- •1.Встроенные локальные учетные записи и группы.
- •2.Создание локальной учетной записи.
- •3.Локальные политики безопасности.
- •4.Состав учетных записей и групп домена.
- •5.Создание пользователей, формирование групп.
- •6.Управление доступом к файлам и каталогам ntfs.
- •7.Действия над созданными объектами.
- •8.Свойства наследования.
- •9.Владение объектом.
- •10.Сетевой доступ к файловым ресурсам.
4.Состав учетных записей и групп домена.
Microsoftрекомендует выстраивать следующую схему связи групп, ресурсов и учетных записей, исходя из возможностей групп:
1.Пользователей включать в глобальные группы.
2.Назначать права доступа локальным группам.
3.Глобальные группы включать в локальные.
Схема связей встроенных учетных записей, глобальных и локальных групп:
|
Учетная запись |
Глобальная группа |
Локальная группа |
|
Администратор |
администраторы домена администраторы предприятия администраторы схемы владельцы-создатели групповой политики пользователи домена |
администраторы HelpServicesGroup |
|
Support |
пользователи домена
|
пользователи HelpServicesGroup |
|
Гость |
гости домена |
гости |
5.Создание пользователей, формирование групп.
Мы смоделировали ситуацию, при которой рассмотрели организацию – школу, в компьютерной сети которой необходимо осуществлять разделение прав доступа между различными пользователями – сотрудниками школы.
Сначала нужно, исходя из множества пользователей, множества ресурсов и отношений доступа между пользователями и ресурсами разработать план создания глобальных и локальных групп.
Пусть у нас будут следующие пользователи:
1.Директор школы.
2.Учитель истории.
3.Учитель математики.
4.Учитель информатики.
5.Секретарь.
6.Библиотекарь.
И следующие ресурсы:
1.Документы руководства.
2.БД библиотеки.
3.Расписание занятий.
Создадим следующие глобальные группы:
1.Администрация(директор, секретарь)
2.Учителя(учитель истории, учитель математики, учитель информатики)
3.Пользователи библиотеки(библиотекарь, учитель истории).
И следующие локальные группы:
1.Делопроизводство(доступ к документам руководства)
2.Библиотека(доступ к БД библиотеки)
3.Учебный план(доступ к расписанию занятий)
Включим глобальные группы в локальные:
1.Делопроизводство(администрация)
2.Библиотека(администрация, пользователи библиотеки)
3.Учебный план(администрация, учителя)
Таким образом, можно с помощью групп удобно и гибко управлять доступом пользователей к объектам.
6.Управление доступом к файлам и каталогам ntfs.
Рассмотрим субъекты безопасности системы:
Каталог или файл СвойстваБезопасностьГруппы или пользователи: ДобавитьДополнительноПоиск.
Все субъекты можно разделить на пользователей, группы и специальные группы.
Рассмотрим эти специальные группы:
|
Имя |
Описание |
|
Анонимный вход |
Пользователь, который подключился к компьютеру, не предъявив имя пользователя и пароль |
|
Прошедшие проверку |
Все пользователи и компьютеры, прошедшие проверку подлинности. Сюда не включаются пользователи, вошедшие с гостевой учетной записью, даже если они предъявляли пароль |
|
Пакетные файлы |
Все пользователи, вошедшие в систему с помощью какого-либо средства обработки очередей программ, такого как планировщик заданий |
|
Создатель-владелец |
Прототип в наследуемой записи таблицы управления доступом. Когда эта запись наследуется, система заменяет данный прототип идентификатором безопасности текущего владельца объекта |
|
Группа-создатель |
Прототип в наследуемой записи таблицы управления доступом. Когда эта запись наследуется, система заменяет данный прототип идентификатором безопасности основной группы текущего владельца объекта |
|
Удаленный доступ |
Все пользователи, вошедшие в систему через подключение удаленного доступа |
|
Все |
На компьютерах, работающих под управлением серверных операционных систем Windows Server 2003, группа «Все» включает в себя группы «Прошедшие проверку» и «Гость». На компьютерах, работающих под управлением более ранних версий Windows, группа «Все» включает группы «Прошедшие проверку», «Гость» и «Анонимный доступ» |
|
Интерактивные |
Все пользователи, входящие в систему на локальном компьютере или через подключение к удаленному рабочему столу |
|
Локальная система |
Учетная запись службы, используемая операционной системой |
|
Сеть |
Все пользователи, входящие в систему через сетевое подключение. Описатели доступа для интерактивных пользователей не содержат идентификатор безопасности «Сеть» |
|
Self (или Principal Self) |
Прототип в записи таблицы управления доступом для объекта Active Directory, обозначающего пользователя, группу или компьютер. Предоставление разрешений объекту с идентификатором Principal Self означает предоставление разрешений участнику безопасности, соответствующему этому объекту. В ходе проверки доступа операционная система заменяет данный прототип идентификатором участника безопасности, представленного объектом |
|
Служба |
Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система |
|
Пользователи сервера терминалов |
Включает всех пользователей, вошедших на сервер Terminal Services 4.0, работающий в режиме совместимости приложений |
|
Другая организация |
Инициирует проверку права пользователя другого леса или домена проходить проверку подлинности для определенной службы |
|
Данная организация |
Добавляется сервером идентификации к данным проверки подлинности пользователя при условии, что идентификатор «Другая организация» отсутствует |
Мы создали подкаталоги и файлы для ситуации, смоделированной в предыдущем пункте:
1.Каталог документооборот(+файл нормативный акт).
2.Каталог расписания занятий(+файл расписание на декабрь 2012).
3.Каталог библиотека(+файл БД_библиотека).
Назначили группе делопроизводство полный доступ к каталогу и вложенным файлам документооборот, чтение и выполнение каталогов расписание занятий и библиотека, чтение вложенных файлов.
Назначили группе библиотека полный доступ к каталогу библиотека и вложенным файлам.
Назначили группе учебный план полный доступ к каталогу расписания занятий и вложенным файлам, чтение и выполнение каталога библиотека, чтение вложенных файлов.