- •Лекція з навчальної дисципліни: Додаткові розділи системного програмування Тема 1. Управління безпекою в ос Windows
- •1. Принципи організації безпеки у ос Windows
- •1.1. Контроль доступу до ресурсів
- •1.2. Політика безпеки
- •1.3. Модель безпеки
- •1.4. Дискреційна політика безпеки
- •1.5. Дискреційна модель безпеки
- •1.6. Реалізація дискреційної моделі безпеки
- •2.Управління безпекою в Windows
- •2.1. Модель безпеки в Windows
- •2.2. Облікові записи
- •2.3. Домени
- •2.4. Групи
- •2.5. Ідентифікатори безпеки
- •2.6. Дескриптори безпеки
- •2.7. Списки управління доступом acl
- •2.8. Маркери доступу
- •2.9. Створення нових об'єктів
- •2.10. Контроль доступу до об'єкту, що охороняється
- •2.11. Аудит доступу до об'єкту, що охороняється
- •2.12. Структура системи безпеки
2.3. Домени
Домен це група комп'ютерів в локальній мережі, які підтримують одну політику безпеки і розділяють спільну базу даних облікових записів користувачів. Ця політика безпеки і база даних облікових записів користувачів зберігаються в базі даних домена (Domain Directory Database). Домен включає сервери і робочі станції. Одін з серверів вибирається контроллером домена. На цьому сервері зберігається база даних облікових записів домена. Основна функція контроллера домена - виконувати аутентифікацію користувачів при вході в домен на одному з комп'ютерів домена. Адміністратор управляє доменом через контроллер домена.
У домені можна визначити один первинний контроллер домена (Primary Domain Controller, PDC) і декілька вторинних контроллерів (Backup Domain Controller, BDC). На вторинних контроллерах домена зберігається копія бази даних облікових записів. Тому вторинні контроллери домена також можуть виконувати аутентифікацію користувачів.
Оскільки користувач реєструється в домені, то буде доречно пояснити організацію доменів на платформі Windows. Поняття домена локальної мережі було введене для того, щоб спростити управління безпекою об'єктів в локальній мережі. Тобто зареєстрований в домені користувач може працювати на будь-якому комп'ютері, що входить в домен і відміченому в обліковому записі користувача, а також має доступ до ресурсів, розташованих на комп'ютерах домена. Звичайно, доступ до цих ресурсів може бути виконаний тільки в тому випадку, якщо у користувача є відповідні повноваження. У локальній мережі може бути декілька доменів. Для того, щоб користувач, зареєстрований в одному домені, мав доступ до ресурсів іншого домена, між цими доменами має бути встановлене відношення довіри (trust relationship). Відношення довіри характеризується двома властивостями: напрямом і транзитивністю.
З точки зору властивості напрям відношення довіри може бути однобічним і двостороннім. У однобічному відношенні довіри між двома доменами один з них дозволяє користувачам іншого домена доступ до своїх ресурсів, але другий домен не дозволяє цього першому. У двосторонніх відносинах довіри обидва домени дозволяють один одному доступ до своїх ресурсів.
Властивість транзитивності визначає можливість передачі прав на доступ до ресурсів одного домена транзитивно через інший домен. Якщо відношення довіри транзитивне, то права на доступ до ресурсів домена, який передає ці права, можуть бути передані іншому домену через домен, який є одержувачем цих прав. Інакше така передача права на доступ до ресурсів іншому домену забороняється.
Можна сказати, що відношення довіри зв'язує домени в деревовидні структури. А безліч всіх доменів локальної мережі утворює ліс.
Операційна система Windows NT підтримує однобічні і двосторонні нетранзитивні стосунки довіри. Операційна система Windows 2000 підтримує наступних типів стосунків довіри:
транзитивне двостороннє відношення довіри;
нетранзитивне однобічне відношення довіри.
Двосторонні, нетранзитивні відносини довіри повинні моделюватися, використовуючи два однобічні нетранзитивні відношення довіри.