ВУЗ:
Составители:
как сторонним уполномоченным сертификации (Certification Authority), так и Microsoft Certificate Server, входящим в Windows
NT. После начальной аутентификации закрытым ключом используются стандартные протоколы Kerberos для получения сеан-
совых билетов на доступ к сетевым службам.
Модель безопасности Windows NT обеспечивает однородный и унифицированный механизм контроля за доступом к
ресурсам домена на основе членства в группах. Компоненты безопасности Windows NT доверяют хранимой в каталоге ин-
формации о защите. Например, сервис аутентификации Windows NT хранит зашифрованные пароли пользователей в безо-
пасной части каталога объектов пользователя. По умолчанию операционная система "считает", что правила безопасности
защищены и не могут быть изменены кем-либо несанкционированно. Общая политика безопасности домена также хранится
в каталоге Active Directory.
Делегирование административных полномочий – гибкий инструмент ограничения административной деятельности
рамками части домена. Этот метод позволяет предоставить отдельным сотрудникам возможность управления пользователя-
ми или группами в заданных пределах и, в то же время, не дает им прав на управление учетными записями, относящимися к
другим подразделениям.
Права на определение новых пользователей или создание групп пользователей делегируются на уровне OU или контей-
нера, в котором создана учетная запись.
Существует три способа делегирования административных полномочий:
1)
на изменение свойств определенного контейнера, например, LocalDomainPolicies самого домена;
2)
на создание и удаление дочерних объектов определенного типа (пользователи, группы, принтеры и пр.) внутри OU;
3)
на обновление определенных свойств некоторых дочерних объектов внутри OU (например, право устанавливать па-
роль для объектов типа User).
Делегировать полномочия просто. Достаточно выбрать лицо, которому будут делегированы полномочия, и указать, ка-
кие именно полномочия передаются. Интерфейс программы администрирования Active Directory позволяет без затруднений
просматривать информацию о делегировании, определенную для контейнеров.
Наследование прав доступа означает, что информация об управлении доступом, определенная в высших слоях кон-
тейнеров в каталоге, распространяется ниже – на вложенные контейнеры и объекты-листья. Существуют две модели насле-
дования прав доступа: динамическая и статическая. При динамическом наследовании права определяются путем оценки раз-
решений на доступ, назначенных непосредственно для объекта, а также для всех родительских объектов в каталоге. Это по-
зволяет эффективно управлять доступом к части дерева каталога, внося изменения в контейнер, влияющий на все вложенные
контейнеры и объекты-листья. Обратная сторона такой гибкости – недостаточно высокая производительность из-за времени
определения эффективных прав доступа при запросе пользователя.
В Windows NT реализована статическая форма наследования прав доступа, иногда также называемая наследованием в
момент создания. Информация об управлении доступом к контейнеру распространяется на все вложенные объекты контей-
нера. При создании нового объекта наследуемые права сливаются с правами доступа, назначаемыми по умолчанию. Любые
изменения наследуемых прав доступа, выполняемые в дальнейшем на высших уровнях дерева, должны распространяться на
все дочерние объекты. Новые наследуемые права доступа распространяются на объекты Active Directory в соответствии с
тем, как эти новые права определены. Статическая модель наследования позволяет увеличить производительность.
9.3.2. ЭЛЕМЕНТЫ БЕЗОПАСНОСТИ СИСТЕМЫ
Рассмотрим вопросы реализации политики безопасности: управление учетными записями пользователей и групп, ис-
полнение и делегирование административных функций.
Учетные записи пользователей и групп. Любой пользователь Windows NT характеризуется определенной учетной за-
писью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определен-
ным пользователем. Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлежность к группе
позволяет быстро назначать права доступа и полномочия.
К встроенным учетным записям пользователей относятся:
•
Guest– учетная запись, фиксирующая минимальные привилегии гостя;
•
Administrator – встроенная учетная запись для пользователей, наделенных максимальными привилегиями;
•
Krbtgt – встроенная учетная запись, используемая при начальной аутентификации Kerberos.
Кроме них имеются две скрытые встроенные учетные записи:
•
System – учетная запись, используемая операционной системой;
•
Creator owner – создатель (файла или каталога).
Перечислим встроенные группы:
• локальные (Account operators; Administrators; Backup operators; Guests; Print operators; Replicator; Server operators; Us-
ers);
•
глобальные (Domain guests – гости домена; Domain Users – пользователи домена; Domain Admins – администраторы
домена).
Помимо этих встроенных групп имеется еще ряд специальных групп:
•
Everyone – в эту группу по умолчанию включаются вообще все пользователи в системе;
•
Authenticated users – в эту группу включаются только аутентифицированные пользователи домена;
•
Self – сам объект.
Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя пользователя или группы и на экране
появится диалоговое окно User Properties:
General – общее описание пользователя;
Address – домашний и рабочий адрес пользователя;
Страницы
- « первая
- ‹ предыдущая
- …
- 91
- 92
- 93
- 94
- 95
- …
- следующая ›
- последняя »
