Самоучитель системного администратора. 5-е издание

Download 19,93 Mb.

Pdf ko'rish

bet	44/141
Sana	27.06.2022
Hajmi	19,93 Mb.
	#710588

1 ... 40 41 42 43 44 45 46 47 ... 141

Bog'liq
Samouchitel-sistemnogo-administratora RuLit Me 610071

Глава 4
Учетные записи и права
Безопасность в операционных системах базируется на понятиях
учетной записи
и
предоставляемых ей
прав
.
Понятие учетной записи
Любая программа, запущенная на компьютере с любой современной операционной
системой, всегда выполняется от имени какого-либо пользователя и обладает дан-
ными ему правами. Например, вы работаете под пользователем
Den
, запустили тек-
стовый процессор и пытаетесь открыть какой-то файл. Если у пользователя
Den
есть право доступа к этому файлу, текстовый процессор сможет его открыть.
Опять-таки, права доступа бывают разными. Есть право чтения документа, есть
право изменения документа (записи). Если у пользователя
Den
нет права записи
открытого документа, сохранить изменения он не сможет. Однако вы можете вы-
брать команду
Сохранить как
и сохранить документ в своем домашнем каталоге.
Операционная система «различает» пользователей не по их имени (полному или
сокращенному), а по специальному уникальному номеру (идентификатору без-
опасности — Security Identifier, SID), который формируется в момент создания
новой учетной записи.
Операцию удаления учетной записи и последующего создания пользователя точно
с таким же именем входа операционная система будет оценивать как появление
нового
пользователя. Алгоритм формирования идентификатора безопасности поль-
зователя таков, что практически исключается создание двух учетных записей
с одинаковым номером. В результате новый пользователь не сможет, например,
получить доступ к почтовому ящику, которым пользовался удаленный сотрудник
с таким же именем, не прочтет зашифрованные им файлы, и т. п.
Именно поэтому, если каким-либо способом удалить пользователя
Den
, а затем
создать его заново, не нужно надеяться, что вы получите его права. SID’ы этих
двух учетных записей будут разными, следовательно, для системы старый пользо-
ватель
Den
и новый пользователь
Den
— это два разных пользователя. Поэтому
учетные записи можно легко переименовывать и менять любые иные их парамет-
ры. Для операционной системы после этих манипуляций ничего не изменится, по-
скольку такие операции не затрагивают идентификатор пользователя.
П
РИМЕЧАНИЕ
При создании новой учетной записи обычно определяются только имя пользователя и
его пароль. Но учетным записям пользователей — особенно при работе в компьютер-
ных сетях — можно сопоставить большое количество различных дополнительных па-
раметров: сокращенное и полное имя, номера служебного и домашнего телефонов,
адрес электронной почты, право удаленного подключения к системе и т. п. Такие па-
раметры являются дополнительными, их определение и использование на практике
зависит от особенностей построения конкретной компьютерной сети. Дополнительные
параметры могут быть использованы программным обеспечением — например, для
поиска определенных групп пользователей (см., например,
группы по запросу
).

Информационные системы предприятия
167
Каждый SID состоит из ID безопасности домена и уникального относительного ID
(relative ID, RID), который выделяется хозяином относительных идентификаторов.
Стандартные учетные записи имеют идентичные SID (перечень Well Known
Security Identifiers приведен, например, в документе KB243330). Например,
S-1-5-
18
— это SID учетной записи Local System;
S-1-5-19
— учетной записи NT
Authority\Local Service; SID
S-1-5-20
«принадлежит» учетной записи NT Autho-
rity\Network Service и т. д. Учетные записи пользователя домена «построены»
по такой же структуре, но обычно еще более «нечитаемы». Вот пример реального
доменного SID:
S-1-5-21-61356107-1110077972-1376457959-10462
П
РИМЕЧАНИЕ
Существует множество утилит, которые позволяют по имени входа пользователя оп-
ределить его SID и наоборот. Например, утилита getsid. В статье KB276208 базы зна-
ний Microsoft приведен код на Visual Basic, который позволяет выполнить запросы
SID/имя в обычном сценарии. Код хорошо комментирован и легко может быть приме-
нен без поиска специализированных утилит. Можно также установить на компьютер
утилиты Account Lockout and Management Tools, которые добавляют к оснастке управ-
ления пользователями в домене еще одну вкладку свойств, на которой, в том числе,
отображается и SID пользователя.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей:
локальные учетные записи
создаются на конкретном компьютере. Информация
о них хранится локально (в локальной базе безопасности компьютера) и локаль-
но же выполняется аутентификация такой учетной записи (пользователя).
Создать и изменить локальные учетные записи можно с помощью утилиты
Локальные пользователи и группы
;
доменные учетные записи
создаются на контроллерах домена. И именно кон-
троллеры домена проверяют параметры входа такого пользователя в систему.
Учетные записи пользователей домена создаются и изменяются с помощью
оснастки
Active Directory | Пользователи и компьютеры
.
Начиная с Windows 8, появился новый тип учетных записей —
учетные записи
Microsoft
. ОС Windows Server 2012/2016 не управляет такими учетными записями,
и их нельзя использовать в составе Active Directory. Их удел — домашние компью-
теры. Собственно, для этого они и создавались, а в корпоративной среде их заме-
няют доменные учетные записи. Однако пользователи Windows 8/10 все же могут
использовать их для получения доступа к Магазину Windows, чтобы загружать от-
туда необходимые им приложения.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы,
при включении компьютера в состав домена Windows производится добавление
группы пользователей домена в группу локальных пользователей, а группы адми-
нистраторов домена — в группу локальных администраторов компьютера. Таким

168
Глава 4
образом, пользователь, аутентифицированный контроллером домена, приобретает
права пользователя локального компьютера. А администратор домена получает
права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компь-
ютеров — это
совершенно различные пользователи
. Например, учетная запись, соз-
данная на локальном компьютере с именем входа
Иванов
, и доменная учетная за-
пись
Иванов
— это два пользователя. И если установить, что файл доступен для
чтения «локальному Иванову», то «доменный Иванов» не сможет получить к нему
доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль
совпада-
ет
с паролем локального Иванова. Поэтому если на компьютерах одноранговой
сети завести одноименных пользователей с одинаковыми паролями, то они смогут
получить доступ к совместно используемым ресурсам автономных систем. Но по-
сле изменения одного из паролей такой доступ прекратится.
После установки пакета Account Lockout and Management Tools в свойствах учет-
ной записи отображается вкладка, на которой администратор может увидеть в том
числе и количество неудачных попыток входа в систему (
Bad Password Count
).
Эту информацию можно получить и выполнив непосредственный запрос к службе
каталогов. В качестве фильтра можно указать следующую строку:
(&(objectclass=user)(!(objectclass =computer))(!(badPwdCount=0))
(badPwdCount=*))
При необходимости вы можете создать такой запрос, сохранить его в оснастке
управления AD и получать сведения о результатах подключения к домену без уста-
новки упомянутого пакета.
Группы пользователей
Разные пользователи должны иметь разные права по отношению к компьютерной
системе. Если на предприятии всего несколько сотрудников, то администратору не
представляет особого труда индивидуально распределить нужные разрешения и
запреты. Хотя и в этом случае возникают проблемы — например, при переходе со-
трудника на другую должность администратор должен вспомнить, какие права ему
были даны ранее, «снять» их и назначить новые, но принципиальной необходимо-
сти какого-либо объединения пользователей в группы не возникает.
Иная ситуация на среднем предприятии. Назначить права доступа к папке для не-
скольких десятков сотрудников — достаточно трудоемкая работа. В этом случае
удобно распределять права не индивидуально, а по
группам пользователей
, в ре-
зультате чего управление системой существенно облегчается, — например, при из-
менении должности пользователя достаточно переместить его в другую группу.
А при создании новых проектов права доступа к ним будут назначаться на основе
существующих групп и т. п. Поскольку книга посвящена, в первую очередь, работе
в составе компьютерной сети, уделим особое внимание именно группам, создавае-
мым в доменах Windows.

Информационные системы предприятия
169
Исторически сложилось так, что существует несколько типов групп. Связано это
в основном с необходимостью совместимости различных версий операционных
систем.
Операционная система Windows Server поддерживает группы трех типов:
Локальные группы
(Local groups) — группы, которые были определены на
локальном компьютере. Создать такие группы можно с помощью утилиты
Локальные пользователи и группы
(Local Users And Groups);
Группы безопасности
(Security groups) — группы, имеющие связанные с ними
дескрипторы безопасности (SID). Такие группы существуют в доменах и созда-
ются с помощью оснастки
Active Directory | Пользователи и компьютеры
;
Группы рассылки
(Distribution group) — группы, использующиеся в списках
рассылки электронной почты. Они не имеют SID. Создаются оснасткой
Active
Directory | Пользователи и компьютеры
.
По области действия можно выделить следующие типы групп:
локальные группы домена
— обычно создаются для назначения разрешений дос-
тупа к ресурсам в пределах одного домена. Такие группы могут содержать чле-
нов из любого домена в лесу или из доверяемых доменов в других лесах. Обыч-
но глобальные и универсальные группы являются членами локальных групп
домена;
встроенные локальные группы
— имеют разрешения локального домена и часто
относятся к
локальным группам домена
. Разница между ними и другими груп-
пами в том, что администратор не может создавать или удалять встроенные
локальные группы. Их можно только модифицировать;
глобальные группы
— обычно создаются в одном и том же домене для определе-
ния прав пользователей и компьютеров, разделяющих подобную роль или функ-
цию. Члены глобальных групп — только учетные записи и группы из домена,
в котором они были определены;
универсальные
группы
— обычно создаются для определения наборов пользова-
телей или компьютеров, которые должны иметь широкие разрешения по всему
домену или лесу. Членами таких групп являются учетные записи пользователей,
глобальные группы и другие универсальные группы из любого домена в дереве
доменов или лесу.
П
РИМЕЧАНИЕ
В Windows пользователь получает список групп, в которых он состоит,
при входе
в систему
. Поэтому если администратор сменил у пользователя членство в группах,
то это изменение начнет действовать
только
после
нового входа в систему. Если
пользователь должен быстро получить доступ к ресурсам, ему следует завершить ра-
боту в системе (
log
off
) и сразу же вновь войти в нее (
log
on
).
В группы можно включать как учетные записи пользователей и компьютеров, так и
другие группы. Однако возможность вложения зависит от типа группы и области ее
действия (табл. 4.3).

170

Download 19,93 Mb.

Do'stlaringiz bilan baham:

1 ... 40 41 42 43 44 45 46 47 ... 141