Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
Глава 4 Учетные записи и права Безопасность в операционных системах базируется на понятиях учетной записи и предоставляемых ей прав . Понятие учетной записи Любая программа, запущенная на компьютере с любой современной операционной системой, всегда выполняется от имени какого-либо пользователя и обладает дан- ными ему правами. Например, вы работаете под пользователем Den , запустили тек- стовый процессор и пытаетесь открыть какой-то файл. Если у пользователя Den есть право доступа к этому файлу, текстовый процессор сможет его открыть. Опять-таки, права доступа бывают разными. Есть право чтения документа, есть право изменения документа (записи). Если у пользователя Den нет права записи открытого документа, сохранить изменения он не сможет. Однако вы можете вы- брать команду Сохранить как и сохранить документ в своем домашнем каталоге. Операционная система «различает» пользователей не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору без- опасности — Security Identifier, SID), который формируется в момент создания новой учетной записи. Операцию удаления учетной записи и последующего создания пользователя точно с таким же именем входа операционная система будет оценивать как появление нового пользователя. Алгоритм формирования идентификатора безопасности поль- зователя таков, что практически исключается создание двух учетных записей с одинаковым номером. В результате новый пользователь не сможет, например, получить доступ к почтовому ящику, которым пользовался удаленный сотрудник с таким же именем, не прочтет зашифрованные им файлы, и т. п. Именно поэтому, если каким-либо способом удалить пользователя Den , а затем создать его заново, не нужно надеяться, что вы получите его права. SID’ы этих двух учетных записей будут разными, следовательно, для системы старый пользо- ватель Den и новый пользователь Den — это два разных пользователя. Поэтому учетные записи можно легко переименовывать и менять любые иные их парамет- ры. Для операционной системы после этих манипуляций ничего не изменится, по- скольку такие операции не затрагивают идентификатор пользователя. П РИМЕЧАНИЕ При создании новой учетной записи обычно определяются только имя пользователя и его пароль. Но учетным записям пользователей — особенно при работе в компьютер- ных сетях — можно сопоставить большое количество различных дополнительных па- раметров: сокращенное и полное имя, номера служебного и домашнего телефонов, адрес электронной почты, право удаленного подключения к системе и т. п. Такие па- раметры являются дополнительными, их определение и использование на практике зависит от особенностей построения конкретной компьютерной сети. Дополнительные параметры могут быть использованы программным обеспечением — например, для поиска определенных групп пользователей (см., например, группы по запросу ). Информационные системы предприятия 167 Каждый SID состоит из ID безопасности домена и уникального относительного ID (relative ID, RID), который выделяется хозяином относительных идентификаторов. Стандартные учетные записи имеют идентичные SID (перечень Well Known Security Identifiers приведен, например, в документе KB243330). Например, S-1-5- 18 — это SID учетной записи Local System; S-1-5-19 — учетной записи NT Authority\Local Service; SID S-1-5-20 «принадлежит» учетной записи NT Autho- rity\Network Service и т. д. Учетные записи пользователя домена «построены» по такой же структуре, но обычно еще более «нечитаемы». Вот пример реального доменного SID: S-1-5-21-61356107-1110077972-1376457959-10462 П РИМЕЧАНИЕ Существует множество утилит, которые позволяют по имени входа пользователя оп- ределить его SID и наоборот. Например, утилита getsid. В статье KB276208 базы зна- ний Microsoft приведен код на Visual Basic, который позволяет выполнить запросы SID/имя в обычном сценарии. Код хорошо комментирован и легко может быть приме- нен без поиска специализированных утилит. Можно также установить на компьютер утилиты Account Lockout and Management Tools, которые добавляют к оснастке управ- ления пользователями в домене еще одну вкладку свойств, на которой, в том числе, отображается и SID пользователя. Локальные и доменные учетные записи При работе в компьютерной сети существуют два типа учетных записей: локальные учетные записи создаются на конкретном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локаль- но же выполняется аутентификация такой учетной записи (пользователя). Создать и изменить локальные учетные записи можно с помощью утилиты Локальные пользователи и группы ; доменные учетные записи создаются на контроллерах домена. И именно кон- троллеры домена проверяют параметры входа такого пользователя в систему. Учетные записи пользователей домена создаются и изменяются с помощью оснастки Active Directory | Пользователи и компьютеры . Начиная с Windows 8, появился новый тип учетных записей — учетные записи Microsoft . ОС Windows Server 2012/2016 не управляет такими учетными записями, и их нельзя использовать в составе Active Directory. Их удел — домашние компью- теры. Собственно, для этого они и создавались, а в корпоративной среде их заме- няют доменные учетные записи. Однако пользователи Windows 8/10 все же могут использовать их для получения доступа к Магазину Windows, чтобы загружать от- туда необходимые им приложения. Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы адми- нистраторов домена — в группу локальных администраторов компьютера. Таким 168 Глава 4 образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора. Необходимо четко понимать, что одноименные учетные записи различных компь- ютеров — это совершенно различные пользователи . Например, учетная запись, соз- данная на локальном компьютере с именем входа Иванов , и доменная учетная за- пись Иванов — это два пользователя. И если установить, что файл доступен для чтения «локальному Иванову», то «доменный Иванов» не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпада- ет с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но по- сле изменения одного из паролей такой доступ прекратится. После установки пакета Account Lockout and Management Tools в свойствах учет- ной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему ( Bad Password Count ). Эту информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку: (&(objectclass=user)(!(objectclass =computer))(!(badPwdCount=0)) (badPwdCount=*)) При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без уста- новки упомянутого пакета. Группы пользователей Разные пользователи должны иметь разные права по отношению к компьютерной системе. Если на предприятии всего несколько сотрудников, то администратору не представляет особого труда индивидуально распределить нужные разрешения и запреты. Хотя и в этом случае возникают проблемы — например, при переходе со- трудника на другую должность администратор должен вспомнить, какие права ему были даны ранее, «снять» их и назначить новые, но принципиальной необходимо- сти какого-либо объединения пользователей в группы не возникает. Иная ситуация на среднем предприятии. Назначить права доступа к папке для не- скольких десятков сотрудников — достаточно трудоемкая работа. В этом случае удобно распределять права не индивидуально, а по группам пользователей , в ре- зультате чего управление системой существенно облегчается, — например, при из- менении должности пользователя достаточно переместить его в другую группу. А при создании новых проектов права доступа к ним будут назначаться на основе существующих групп и т. п. Поскольку книга посвящена, в первую очередь, работе в составе компьютерной сети, уделим особое внимание именно группам, создавае- мым в доменах Windows. Информационные системы предприятия 169 Исторически сложилось так, что существует несколько типов групп. Связано это в основном с необходимостью совместимости различных версий операционных систем. Операционная система Windows Server поддерживает группы трех типов: Локальные группы (Local groups) — группы, которые были определены на локальном компьютере. Создать такие группы можно с помощью утилиты Локальные пользователи и группы (Local Users And Groups); Группы безопасности (Security groups) — группы, имеющие связанные с ними дескрипторы безопасности (SID). Такие группы существуют в доменах и созда- ются с помощью оснастки Active Directory | Пользователи и компьютеры ; Группы рассылки (Distribution group) — группы, использующиеся в списках рассылки электронной почты. Они не имеют SID. Создаются оснасткой Active Directory | Пользователи и компьютеры . По области действия можно выделить следующие типы групп: локальные группы домена — обычно создаются для назначения разрешений дос- тупа к ресурсам в пределах одного домена. Такие группы могут содержать чле- нов из любого домена в лесу или из доверяемых доменов в других лесах. Обыч- но глобальные и универсальные группы являются членами локальных групп домена; встроенные локальные группы — имеют разрешения локального домена и часто относятся к локальным группам домена . Разница между ними и другими груп- пами в том, что администратор не может создавать или удалять встроенные локальные группы. Их можно только модифицировать; глобальные группы — обычно создаются в одном и том же домене для определе- ния прав пользователей и компьютеров, разделяющих подобную роль или функ- цию. Члены глобальных групп — только учетные записи и группы из домена, в котором они были определены; универсальные группы — обычно создаются для определения наборов пользова- телей или компьютеров, которые должны иметь широкие разрешения по всему домену или лесу. Членами таких групп являются учетные записи пользователей, глобальные группы и другие универсальные группы из любого домена в дереве доменов или лесу. П РИМЕЧАНИЕ В Windows пользователь получает список групп, в которых он состоит, при входе в систему . Поэтому если администратор сменил у пользователя членство в группах, то это изменение начнет действовать только после нового входа в систему. Если пользователь должен быстро получить доступ к ресурсам, ему следует завершить ра- боту в системе ( log off ) и сразу же вновь войти в нее ( log on ). В группы можно включать как учетные записи пользователей и компьютеров, так и другие группы. Однако возможность вложения зависит от типа группы и области ее действия (табл. 4.3). |