Планирование Active Directory. Учетные записи, группы пользователей. Групповые политики безопасности.
После реализации спроектированной структуры Active Directory администратор должен добавить в каталог учетные записи всех пользователей системы и назначить каждой из них определенные права. Учетная запись пользователя – это набор атрибутов, сопоставленных с определенным пользователем. Самые важные атрибуты следующие:
– имя учетной записи, пользователь осуществляет вход в систему (в пределах домена должно быть уникально);
– полное имя пользователя;
– пароль;
– группы, в которые входит пользователь;
– права пользователя.
Права
пользователя – это список действий,
которые может выполнять пользователь.
Права бывают следующих видов: привилегия
– право выполнения операций по
изменению состояния или параметров
системы; право на вход в систему;
разрешение доступа – право осуществления
действий с файлами, папками, принтерами,
объектами Active Directory. При условии, что
пользователей порядка десяти человек,
определить необходимые права можно
достаточно просто. Однако гораздо
чаще на практике встречаются сети с
сотнями и тысячами учетных записей. В
этом случае на помощь администратору
приходит механизм групп пользователей.
Группа пользователей – это объединение
учетных записей пользователей,
которому можно назначать права.
Сначала выбираются такие пользователи, список прав которых должен быть одинаковым. Затем создается группа, членами которой являются выбранные пользователи. Требуемые права назначаются уже не отдельным пользователям, а группе, и эти права автоматически распространяются на всех пользователей группы. Следует отметить, что группы пользователей и организационные подразделения представляют собой разные механизмы, предназначенные для разных целей. Создание групп безопасности преследует цель распределения прав доступа к ресурсам пользователям сети, в то время как основное назначение организационных подразделений – управление пользователями (а также компьютерами). Группы пользователей различаются по области действия. Выделяют три области действия: доменную локальную (domain local scope); глобальную (global scope); универсальную (universal scope).
Доменные локальные группы действуют в рамках только своего домена. Такие группы обычно применяются для управления доступом к файлам, общим папкам и принтерам. Глобальные группы могут использоваться в рамках всего леса доменов. Однако глобальная группа принадлежит определенному домену, и в её состав могут входить только объекты этого домена. Применяются глобальные группы в том случае, если пользователям одного домена нужно получить доступ к ресурсам другого домена. Универсальные группы привязаны к корневому домену леса, но в их состав могут входить пользователи любого домена. Чаще всего универсальные группы используются для объединения глобальных групп. Групповые политики – это способ автоматизации работы по настройке рабочих столов пользователей и параметров компьютеров. Групповые политики представляют собой наборы правил конфигурирования, применяемых к компьютеру или пользователю. Каждый набор правил называется объектом групповой политики. Один или несколько объектов групповой политики могут применяться к трем видам объединений: сайтам; доменам; организационным подразделениям.
Кроме того, для каждого компьютера может быть определен объект локальной групповой политики. Объекты групповых политик являются наследуемыми. Это означает, например, что GPO, применяемый к домену, наследуется всеми его организационными подразделениями. В том случае, если правила одного объекта групповой политики конфликтуют с правилами другого, наибольший приоритет имеет GPO организационного подразделения, ниже по уровню GPO домена, затем следует GPO сайта, наименьший приоритет у LGPO. Объект групповой политики содержит две основные части:
– Конфигурация компьютера (Computer Configuration);
– Конфигурация пользователя (User Configuration).
Каждая из частей включает три раздела: Настройки приложений (Software Settings); Windows (Windows Settings); Административные шаблоны (Administrative Templates).
В разделе Настройки приложений находится подраздел Установка приложений (Software Installation), позволяющий автоматически устанавливать выбранные программы на компьютеры пользователей. Правила, создаваемые в разделе Настройки Windows, позволяют: – выполнять задаваемые сценарии при включении-выключении компьютера, при входе пользователя в систему и выходе из неё;
– настраивать параметры безопасности компьютера и пользователя (требования к паролям, доступ к реестру, политику аудита);
– конфигурировать Internet Explorer (Internet Explorer Maintenance);
– изменять места расположения папок пользователей (Folder Redirection).
Раздел Административные шаблоны предназначен для настройки рабочего стола пользователя, ограничения доступа к системным компонентам и компонентам приложений.