Учетные записи, аутентификация и политика безопасности

Передача прав на администрирование

Можно наделить пользователя полномочиями для выполнения операций с веб-сайтом, такими как управление содержимым или поддержка FTP-каталогов. Например, поручить ежедневную поддержку сайта веб-менеджеру, для чего создать учетную запись с правами более широкими, нежели права обычного пользователя, но все же более ограниченными, чем полномочия системного администратора. Разрешения веб-менеджера в папке содержимого веб-сервера должны позволять ему чтение, изменение и запись файлов. В IIS имеется роль по умолчанию с именем Operator, позволящая устанавливать разрешения на доступ, вести журнал, настраивать безопасность каталога и изменять документ по умолчанию.

Для пользователей, выполняющих администрирование содержимого, рекомендуется создать специальную группу с учетными записями этих пользователей. С точки зрения безопасности не нужно наделять их полными правами администратора, так как столь широкие полномочия не требуются для управления содержимым сайта.

Польза от разделения процесса администрирования сайта становится видна, когда один и тот же сервер используется для управления несколькими веб-сайтами. Это позволяет организациям распределять работу по управлению сайтами, не предоставляя ни одной группе пользователей полного контроля над всеми сайтами сервера и не наделяя их без особой надобности всесторонними полномочиями.

Создание группы распределенного администрирования

Для создания группы распределенного администрирования выполните следующие шаги.

1. Откройте консоль MMC Computer Management (Управление компьютером) и в дереве ресурсов консоли найдите папку Local Users and Groups (Локальные пользователи и группы), после чего откройте ее, чтобы развернуть список, как показано на рисунке. Щелкните правой кнопкой мыши на папке Groups (Группы) и выберите команду New Group (Создать группу).
   

   
   увеличить изображение
   
2. В появившемся диалоговом окне New Group (Создание группы) (см. рисунок) присвойте группе имя. Укажите любое желаемое имя. Введите требуемое описание (например, описание "Siteadmin" говорит о том, что группа предназначена для администрирования сайта на сервере с одним сайтом). Если на сервере работают несколько сайтов, в названии группы укажите имя сайта.
   

   
   
3. В окне Members (Члены) укажите пользователей, которые будут обладать полномочиями управления. Если сервер находится в сети интранет, то в одном из доменов выберите имя учетной записи пользователя в списке учетных записей, отображаемом в этом окне. В этом списке имена учетных записей будут отсутствовать, если сервер изолирован. Ничего страшного в этом нет, так как при создании учетных записей можно присвоить учетную запись созданной группе.
4. Нажмите на кнопку Create (Создать) и закройте окно.

Присвоение прав и разрешений группе распределенного администрирования

Минимальный набор прав для менеджера сайта – это разрешения на доступ к каталогу для изменения папок с информацией веб-сайта. Вероятно, нужно наделить некоторыми полномочиями и пользователей, работающих под контролем менеджера. Если членам группы распределенного администрирования нужны полные права операторов IIS по умолчанию, используйте MMC Interent Services Manager (Диспетчер служб интернета) для добавления группы в список ACL Operators (Операторы). Для более ограниченного набора прав настройте их непосредственно в списках ACL Windows 2000.

Выполните следующие процедуры для присвоения прав и разрешений в локальном списке ACL сервера.

1. С помощью Проводника Windows найдите корневой каталог содержимого веб-сайта в окне My Computer (Мой компьютер).
2. Щелкните на нем правой кнопкой мыши, выберите Properties (Свойства), чтобы открыть диалоговое окно, откройте вкладку Security (Безопасность), после чего появится окно настроек Properties (см. рисунок).
   

   
   
3. На вкладке Security (Безопасность) отображены группы Admini-strators и System, которым ранее были присвоены полные разрешения на доступ ко всему жесткому диску. Теперь, находясь в корневом каталоге папок содержимого, добавьте новую группу с правами на доступ к ним.
4. Нажмите на кнопку Add (Добавить), чтобы открыть диалоговое окно Select Users, Computers, or Groups (Выбор пользователей, компьютеров или групп) (см. рисунок). Прокрутите вниз список групп, чтобы отобразить новую группу администрирования, созданную для управления содержимым сайта. Выберите эту группу и нажмите на кнопку Add (Добавить).
   

   
   
5. Нажмите на OK, чтобы сохранить изменения и закрыть окно. Вы вернетесь в диалоговое окно Properties для корневого каталога веб-сайта.
6. В окне Properties корневого каталога в списке ACL появилась новая группа администрирования. При ее выделении отобразятся свойства, приписанные этой группе по умолчанию (убедитесь, что выделена нужная группа). Этих разрешений, по умолчанию установленных в IIS, недостаточно для управления содержимым сайта, поэтому расширьте их.
7. Для добавления возможности изменения и записи данных отметьте опции разрешений Modify (Изменение) и Write (Запись). Нажмите на кнопку Apply (Применить) для сохранения изменений.

Предупреждение. В левом нижнем углу диалогового окна Properties корневого каталога веб-сайта (см. шаг 2) находится опция Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов). Убедитесь, что она отмечена. Данный параметр не относится к учетным записям; он влияет на всю директорию в целом. При отключении наследуемых разрешений все учетные записи в родительских каталогах будут игнорироваться. Также будут игнорироваться права учетных записей Administrators и System, с помощью которых присваиваются права полного доступа к разделу диска. Отменять эти права сейчас не требуется.

Повторите указанные шаги для домашнего каталога каждого из веб-сайтов сервера, если эти процедуры соответствуют тем полномочиям, которыми наделяются менеджеры веб-содержимого. В зависимости от политики безопасности можно присваивать дополнительные права и разрешения профилям менеджеров. В таблицах 4.1, 4.2 представлен перечень остальных разрешений, присваиваемых или отключаемых в группах распределенного администрирования.

Ниже приведены процедуры для изменения подкатегорий разрешений Windows.

1. Нажмите на кнопку Advanced (Дополнительно) внизу вкладки Security (Безопасность) окна домашнего каталога веб-сайта (см. шаг 2 предыдущей процедуры). Откроется новое диалоговое окно Access Control Settings (Параметры контроля доступа), показанное на рисунке. Внесите изменения в настройки на вкладке Permissions (Разрешения) данного окна.
   

   
   
2. В левом нижнем углу находятся две опции, относящиеся ко всем учетным записям в данном каталоге. Выполните следующие действия, если они соответствуют политике безопасности организации.
   • Отметьте опцию Allow Inheritable Permissions From Parent To Propagate To This Object (Разрешить наследование этим объектом разрешений от родительских объектов), чтобы учетные записи, содержащие права на родительские каталоги данной учетной записи, передавали по наследству свои права этой учетной записи.
   • Отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений). Это обеспечит применение ко всем вложенным каталогам разрешений, присвоенных учетной записи в данном каталоге.
3. В списке ACL выберите группу, для которой нужно изменить параметры прав доступа, после чего нажмите на кнопку View/Edit (Просмотр/Изменение).
4. Отобразится полный список прав и разрешений Windows 2000, как показано на рисунке ниже. Выберите нужные права и разрешения, отметив соответствующие опции. После этого нажмите на OK, чтобы сохранить изменения и выйти из окна.
   

   
   

   Совет. Обратите внимание на опцию Apply These Permissions To Objects And/Or Containers With This Container Only (Применять эти разрешения к объектам и/или приложениям только внутри данного родительского приложения). В терминологии Windows 2000 эта опция сохраняет вносимые изменения в группу администрирования только в рамках приложения Active Directory, если сервер находится в домене Windows. При отсутствии в сети доменов данную опцию использовать нельзя.

5. Нажмите на OK, чтобы сохранить изменения и закрыть окно. Подтвердите действия в появившемся диалоговом окне, нажав на кнопку Yes (Да) для продолжения работы.