74. Группы безопасности и их роль, механизм управления правами и разрешениями в Windows. (Лекция 14)

Группа безопасности (security group) – объект, представляющий собой совокупность ссылок на учетные записи пользователей. Член группы (group member) – учетная запись пользователя, входящая в группу.

Основное отличие от контейнеров – члены группы не размещены в ней, как в контейнере, а считаются входящими в нее. Т.о. учетная запись может быть членом неограниченного числа групп одновременно. Роль групп - позволять системе безопасности ОС устанавливать общие наборы прав и разрешений множеству учетных записей (assign common set of permissions and rights for many accounts at once). Членство в группе не зависит от вхождения групп в ACL объектов и присвоения им прав пользователя. Группы безопасности упрощают управление доступом к ресурсам. Можно приписывать пользователей к группам безопасности, а затем предоставлять этим группам права доступа. Можно добавлять пользователей к группам безопасности и удалять их оттуда в соответствии с потребностями этих пользователей. Можно создавать учетные записи пользователей и помещать их в локальные группы безопасности. Можно предоставлять пользователям права доступа к файлам и папкам и определять действия, которые пользователи могут выполнять над ними. Можно разрешить и наследование прав доступа. При этом права доступа, определенные для каталога, применяются ко всем его подкаталогам и находящимся в них файлам. Среди групп безопасности, локальных для домена и компьютера, имеется ряд предварительно сконфигурированных групп, в которые можно включать пользователей.

Администраторы (Administrators) обладают полным контролем над локальным компьютером и правами на совершение любых действий. Опытные пользователи (Power Users) обладают правами на чтение и запись файлов не только в личных папках, но и за их пределами. Они могут устанавливать приложения и выполнять многие административные действия. У членов этой группы такой же уровень прав доступа, что и у групп Пользователи (Users) и Опытные пользователи (Power Users) в Windows NT 4.0. Пользователи (Users) в отношении большей части системы имеют только право на чтение. У них есть право на чтение и запись только файлов их личных папок. Пользователи не могут читать данные других пользователей (если они не находятся в общей папке), устанавливать приложения, требующие модификации системных каталогов или реестра, и выполнять административные действия. Права пользователей в Windows XP Professional более ограниченны по сравнению с Windows NT 4.0. Гости (Guests) могут регистрироваться по встроенной учетной записи Guest и выполнять ограниченный набор действий, в том числе выключать компьютер. Пользователи, не имеющие учетной записи на этом компьютере, или пользователи, чьи учетные записи отключены (но не удалены), могут зарегистрироваться на компьютере по учетной записи Guest. Можно устанавливать права доступа для этой учетной записи, которая по умолчанию входит во встроенную группу Guests. По умолчанию учетная запись Guest отключена.

Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL): - Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ. - System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа. Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения.

Участник системы безопасности Windows - это аутентифицированный элемент, который использует ресурсы (например, файлы, принтеры), приложения или службы, размещенные на компьютерах Windows. Каждый участник безопасности имеет уникальный идентификатор, встроенный как SID.