- •Windows Server 2003r2”
- •1 Ознакомиться с составом встроенных локальных учетных записей и групп.
- •1.1 Изучить назначение и возможности локальных групп.
- •1.2 Изучить свойства локальных учетных записей Администратор, Гость.
- •2 Создать локальную учетную запись и определить ее свойства.
- •3 С помощью консоли управления локальными параметрами безопасности определить наиболее важные компоненты локальной политики по отношению к пользователям и их стандартные настройки.
- •3.1 Упорядочить параметры локальной политики в соответствии с группами.
- •3.2 Опробовать изменение локальной политики по отношению к созданному пользователю.
- •4 С помощью консоли "Active Directory - управление пользователями и компьютерами" изучить состав учетных записей домена, локальных и глобальных групп домена.
- •5 Придумать пользователей с определенными свойствами в некоторой модельной ситуации.
- •5.1 Создать новые учетные записи пользователей.
- •5.2 Сформировать глобальные группы. Определить привилегии новых пользователей путем включения глоб.Групп в локальные.
- •6 Рассмотреть систему управления доступом к каталогам и файлам ntfs.
- •6.1 Выписать и объяснить состав типов всех возможных субъектов безопасности, которым может быть предоставлен доступ к ресурсу.
- •7 Войти в систему от имени пользователей и проверить их возможности доступа к объектам файловой системы.
- •8 Рассмотреть свойства наследования разрешений доступа.
- •9 Обосновать необходимость применения свойства владения объектом.
- •10 Реализовать сетевой доступ к разделяемым файловым ресурсам.
- •10.1 Назначить разрешения доступа и проверить защищенность файловых ресурсов при доступе по сети.
- •10.2 Реализовать сетевую печать и проверить разрешения доступа к принтеру.
4 С помощью консоли "Active Directory - управление пользователями и компьютерами" изучить состав учетных записей домена, локальных и глобальных групп домена.
Нарисовать схему связей встроенных учетных записей, глобальных и локальных групп.
User | Global group | Local group |
x ---------------> x --------------> x
Первые три пункта изучались локальные изолированные учетные записи. В данном пункте будем рассматривать доменные учетные записи. Для этого будем работать с оснастками ADв консоли управления.
В Active Directory имеется контейнер Users, содержащий три встроенные пользовательские учетные записи: Администратор, Гость иSupport. Эти учетные записи создаются автоматически при создания домена. Каждая из этих встроенных учетных записей имеет свой набор полномочий:
Администраторимеет полномочия «Полный доступ» по всем ресурсам в домене и она позволяет назначать полномочия доменным пользователям.
Гостьиспользуется для того, чтобы люди, не имеющие учетной записи в домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетная запись которого отключена (но не удалена), может выполнять вход с помощью учетной запись Гость. Учетная запись Гость отключена по умолчанию.
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные):
Группы безопасности— каждая группа данного типа имеет идентификатор безопасности (SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
Группы распространения— группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Локальныев домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
Глобальныемогут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
Универсальныемогут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.
Таким образом, при настройке доступа к ресурсу, мы можем оперировать несколькими типами субъектов безопасности:
Локальными
Они определяется в локальной базе данных диспетчера учетных записей безопасности (SAM) на компьютере. У каждого компьютера на основе Windows имеется локальный SAM, содержащий всех пользователей на данном компьютере.
Глобальными
Они определены в контроллерах домена
Различие между локальными и доменными учетными записями заключается в их охвате. Доменные учетные записи могут быть использованы на любом компьютере в домене, тогда как локальные учетные записи действительны только на компьютере, на котором определены.
Схема связей встроенных учетных записей, глобальных и локальных групп