Управление учётными записями
Рассмотрим действия, которые может выполнить администратор, манипулируя учетными записями.
1. Создать учетную запись (MMC Local Users and Computers – Add New)
2. Удалить учетную запись. Мы уже отмечали, что для каждой новой учётной записи формируется идентификатор безопасности SID, содержащий случайную составляющую. Кроме того, с каждым ресурсом система хранит SID пользователей, доступ которым разрешен (или запрещен). Таким образом, при удалении учетной записи теряются все назначения доступа для нее. А для вновь созданной учётной записи система сформирует другой SID, поэтому все ранее назначенные атрибуты не подойдут. Поэтому удалять учетные записи надо крайне редко и крайне осторожно, так как они не восстанавливаются. Достаточно часто администратору лучше воспользоваться блокированием учетной записи.
3. Отключить или подключить (заблокировать или разблокировать). Блокировать учетную запись может администратор. Кроме того, задавая политики безопасности,
4. Переименовать
5. Найти (поиск по любому параметру)
6. Изменить пароль или другие характеристики
Администратор создает учетные записи, пароли, но он не знает все пароли, так как при первом входе в систему пользователь должен поменять пароль, введенный администратором.
7. Переместить учетную запись
8. Заблокировать или разблокировать учетную запись
My_Computer_Manage_Local_Users_and_Group
Локальная политика безопасности
Рассмотрим вкратце положения политики безопасности, относящиеся к паролям. Таких положений несколько, увидеть их можно, обратившись к локальной политике (start – control panel – Администрирование – Локальные политика безопасности). В дереве политик выберите «политики учетных записей», в которой – «политики паролей». Теперь справа вы видите положения: минимальный срок действия пароля, а также – максимальный срок действия, минимальная и максимальная длина пароля, сложность пароля, не повторяемость паролей.
Для примера ниже приведены политики паролей, заданные по умолчанию в доменах на WS2003:
Политика |
Параметр |
Макс. Срок действия пароля |
42 дня |
Мин. Длина пароля |
7 знаков |
Мин. Срок действия пароля |
1 день |
Пароль должен отвечать требованиям сложности |
ВКЛ |
Требования не повторяемости паролей |
24 хранимых паролей |
Хранить пароли в домене, используя обратное шифрование |
ОТКЛ |
Назначение срока жизни пароля повышает безопасность. Но времена смены пароля у разных пользователей должны быть разными, чтобы затруднить злоумышленнику просмотр сетевого трафика в момент смены паролей.
Если вы хотите изучить работу с политиками
Группы
Объекты, ассоциированные с пользователями, компьютерами и контактной информацией, могут быть объединены в группы (groups). Это позволяет упросить процесс управления, поскольку администратор может в процессе управления сослаться на всю группу, а не указывать отдельные объекты.
Группа может включать в себя объекты следующих типов:
- пользователи (users)
- компьютеры (computers)
- контакты (contacts)
AD позволяет объединить объекты в группы двух типов:
- группы безопасности (security groups),
- группы рассылки (distributed groups).
Группы безопасности рассматриваются подсистемой безопасности в качестве своих субъектов. Другими словами, они могут использоваться для разграничения доступа к ресурсам сети. Выдавая разрешение на доступ к объекту определённой группе, администратор автоматически разрешает доступ к данному объекту всем членам данной группы.
Группы рассылки изначально ориентировались на использование почтовой системой, как средство одновременной передачи сообщения некоторому коллективу пользователей.
С каждой группой объектов связано понятие области действия. Область действия определяет, в какой части леса доменов на данную группу можно ссылаться.
Существует три области действия групп:
- доменная область действия
- глобальная область действия
- универсальная область действия
1) Группы с доменной (локальной) областью действия – это группы доступные исключительно в пределах того домена, в котором они определены.
2) Группы с глобальной областью действия – группы с данной областью действия доступны в рамках всего леса доменов. Членами группы могут являться объекты и группы с глобальной областью действия, принадлежащие к тому же домену, что и сама группа.
3) Группы с универсальной областью действия – это группы также доступны в рамках всего леса доменов. В состав могут входить объекты, а также группы с универсальной или глобальной областью действия, принадлежащие к любому домену леса.
Для каждого пользователя система автоматически формирует профиль. При первом входе, если администратор не задал настраиваемый профиль, то он берется из Default User.
Профиль – это набор характеристик рабочего стола, инструментов, приложений, адрес домашней папки, сетевые диски, сценарии, работающие по входу и т.д.
NB: Вновь создаваемую учётную запись обязательно требуется протестировать. Проверить вход, доступ к ресурсам, работу сценария.