Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 7
СТРАТЕГІЯ УПРАВЛІННЯ ОБЛІКОВИМИ ЗАПИСАМИ КОРИСТУВАЧІВ В ACTIVE DIRECTORY.
1.Типи обліковіх запісів.
2.Групи в Active directory.
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. ТИПИ ОБЛІКОВИХ ЗАПИСІВ
Роль Active Directory, як служби каталогів, полягає в підтримці інформації про ресурси підприємства, включаючи
1.Користувачів,
2.Групи,
3.Комп'ютери.
Зметою спрощення функцій управління і відображення, ресурси розподілені серед підрозділів OU (Organizational Unit).
Підрозділи (Organizational Unit) в Active Directory являють собою адміністративні контейнери, які служать для групування об'єктів до загальних вимог адміністрування, конфігурації або видимості.
ОСНОВНИМИ ТИПАМИ облікових ЗАПИСІВ У ACTIVE DIRECTORY ЯВЛЯЮТЬСЯ:
Комп'ютер. Всякий раз, коли в домен додається комп'ютер під керуванням Microsoft Windows -7, -8, -10 або Windows Server 2003, -2008, - 
2012, 2016 для нього створюється обліковий запис комп'ютера. Облікові
записи комп'ютерів служать для аутентифікації комп'ютерів, які звертаються до мережі і ресурсів домена.
Користувач. Обліковий запис користувача - це набір атрибутів для
користувача. Об'єкт-користувач зберігається в Active Directory і 
дозволяє користувачеві входити в мережу. Користувач повинен вказати посвідчення (ім'я та пароль) тільки один раз, потім йому надаються
відповідні дозволи на доступ до мережних ресурсів.
Група. Це набір користувачів, комп'ютерів або інших груп, для якого можна задати дозволи. Ставлячи дозволи групам і додаючи членів в ці групи, можна заощадити час, оскільки не доводиться призначати дозволи кожному окремо взятому члену групи.
ТИПИ ОБЛІКОВИХ ЗАПИСІВ КОРИСТУВАЧІВ
Локальні облікові записи користувачів.
Створюються в базі даних захисту локального комп'ютера і управляють доступом до ресурсів цього комп'ютера. Локальні облікові 
записи користувачів призначені для управління доступом до
ізольованих комп'ютерів або комп'ютерів, що входять в робочу групу.
Доменні облікові записи користувачів.
Створюються в Active Directory і дають можливість користувачам входити в домен і звертатися до будь-яких ресурсів мережі. Такі 
облікові записи користувачів репликуються на всі контролери в домені, тому після реплікації будь контролер домену зможе
аутентифікувати користувача.
При створенні облікового запису користувача також створюється ідентифікатор безпеки користувача (SID)
Ви можете використовувати різні засоби для створення та управління локальними і доменними обліковими записами:
|
Обліковий запис |
|
Засіб |
|
|
|
|
|
|
|
|
Windows XP, Windows Vista, Windows 7, |
|
|
|
Локальний обліковий запис |
Windows 8, Windows 10: |
|
|
|
|
Облікові записи користувачів |
|
|
|
|
|
|
|
|
|
1. |
Windows Server 2003/2008/ 2012: Active |
|
|
|
|
Directory - користувачі і комп'ютери |
|
|
Доменний обліковий запис |
2. |
Програми командного рядка: |
|
|
|
dsadd, |
|
|
|
|
|
||
|
|
|
Windows Powershell, |
|
|
|
|
CSVDE, |
|
|
|
|
LDIFDE |
|
|
|
|
|
|
|
|
|
|
|
Типи імен для доменних облікових записів:
|
ім'я |
приклад |
необхідні вимоги |
|
|
|
|
|
|
|
Ім'я входу |
Alex |
Унікально в домені |
|
|
користувача |
|
||
|
|
|
|
|
|
|
|
|
|
|
Ім'я входу |
|
|
|
|
користувача |
uib \ Alex |
Унікально в домені |
|
|
(перед-Microsoft |
|
||
|
|
|
|
|
|
Windows 2000) |
|
|
|
|
|
|
|
|
|
Основне ім'я |
Alex@uib.com |
Унікально в лісі |
|
|
користувача (UPN) |
|
||
|
|
|
|
|
|
|
|
|
|
|
розрізнювальне |
CN = Alex, OU = IT, DC = uib, DC = |
Унікально в лісі |
|
|
ім'я LDAP |
com |
|
|
|
|
|
||
|
|
|
|
|
|
Відносне |
|
Унікально в організаційному |
|
|
различающееся |
CN = Alex |
|
|
|
підрозділі (OU) |
|
||
|
ім'я (RDN) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Шаблон облікового запису користувача - це обліковий запис, містить вже налаштовані типові установки і властивості
Шаблон облікового запису користувача містить однакові властивості облікових записів користувачів
Використання шаблону користувача:
Створення декількох типових користувачів, що знаходяться в різних групах організації
Копіювання облікового запису користувача, найбільш підходящою для нового запису, яку ми хочемо створити
зміна атрибутів: ім'я, E-mail адреса, ім'я входу користувача і т.д.
ПРАВИЛА НАЙМЕНУВАННЯ ОБЛІКОВИХ ЗАПИСІВ
Кожен користувач повинен мати унікальне ім'я (логін) в домені
Довжина імені не повинна перевищувати 20 символів (Для сумісності з попередніми версіями Windows).
Імена не чутливі до регістру букв
Імена не повинні містити таких символів: ", /, \, [,],:,;, =, ,, +, *,?, <,>.
Повинна підтримуватися гнучка система іменування
Необхідно враховувати сумісність іменування для інших додатків (наприклад, для електронної пошти).
ПАРАМЕТРИ ПАРОЛЯ ОБЛІКОВОЇ ЗАПИСИ КОРИСТУВАЧА
Паролі - важливий аспект мережної безпеки і повинні конфигуруватися з урахуванням наступних факторів:
історія паролів довжина складність
За замовчуванням, паролі Windows Server 2008 R2 (Windows Server 2012 R2) повинні відповідати трьом з чотирьох вимог складності:
використання букв верхнього регістру використання букв нижнього регістру використання спеціальних символів використання цифр