ВУЗ:
Составители:
пом к части дерева каталога, внося изменения в контейнер, влияющий на все вложенные
контейнеры и объекты-листья. Обратная сторона такой гибкости – недостаточно высокая
производительность из-за времени определения эффективных прав доступа при запросе
пользователя.
В Windows NT реализована статическая форма наследования прав доступа, иногда
также называемая наследованием в момент создания. Информация об управлении досту-
пом к контейнеру распространяется на все вложенные объекты контейнера. При создании
нового объекта наследуемые права сливаются с правами доступа, назначаемыми по
умолчанию. Любые изменения наследуемых прав доступа, выполняемые в дальнейшем
на высших уровнях дерева, должны распространяться на все дочерние объекты. Новые
наследуемые права доступа распространяются на объекты Active Directory в соответствии
с тем, как эти новые права определены. Статическая модель наследования позволяет уве-
личить производительность.
Элементы безопасности системы. Далее будут рассмотрены вопросы реализации
политики безопасности: управлению учетными записями пользователей и групп, испол-
нению и делегированию административных функций.
Учетные записи пользователей и групп. Любой пользователь Windows NT характе-
ризуется определенной учетной записью. Под учетной записью понимается совокупность
прав и дополнительных параметров, ассоциированных с определенным пользователем.
Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлеж-
ность к группе позволяет быстро и эффективно назначать права доступа и полномочия.
К встроенным учетным записям пользователей относятся:
•
Guest – учетная запись, фиксирующая минимальные привилегии гостя;
•
Administrator – встроенная учетная запись для пользователей, наделенных макси-
мальными привилегиями;
•
Krbtgt – встроенная учетная запись, используемая при начальной аутентификации
Kerberos.
Кроме них имеются скрытые встроенные учетные записи:
•
System – учетная запись, используемая операционной системой;
•
Creator owner – создатель (файла или каталога).
Перечислим встроенные группы:
•
локальные (Account operators; Administrators; Backup operators; Guests; Print opera-
tors; Replicator; Server operators; Users);
•
глобальные (Domain guests – гости домена; Domain Users – пользователи домена;
Domain Admins – администраторы домена).
Помимо этих встроенных групп имеется еще ряд специальных групп:
•
Everyone – в эту группу по умолчанию включаются вообще все пользователи в
системе;
•
Authenticated users – в эту группу включаются только аутентифицированные поль-
зователи домена;
•
Self – сам объект.
Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя
пользователя или группы и на экране появится диалоговое окно User Properties.
• General – общее описание пользователя;
• Address – домашний и рабочий адрес пользователя;
• Account – обязательные параметры учетной записи;
• Telephone/notes – необязательные параметры;
• Organization – дополнительные необязательные сведения;
• Membership – обязательная информация о принадлежности пользователя к груп-
пам;
• Dial-in – параметры удаленного доступа;
• Object – идентификационные сведения о пользовательском объекте;
• Security – информация о защите объекта.
Локальная политика безопасности – регламентирует правила безопасности на ло-
кальном компьютере. С ее помощью можно распределить административные роли, кон-
кретизировать привилегии пользователей, назначить правила аудита.
По умолчанию поддерживаются следующие области безопасности:
•
политика безопасности – задание различных атрибутов безопасности на локаль-
ном и доменном уровнях; так же охватывает некоторые установки на машинном уровне;
•
управление группами с ограничениями – позволяет управлять членством в груп-
пах, которые, по мнению администратора, «чувствительны» с точки зрения безопасности
системы;
Страницы
- « первая
- ‹ предыдущая
- …
- 85
- 86
- 87
- 88
- 89
- …
- следующая ›
- последняя »
