- •Лекція з навчальної дисципліни: Додаткові розділи системного програмування Тема 1. Управління безпекою в ос Windows
- •1. Принципи організації безпеки у ос Windows
- •1.1. Контроль доступу до ресурсів
- •1.2. Політика безпеки
- •1.3. Модель безпеки
- •1.4. Дискреційна політика безпеки
- •1.5. Дискреційна модель безпеки
- •1.6. Реалізація дискреційної моделі безпеки
- •2.Управління безпекою в Windows
- •2.1. Модель безпеки в Windows
- •2.2. Облікові записи
- •2.3. Домени
- •2.4. Групи
- •2.5. Ідентифікатори безпеки
- •2.6. Дескриптори безпеки
- •2.7. Списки управління доступом acl
- •2.8. Маркери доступу
- •2.9. Створення нових об'єктів
- •2.10. Контроль доступу до об'єкту, що охороняється
- •2.11. Аудит доступу до об'єкту, що охороняється
- •2.12. Структура системи безпеки
2.4. Групи
Тепер розгледимо групи користувачів. Це поняття також було введене для того, щоб спростити управління безпекою об'єктів. Група (group) це просто набір облікових записів користувачів, які об'єднані за якою-небудь ознакою, наприклад, користувачі однієї групи можуть працювати в одному відділі. При цьому відзначимо, що один обліковий запис користувача може входити більш ніж до однієї групи. Кожна група має свій обліковий запис і наділена своїми правами і повноваженнями. Ці права і повноваження передаються кожному членові групи. Проте адміністратор системи може вилучити деякі права і повноваження у деяких членів групи. Максимальна кількість груп, в які може входити користувач, рівне 1000.
На платформі Windows NT розрізняють трьох типів груп:
глобальні групи;
локальні групи;
спеціальні групи.
Локальні і глобальні групи створюються адміністратором системи. Спеціальні групи створюються системою за умовчанням. Розгледимо кожен з цих типів докладніше.
Глобальна група використовується для організації користувачів з метою впорядкування їх доступу до ресурсів, що знаходяться в локальній мережі поза доменом, в якому створена ця група. Глобальна група має наступні характеристики:
може містити облікові записи тільки користувачів з домена, в якому вона створюється;
може бути створена тільки на первинному контроллері домена;
за умовчанням не має прав і привілеїв.
За умовчанням система створює наступні глобальні групи:
Domain Admins - ця група включає облікові записи всіх адміністраторів усередині домена;
Domain Guests - ця група включає облікові записи всіх гостей домена;
Domain Users - ця група облікових записів всіх користувачів домена.
Локальна група використовується для організації доступу користувачів до обмеженої безлічі ресурсів усередині домена. Локальна група має наступні характеристики:
може містити облікові записи користувачів і глобальних груп з різних доменів;
може бути створена на будь-якому контроллері домена;
зазвичай отримує права і привілеї на доступ до деяких ресурсів домена.
За умовчанням система створює наступні локальні групи:
Account Operators (оператори облікових записів) - члени цієї групи можуть створювати нові облікові записи користувачів;
Administrators (адміністратори) - члени цієї групи наділяються необмеженими повноваженнями адміністратора системи;
Backup Operators (оператори резервування) - членам цієї групи дозволяється створювати резервні копії файлів системи;
Guests (гості) - ця група призначена для обмеження повноважень разових користувачів системи, члени цієї групи мають такі ж права, як і члени групи Users;
Print Operators (оператори принтерів) - члени цієї групи відповідальні за управління принтерами системи: вони можуть додавати, видаляти і змінювати принтери (на сервері), використовувані користувачами мережі;
Power Users (повноважні користувачі) - члени цієї групи володіють широкими правами, які можна порівняти з адміністративними правами, але не мають влади над адміністраторами системи;
Replicator (репликаторы) - членам цієї групи дозволяється виконувати копіювання каталогів, що містять інформацію, що управляє, між комп'ютерами локальної мережі;
Server Operator (оператори сервера) - члени цієї групи можуть управляти сервером, проте вони не мають повноважень, порівнянних з адміністраторами системи;
Users (користувачі) - члени цієї групи є зареєстрованими користувачами системи, вони можуть створювати інші локальні групи користувачів і управляти ними.
У операційній системі Windows XP додатково створюються наступні групи:
Network Configuration Operators (оператори мережі) - можуть встановлювати компоненти і змінювати конфігурацію локальної мережі;
Remote Desktop Users (видалені користувачі) - забезпечують доступ до комп'ютера через Remote Desktop Connection;
Help Services Group (група обслуговуючого персоналу) - дозволяють обслуговуючому персоналу підключитися до комп'ютера.
Спеціальні групи створюються системою для управління доступом до ресурсів. Членство в цих групах зумовлене і не може бути змінено.
Існують наступні спеціальні групи:
Creator/Owner (творці і власники) - членами цієї групи є власники об'єктів;
Everyone (будь-які облікові записи) - членами цієї групи є всі облікові записи, зареєстровані в системі, включаючи анонімну і порожню облікові записи;
Interactive (інтерактивні користувачі) - членами цієї групи є облікові записи, які відповідають користувачам, що інтерактивно працюють в системі;
Network (мережеві користувачі) - членами цієї групи є облікові записи користувачів, які працюють з системою через локальну мережу;
System (системні процеси) - ця спеціальна група використовується самою системою.