доменная учетная запись что это
Доменная учетная запись что это
Учетные записи группы и права
Понятие учетной записи
Если вы имели опыт работы администрирования и работы с операционными системами Windows 9x, то одной из главных отличительных особенностей профессиональных версий Windows воспринимается повышенное внимание к тому, кто и что делает на компьютере.
Программа, которая исполняется на компьютере с установленной операционной системой Windows NT/200x/XP/Vista, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры — будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.
Операционная система «различает» пользователей не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности— SID), который формируется в момент создания новой учетной записи. Поэтому учетные записи можно легко переименовывать, менять любые иные их параметры. Для операционной системы после этих манипуляций ничего не изменится, поскольку такие операции не затрагивают идентификатор пользователя.
При создании новой учетной записи обычно определяются только имя пользователя и его пароль. Но учетным записям пользователей — особенно при работе в компьютерных сетях — можно сопоставить большое количество различных дополнительных параметров: сокращенное и полное имя, номера служебного и домашнего телефонов, адрес электронной почты и право удаленного подключения к системе и т. п. Такие параметры являются дополнительными, их определение и использование на практике зависит от особенностей построения конкретной компьютерной сети. Эти параметры могут быть использованы программным обеспечением, например, для поиска определенных групп пользователей (см., например, группы по запросу)
Если при изменении имени входа пользователя в систему ничего «существенного» для системы не происходит— пользователь для нее не изменился, то операцию удаления учетной записи и последующего создания пользователя точно с таким же именем входа операционная система будет оценивать как появление нового пользователя. Алгоритм формирования идентификатора безопасности пользователя таков, что практически исключается создание двух учетных записей с одинаковым номером. В результате новый пользователь не сможет, например, получить доступ к почтовому ящику, которым пользовался удаленный сотрудник с таким же именем, не прочтет зашифрованные им файлы и т. п.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена— в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компьютеров — это совершенно различные пользователи. Например, учетная запись, созданная на локальном компьютере с именем входа Иванов, и доменная учетная запись Иванов— это два пользователя. И если установить, что файл доступен для чтения «локальному Иванову», то «доменный Иванов» не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпадает с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но после изменения одного из паролей такой доступ прекратится.
Обратите внимание, что в локальные группы можно включать не только локальные ресурсы (учетные записи пользователей и локальных групп), но и доменные учетные записи.
После установки пакета Account Lockout and Management Tools в свойствах учетной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему.
Данную информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без установки упомянутого пакета.
Тема: «Учетные записи и группы»
Тема: «Учетные записи и группы»
Учетные записи, виды учетных записей. Управление учетными записями Группы, виды групп и управлении ими. Процесс регистрации пользователя. Учетные записи, виды учетных записей.
Мы уже говорили о том, что одной из главнейших задач администрирования стала задача сетевой безопасности системы.
Для этой цели используются вопросы идентификации и аутентификации пользователей.
Для каждого пользователя система должна быть в состоянии уникальным образом идентифицировать каждого клиента сети. Существует много способов идентификации, но наиболее распространенный среди них заключается в использовании символьной строки с идентификатором пользователя (User Identification Code – UID).
Процесс аутентификации пользователей – проверки подлинности, заключается в проверке системой того факта, что пользователь действительно является тем, за кого себя выдает. Чаще всего для проведения этой проверки используются пароли. Если соблюдены все правила присвоения паролей и пользователи тщательно им следуют, пароли становятся довольно эффективным средством аутентификации пользователей.
Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows, поскольку назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Обычно право доступа ассоциируется с объектом – файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.
Учетной записью пользователя называется уникальный личный код, несущий информацию о правах доступа к ресурсам.
Каждому пользователю, работающему в домене или на одном из его компьютеров, администратор заводит учетную запись. Учетные записи необходимы для осуществления контроля доступа пользователей к ресурсам домена или локальным ресурсам компьютера.
При создании учетной записи ей присваивается уникальный защитный код – Security Identifier или SID, который предоставляет собой число, идентифицирующее учетную запись.
Виды учетных записей:
В MS Windows предусмотрено три типа учетных записей:
Локальная учетная запись – позволяет пользователю зарегистрироваться на конкретном компьютере, чтобы получить доступ к его ресурсам.
Локальная учетная запись позволяет пользователю войти в систему и получить доступ к ресурсам только того компьютера, на котором создана эта запись. При создании локальной учетной записи Windows создает запись только в базе данных системы защиты этого компьютера, которая называется локальной базой данных безопасности.
Т. о., локальная учетная запись:
· предоставляет доступ к ресурсам локального компьютера;
· создается только на компьютерах, не включенных в домен;
· содержится в локальной БД безопасности.
2. Учетная запись домена – позволяет пользователям получить доступ к домену и его ресурсам из любого места сети.
В процессе входа в систему пользователь вводит свой пароль и регистрационное имя.
На основе этих сведений Windows опознает пользователя и выделяет ему маркер доступа, который содержит информацию о пользователе и параметрах защиты.
Маркер доступа идентифицирует пользователя для компьютеров, работающих под управлением Windows, к ресурсам которых пользователь хочет получить доступ. Windows создает маркер доступа на время данной сессии.
Доменная учетная запись создается в копии БД каталога Active Directory на контроллере домена.
Этот контроллер реплицирует информацию о новой учетной записи на другие контроллеры домена. Затем все контроллеры в дереве домена могут опознать пользователя в процессе входа в систему.
Учетная запись домена:
— предоставляет доступ к сетевым ресурсам в домене;
— предоставляет маркер доступа для идентификации;
— создается в Active Directory на контроллере домена.
Встроенная учетная запись – позволяет выполнять функции администрирования или получать доступ к локальным или сетевым ресурсам.
Windows 2000/2003 автоматически создает встроенные учетные записи. Наиболее часто применяются встроенные учетные записи Administrator и Guest (Гость).
Встроенная учетная запись Administrator (Администратор).
Применяется для управления компьютером в целом. Если компьютер является частью домена, можно использовать ее для конфигурирования домена. Задачи, выполняемые с помощью учетной записи Administrator, включают создание и модификацию учетных записей и групп, управление политикой безопасности, установку принтеров, назначение разрешений учетным записям для доступа к ресурсам.
Удалить учетную запись Administrator нельзя.
Учетная запись Guest (Гость)
Использование встроенной учетной записи Guest (Гость) необходимо для предоставления возможности входа в систему временным пользователям.
Учетная запись Guest по умолчанию отключена. Активизируйте ее только в сетях, не требующих высокой степени защиты, и всегда назначайте пароль. Вы можете переименовать эту учетную запись, но не удалить ее.
2. Управление учетными записями
Планирование учетных записей.
При планировании учетных записей необходимо учитывать правила именования новых учетных записей и требования для паролей.
Правила именования учетных записей:
— Имена пользователей должны быть уникальны;
— Имена пользователей могут содержать до 20 символов как строчных, так и прописных;
— Необходимо согласовать учетные записи для пользователей с одинаковыми именами, например ИвановАВ или ИвановАлексейВ.
Требования к паролям:
— Всегда необходимо назначать пароль для учетной записи Администратор для предотвращения неавторизованного доступа;
— Использовать нужно пароли, которые трудно угадать, т. е. нужно избегать паролей с очевидными ассоциациями (например, год рождения, имя родственника и т. д.);
— Необходимо использовать как строчные, так и прописные буквы, числа, а также допустимые алфавитно-цифровые символы.
Независимо от того, является ли компьютер под управлением Windows членом домена или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы и управлять ими.
Управление учетными записями пользователей и группами осуществляется при помощи консоли Управление компьютером. Вызвать ее можно, в меню Пуск выбрав Программы\Администрирование или щелкнув правой кнопки мыши значок Мой компьютер и в контекстном меню выбрав пункт Управление.
Для управления учетными записями пользователей нужно раскрыть ветвь дерева Локальные пользователи и группы в дереве консоли Управление компьютером и выбрать ветвь Пользователи.
В списке справа отображаются локальные и встроенные учетные записи пользователей. Все операции по управлению учетными записями осуществляются с помощью контекстного меню.
Создание новой учетной записи
В контекстном меню выберите Новый пользователь. В появившемся окне введите имя учетной записи (поле Пользователь), полное имя пользователя и описание учетной записи. При задании имени учетной записи рекомендуется использовать только латинские символы, цифры и некоторые знаки.
Поля Полное имя и Описание заполнять не обязательно. Достаточно удобно в качестве описания учетной записи указывать должность пользователя или кратко описывать выполняемые им функции.
Далее задается пароль для новой учетной записи. Допустимо использование пустого пароля, хотя это не рекомендуется из соображений безопасности.
При необходимости можно изменить параметры создаваемой учетной записи.
Потребовать смену пароля
при следующем входе в систему
Для входа пользователя в систему используется пароль, заданный при создании учетной записи. Сразу после успешной аутентификации пользователь получает запрос на смену пароля, в ответ на который он должен задать новый пароль. Этот подход необходимо использовать в тех случаях, когда администратор системы не должен знать пароли пользователей. Если установлен этот флажок, вы не можете установить флажки Запретить смену пароля пользователем и Срок действия пароля не ограничен
Запретить смену пароля пользователем
Пользователь не имеет права изменять пароль своей учетной записи. Обычно этот параметр устанавливается для учетных записей пользователей, работающих удаленно, или учетных записей, используемых для запуска различных служб. В обоих случаях владелец учетной записи все равно не может изменить пароль
Срок действия пароля не ограничен
По умолчанию срок действия пароля не ограничивается, но такое ограничение может быть установлено (и чаще всего устанавливается) через локальную или доменную политику безопасности. Данный параметр позволяет обойти это ограничение и используется обычно для учетных записей, от имени которых запускаются различные службы или для удаленных пользователей, не имеющих технической возможности сменить пароль по истечению срока его действия. Если срок действия пароля истек, пользователь не сможет войти в систему
Отключить учетную запись
Отключает учетную запись пользователя, запрещая ему вход в систему. Отключенная учетная запись не может быть использована ни для входа в систему, ни для доступа к компьютеру по сети, ни для запуска служб. Включать и отключать учетные записи может только администратор
После заполнения всех свойств новой учетной записи щелкните кнопку Создать. Учетная запись будет создана, а все поля окна добавления нового пользователя очистятся, предлагая вам ввести данные следующего пользователя. Если вы ввели всех пользователей, щелкните кнопку Закрыть.
Переименование учетной записи
Учетная запись любого пользователя, включая администратора, может быть переименована. Переименовать учетную запись вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя учетной записи пользователя и нажмите Enter. Дополнительного подтверждения при переименовании не требуется.
Изменение пароля учетной записи
Ни один пользователь системы, даже ее администратор, не может получить пароль пользователя в открытом виде. При необходимости работать с данными пользователя от его имени администратор может установить новый пароль и использовать его для входа в систему. Такая необходимость может возникнуть и при смене паролей пользователей, которые не могут сделать этого самостоятельно.
Любой пользователь для смены своего собственного пароля обязан ввести сначала старый, а потом новый пароль. При использовании консоли для управления пользователями администратор может устанавливать новые пароли пользователей, не зная старых.
Для смены пароля выберите пункт Задать пароль контекстного меню. Дважды введите новый пароль и щелкните ОК. Новый пароль начинает действовать немедленно.
Внимание!
После смены пароля пользователя рекомендуется выйти и снова войти в систему. Это необходимо, т. к. для аутентификации пользователя в сети используется маркер доступа, который выдается при входе в систему и содержит информацию о старом пароле, что может привести к невозможности доступа к некоторым ресурсам после смены пароля.
Удаление учетной записи
Чтобы удалить учетную запись, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения учетная запись будет удалена.
Внимание!
Очень осторожно относитесь к удалению учетных записей пользователей. При удалении учетной записи также теряется ее идентификатор безопасности, поэтому создание новой учетной записи после удаления пользователя с таким же именем учетной записи не вернет ему членство в группах и доступ к ресурсам, которые имела удаленная учетная запись. Поэтому рекомендуется сначала отключать учетные записи пользователей, а удалять их только при необходимости.
Внимание!
Системные учетные записи (Администратор и Гость) не могут быть удалены. Однако учетная запись гостя может быть отключена из соображений безопасности.
3. Группы, виды групп
Группой называют набор учетных записей пользователей, имеющих похожие потребности в ресурсах.
Группы упрощают администрирование, позволяя присваивать разрешения и привилегии сразу нескольким пользователям.
Разрешение определяет возможность пользователей работать с ресурсами: каталогами, файлами или принтерами. Предоставив разрешение, вы открываете пользователю доступ к ресурсу и задаете уровень доступа. Например, если нескольким пользователям разрешено читать один и тот же файл с конфиденциальным содержанием, объедините пользователей в группу, а затем предоставьте группе разрешение на чтение файла.
Привилегия позволяет пользователю выполнять системные задачи: например, изменять время на компьютере или создавать резервные копии файлов.
— Группа – это набор учетных записей пользователей;
— Члены группы получают разрешения, представленные группе;
— Пользователи могут входить в несколько групп;
— Группы могут входить в другие группы.
Существуют локальные группы пользователей, глобальные группы (доменные) и встроенные группы.
1. Локальные группы – содержат учетные записи пользователей, имеющих доступ к ресурсам локального компьютера и учетные записи домена.
2. Глобальные группы – применяются только для объединения учетных записей пользователей домена.
3. Системные (встроенные) группы – используются для разделения пользователей на категории в соответствии с объемом прав доступа к системе.
Локальная группа — это набор учетных записей пользователей на локальном компьютере, предназначенный для предоставления разрешений доступа к ресурсам на компьютере, где эта группа создана.
Windows создает локальные группы в локальной базе данных безопасности.
Рекомендации по использованию локальных групп таковы.
• Не следует создавать локальные группы на компьютерах, включенных в домен.
• Члены локальной группы получают разрешения на доступ только к ресурсам компьютера, где эта группа создана.
На контроллере домена нельзя создать локальную группу, поскольку база данных безопасности контроллера домена не может быть независимой от базы данных Active Directory.
Правила членства в локальной группе следующие:
• Локальная группа может содержать учетные записи пользователей только того компьютера, где была создана.
• Локальная группа не может входить в состав других групп.
Управление локальными группами
Для управления локальными группами раскройте ветвь дерева Локальные пользователи и группы в древе консоли Управление компьютером и выберите ветвь Группы.
В списке справа отображаются локальные и встроенные группы. Все операции по управлению группами осуществляются при помощи контекстного меню.
Добавление группы
В контекстном меню выберите Новая группа.
В появившемся окне введите имя группы и ее описание. Поле описания не является обязательным, но желательно указать в нем сведения о том, для каких целей создается группа.
Щелкнув кнопку Добавить, можно сразу добавить пользователей в создаваемую группу.
Помимо пользователей, в локальные группы могут быть добавлены любые (локальные, глобальные и универсальные) группы домена.
Кроме пользователей в списке вы увидите ряд псевдогрупп, которые нельзя увидеть в оснастке Управление пользователями и группами, но можно использовать для назначения прав доступа и включения в другие группы.
После заполнения параметров новой группы щелкните кнопку Создать. Группа будет создана, а все поля окна добавления новой группы очистятся, предлагая вам ввести данные следующей группы. Если вы ввели все группы, щелкните кнопку Закрыть.
Изменение свойств группы
Переименование группы
Любая группа, включая встроенные, может быть переименована. Это возможно, т. к. Windows в качестве уникального идентификатора группы использует SID, а не ее имя. Переименовать группу вы можете, выбрав соответствующий пункт контекстного меню или нажав клавишу F2. Для переименования укажите новое имя группы и нажмите Enter. Дополнительное подтверждение при переименовании не требуется.
Чтобы удалить группу, выберите соответствующий пункт контекстного меню или нажмите клавишу Delete (Del). После подтверждения группа будет удалена.
Очень осторожно относитесь к удалению групп. При удалении группы также теряется ее идентификатор безопасности, поэтому создание новой группы после удаления группы с таким же именем не вернет ей права доступа к ресурсам, которые имела удаленная группа.
Внимание!
Встроенные группы не могут быть удалены.
Папка Группы содержит шесть встроенных групп:
4. Процесс регистрации пользователя.
В защищенной операционной систёме любой пользователь, перед тем как начать работу с системой, должен зарегистрироваться в системе, т. е. пройти идентификацию, аутентификацию и авторизацию.
Идентификация заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (учетный имя) и таким образом идентифицирует себя.
Аутентификация состоит в том, что пользователь предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация. В качестве аутентифицирующей информации в Windows используется пароль пользователя.
Авторизация доступа происходит после успешной идентификации и аутентификации. Windows на этом этапе создает маркер доступа, формирует рабочий стол и запускает начальный процесс от имени пользователя
Процесс регистрации пользователя в системе следующий:
1. Ввод имени и пароля
2. Аутентификация диспетчером учетных записей
3. Создание маркера доступа для управления доступом к ресурсам.
4. Запуск начального процесса от имени пользователя.
(см. ролик учебник «Администрирование»)
1. Где Windows создает локальные учетные записи?
2. В чем разница между доменными и локальными учетными записями?
3. Что надо учесть при планировании новых учетных записей?
4. Какая информация необходима для создания локальной учетной записи?
5. Что такое встроенные учетные записи и для чего они используются?
6. Зачем нужно использовать группы?
7. Как создать локальную группу?
8. Каковы последствия удаления группы?
9. Каковы различия между встроенными и обычными локальными группами?