Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли «Active Directory Users and Computers» («Active Directory – пользователи и компьютеры»).
Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator (Администратор) и Guest (Гость). По умолчанию учетная запись Гость отключена.
Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.
Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа — это с использованием суффикса User Principal Name (основного имени пользователя) и имя входа пользователя в системах пред-Windows 2000.
Основное имя пользователя (UPN, User Principle Name) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок «@» и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).
Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли «Active Directory – домены и доверие» («Active Directory Domain and Trusts»).
Существует только одно обязательное условие при этом — все UPN в лесе должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.
Локальные учетные записи
Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности «Рабочая группа». Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers.
Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.
Создание доменной учетной записи
1. Откроем административную консоль «Active Directory – пользователи и компьютеры».
2. Щелкнем правой кнопкой мыши на контейнере, в котором будем создавать учетную запись, выберем в меню команду «Создать» и далее — «Пользователь».
3. Заполним поля «Имя», «Фамилия», например, «Иван» и «Иванов» (в английской версии — First Name, Last Name), поле «Полное имя» (Full Name) заполнится само.
4. Введем «Имя входа пользователя» (User logon name), например, User1. К этому имени автоматически приписывается часть вида «@<имя домена>», в нашем примере — «@world.ru» (полученное имя должно быть уникальным в масштабах леса).
5. В процессе формирования имени входа автоматически заполняется «Имя входа пользователя (пред-Windows 2000)» (User logon name (pre- Windows 2000)), создаваемое для совместимости с прежними версиями Windows (данное имя должно быть уникально в масштабе домена). В каждой организации должны быть разработаны схемы именования пользователей (по имени, фамилии, инициалам, должности, подразделению и т.д.) В нашем примере получится имя «WORLD\User1». Нажмем кнопку «Далее» (рис. 4.43):
Рис. 4.43
6. Вводим пароль пользователя (два раза, для подтверждения).
7. Укажем начальные требования к паролю:
Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);
Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);
Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);
Отключить учетную запись.
Нажмем кнопку «Далее» (рис. 4.44):
Рис. 4.44
9. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку «Готово».
Внимание! В упражнения лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:
отключается требование сложности паролей,
устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),
устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),
устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),
группе «Пользователи» дается право локального входа на контроллеры домена.
Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).
Правила выбора символов для создания пароля:
длина пароля — не менее 7 символов;
пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).
И еще одно правило безопасности — регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.
Обзор свойств учетных записей пользователей.
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли «Active Directory – пользователи и компьютеры», причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль «Active Directory – пользователи и компьютеры» и посмотрим свойства только что созданного нами пользователя.
Закладка «Общие». На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесе AD. Наиболее интересные из них:
«Имя»
«Фамилия»
«Выводимое имя»
«Описание»
«Номер телефона»
«Электронная почта
Закладка «Адрес» — справочная информация для поиска в AD.
Закладка «Учетная запись» — очень важный набор параметров (параметры «Имя входа пользователя» и «Имя входа пользователя (пред-Windows 2000)» обсуждались выше при создании пользователя):
кнопка «Время входа» — дни и часы, когда пользователь может войти в домен;
кнопка «Вход на…» — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
Поле типа чек-бокс «Заблокировать учетную запись» — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
«Параметры учетной записи» (первые три параметра обсуждались выше):
«Требовать смену пароля при следующем входе в систему»
«Запретить смену пароля пользователем»
«Срок действия пароля не ограничен»
«Отключить учетную запись» — принудительное отключение учетной записи (пользователь не сможет войти в домен);
«Для интерактивного входа в сеть нужна смарт-карта» — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
«Срок действия учетной записи» — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)
Закладки «Телефоны», «Организация» — справочная информация о пользователе для поиска в AD.
Закладка «Профиль»
Достарыңызбен бөлісу: |