при переименовании не требуется.

Изменение пароля учетной записи


Ни один пользователь системы, даже ее администратор, не может получить пароль пользователя в открытом виде. При необходимости работать с данными пользователя от его имени администратор может установить новый пароль и использовать его для входа в систему. Такая необходимость может возникнуть и при смене паролей пользователей, которые не могут сделать этого самостоятельно.

Любой пользователь для смены своего собственного пароля обязан ввести сначала старый, а потом новый пароль. При использовании консоли для управления пользователями администратор может устанавливать новые пароли пользователей, не зная старых.

Для смены пароля выберите пункт Задать пароль контекстного меню. Дважды введите новый пароль и щелкните ОК. Новый пароль начинает действовать немедленно.

Внимание!
После смены пароля пользователя рекомендуется выйти и снова войти в систему. Это необходимо, т. к. для аутентификации пользователя в сети используется маркер доступа, который выдается при входе в систему и содержит информацию о старом пароле, что может привести к невозможности доступа к некоторым ресурсам после смены пароля.

Удаление учетной записи


Чтобы удалить учетную запись, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения учетная запись будет удалена.

Внимание!
Очень осторожно относитесь к удалению учетных записей пользователей. При удалении учетной записи также теряется ее идентификатор безопасности, поэтому создание новой учетной записи после удаления пользователя с таким же именем учетной записи не вернет ему членство в группах и доступ к ресурсам, которые имела удаленная учетная запись. Поэтому рекомендуется сначала отключать учетные записи пользователей, а удалять их только при необходимости.

Внимание!
Системные учетные записи (Администратор и Гость) не могут быть удалены. Однако учетная запись гостя может быть отключена из соображений безопасности.
3. Группы, виды групп
Группой называют набор учетных записей пользователей, имеющих похожие потребности в ресурсах.

Группы упрощают администрирование, позволяя присваивать разрешения и привилегии сразу нескольким пользователям.

Разрешение определяет возможность пользователей работать с ресурсами: каталогами, файлами или принтерами. Предоставив разрешение, вы открываете пользователю доступ к ресурсу и задаете уровень доступа. Например, если нескольким пользователям разрешено читать один и тот же файл с конфиденциальным содержанием, объедините пользователей в группу, а затем предоставьте группе разрешение на чтение файла.

Привилегия позволяет пользователю выполнять системные задачи: например, изменять время на компьютере или создавать резервные копии файлов.

Т.о.,


  • Группа – это набор учетных записей пользователей;

  • Члены группы получают разрешения, представленные группе;

  • Пользователи могут входить в несколько групп;

  • Группы могут входить в другие группы.

Существуют локальные группы пользователей, глобальные группы (доменные) и встроенные группы.



    1. Локальные группы – содержат учетные записи пользователей, имеющих доступ к ресурсам локального компьютера и учетные записи домена.

    2. Глобальные группы – применяются только для объединения учетных записей пользователей домена.

    3. Системные (встроенные) группы – используются для разделения пользователей на категории в соответствии с объемом прав доступа к системе.


Локальная группаэто набор учетных записей пользователей на локальном компьютере, предназначенный для предоставления разрешений доступа к ресурсам на компьютере, где эта группа создана.

Windows создает локальные группы в локальной базе данных безопасности.

Рекомендации по использованию локальных групп таковы.


  • Не следует создавать локальные группы на компьютерах, включенных в домен.

  • Члены локальной группы получают разрешения на доступ только к ресурсам компьютера, где эта группа создана.

Примечание

На контроллере домена нельзя создать локальную группу, поскольку база данных безопасности контроллера домена не может быть независимой от базы данных Active Directory.



Правила членства в локальной группе следующие:

  • Локальная группа может содержать учетные записи пользователей только того компьютера, где была создана.

  • Локальная группа не может входить в состав других групп.



Управление локальными группами


Для управления локальными группами раскройте ветвь дерева Локальные пользователи и группы в древе консоли Управление компьютером и выберите ветвь Группы.

В списке справа отображаются локальные и встроенные группы. Все операции по управлению группами осуществляются при помощи контекстного меню.


Добавление группы


В контекстном меню выберите Новая группа.

В появившемся окне введите имя группы и ее описание. Поле описания не является обязательным, но желательно указать в нем сведения о том, для каких целей создается группа.

Щелкнув кнопку Добавить, можно сразу добавить пользователей в создаваемую группу.

Помимо пользователей, в локальные группы могут быть добавлены любые (локальные, глобальные и универсальные) группы домена.

Кроме пользователей в списке вы увидите ряд псевдогрупп, которые нельзя увидеть в оснастке Управление пользователями и группами, но можно использовать для назначения прав доступа и включения в другие группы.

После заполнения параметров новой группы щелкните кнопку Создать. Группа будет создана, а все поля окна добавления новой группы очистятся, предлагая вам ввести данные следующей группы. Если вы ввели все группы, щелкните кнопку Закрыть.


Изменение свойств группы


Чтобы изменить параметры группы, щелкните правой кнопки мыши имя соответствующей группы и в контекстном меню выберите Свойства. На вкладке Общие вы можете изменять те же параметры, что и при создании новой группы. Обратите внимание, что нельзя изменить имя группы, - это осуществляется только при помощи переименования. 

Переименование группы


Любая группа, включая встроенные, может быть переименована. Это возможно, т. к. Windows в качестве уникального идентификатора группы использует SID, а не ее имя. Переименовать группу вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя группы и нажмите Enter. Дополнительное подтверждение при переименовании не требуется.

Удаление группы

Чтобы удалить группу, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения группа будет удалена.



Очень осторожно относитесь к удалению групп. При удалении группы также теряется ее идентификатор безопасности, поэтому создание новой группы после удаления группы с таким же именем не вернет ей права доступа к ресурсам, которые имела удаленная группа.

Внимание!
Встроенные группы не могут быть удалены.

Встроенные группы:
Папка Группы содержит шесть встроенных групп:

  1. Администраторы -ее члены обладают полным доступом ко всем ресурсам системы.

  2. Операторы архива – члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки системы.

  3. Гости – эта группа позволяет выполнить регистрацию с помощью учетной записи Гость и получить ограниченные права на доступ к ресурсам системы.

  4. Опытные пользователи – члены данной группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Они могут также создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Пользователи, Гости и Опытные пользователи. Члены группы опытные пользователи не могут модифицировать членство в группах Администраторы и Операторы архива. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройства и модифицировать настройки безопасности и журнал событий.

  5. Репликатор – членом группы Репликатор должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена.

  6. Пользователи – члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Имеют ограниченные возможности.


4. Процесс регистрации пользователя.
В защищенной операционной систёме любой пользователь, перед тем как начать работу с системой, должен зарегистрироваться в системе, т.е. пройти идентификацию, аутентификацию и авторизацию.

Идентификация заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (учетный имя) и таким образом идентифицирует себя.

Аутентификация состоит в том, что пользователь предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация. В качестве аутентифицирующей информации в Windows используется пароль пользователя.

Авторизация доступа происходит после успешной идентификации и аутентификации. Windows на этом этапе создает маркер доступа, формирует рабочий стол и запускает начальный процесс от имени пользователя

Процесс регистрации пользователя в системе следующий:

  1. Ввод имени и пароля

  2. Аутентификация диспетчером учетных записей

  3. Создание маркера доступа для управления доступом к ресурсам.

  4. Запуск начального процесса от имени пользователя.

(см. ролик учебник «Администрирование»)


Контрольные вопросы:


  1. Где Windows создает локальные учетные записи?

  2. В чем разница между доменными и локальными учетными записями?

  3. Что надо учесть при планировании новых учетных записей?

  4. Какая информация необходима для создания локальной учетной записи?

  5. Что такое встроенные учетные записи и для чего они используются?

  6. Зачем нужно использовать группы?

  7. Как создать локальную группу?

  8. Каковы последствия удаления группы?

  9. Каковы различия между встроенными и обычными локальными группами?