Опубликован: 15.10.2008 | Уровень: профессионал | Доступ: свободно
Лекция 12:

Управление пользователями и данными входа

Аннотация: Материалы данной лекции посвящены способам идентификации и аутентификации пользователей, приведены примеры и принципы создания учетных записей пользователей

В любой защищенной среде вам нужен способ идентификации и аутентификации пользователей. Чтобы защитить локальные компьютеры и сетевые серверы от несанкционированного доступа, операционная система должна требовать, чтобы пользователь имел заранее созданный набор опознавательных данных, прежде чем ему будет разрешен доступ к локальным и сетевым ресурсам. В Windows Server 2003 этой цели отвечают пользовательские учетные записи.

Пользовательские учетные записи

Пользовательская учетная запись содержит пользовательское имя и пароль, которые используются человеком для входа на локальный компьютер или в домен. Кроме того, пользовательская учетная запись, в частности, в Active Directory, используется для идентификации пользователя с помощью таких данных, как полное имя, адрес электронной почты, номер телефона, отдел, адрес и другие поля данных, которые можно использовать по выбору. Пользовательские учетные записи используются также как средство предоставления полномочий пользователю, применения скриптов (сценариев) входа, назначения профилей и домашних папок, а также привязки других свойств рабочей среды для данного пользователя.

Локальные учетные записи

Локальные учетные записи создаются и сохраняются в базе данных безопасности компьютера. Локальные учетные записи используются чаще всего в среде рабочей группы, чтобы обеспечивать возможность входа для пользователей локального компьютера. Однако локальные учетные записи можно также использовать для защиты локальных ресурсов, доступ к которым хотят получать другие пользователи рабочей группы. Эти пользователи подсоединяются к ресурсу через локальную сеть, используя пользовательское имя и пароль, которые хранятся на компьютере, где находится этот ресурс (учетной записи должны быть предоставлены полномочия доступа к этому ресурсу). Но по мере роста числа рабочих станций локальные учетные записи и рабочие группы становятся непрактичны для управления доступом к локальным ресурсам. Решение заключаются в том, чтобы перейти к доменной среде и доменным учетным записям.

В некоторых случаях ваш сервер Windows Server 2003 может использоваться для особой цели, а не как централизованная точка для клиентских служб. Например, вы можете поддерживать базу данных, предназначенную только для локального доступа, или можете держать на этом сервере важную информацию. В таких ситуациях вам нужно создавать пользовательские учетные записи для сотрудников, которым разрешается доступ.

Доменные учетные записи

Информация доменных учетных записей хранится на контроллерах соответствующего домена. Они дают привилегии доступа во всем домене (то есть не локализуются для какого-либо конкретного компьютера). Пользователь может выполнять вход с любой рабочей станции в домене (если его доменная учетная запись не запрещает этого). После того, как пользователь выполнил вход, доменная учетная запись может предоставлять этому пользователю полномочия как по локальным, так и разделяемым сетевым ресурсам (в зависимости от конкретных полномочий, предоставляемых по каждому ресурсу). В Windows Server 2003 хранение и управление доменными учетными записями происходит в Active Directory. Главным преимуществом доменных учетных записей является то, что они позволяют осуществлять централизованное администрирование и применение средств безопасности.

Группы

Хотя вы можете предоставлять полномочия на уровне отдельных пользователей, это можно реализовать только при очень небольшом числе пользователей. Вообразите, что вы пытаетесь предоставить полномочия доступа к сетевой папке по отдельности 3000 пользователей.

Группа, как следует из ее названия, это группа пользователей. Вы не помещаете физически пользовательские учетные записи в группы; вместо этого пользовательские учетные записи получают членство в группах, то есть физически группы не содержат ничего. Вам может показаться, что об этом отличии не стоит говорить, но это единственный способ, позволяющий объяснить, что пользователь может принадлежать нескольким группам.

Группы могут быть вложены в другие группы, то есть группа может содержать не только пользователей, но и другие группы. Имеются четыре вида групп в зависимости от типа логической структуры сети, которую вы используете. Подробнее о группах см. в "Управление группами и организационными единицами" .

Управление доменными учетными записями

В домене учетные записи представляют какой-либо физический объект, такой как компьютер или человек, и пользовательские учетные записи могут также использоваться как выделенные служебные учетные записи для приложений, которым требуется это средство. Пользовательские учетные записи, компьютерные учетные записи и группы - все это так называемые принципалы (principal) безопасности. Принципалы безопасности - это объекты каталога, которым автоматически назначаются идентификаторы безопасности (security ID - SID), используемые для доступа к ресурсам в домене.

Два наиболее важных применения учетной записи - это аутентификация опознавательных данных ("личности") пользователя и авторизация (санкционирование) или запрет доступа к ресурсам в домене. Аутентификация позволяет пользователям выполнять вход на компьютеры и в домены с помощью опознавательных данных, которые были аутентифицированы доменом. Доступ к доменным ресурсам санкционируется (или запрещается) в зависимости от полномочий, предоставленных данному пользователю (обычно на основании членства в одной или нескольких группах).

Встроенные доменные учетные записи

В Active Directory имеется контейнер Users, содержащий три встроенные пользовательские учетные записи: Administrator, Guest и HelpAssistant. Эти учетные записи создаются автоматически, когда вы создаете домен. Каждая из этих встроенных учетных записей имеет свой набор полномочий.

Учетная запись Administrator

Учетная запись Administrator имеет полномочия Full Control (Полный доступ) по всем ресурсам в домене и она позволяет назначать полномочия доменным пользователям. По умолчанию учетная запись Administrator является членом следующих групп:

  • Administrators
  • Domain Admins
  • Enterprise Admins
  • Group Policy Creator Owners
  • Schema Admins

Вы не можете удалить учетную запись Administrator и не можете исключить ее из группы Administrators. Но вы можете переименовывать или отключать эту учетную запись, что делают некоторые администраторы, чтобы затруднить злоумышленникам попытки получения доступа к контроллеру домена (DC) с помощью этой учетной записи. После этого такие администраторы выполняют вход с помощью пользовательских учетных записей, являющихся членами перечисленных выше групп, чтобы выполнять администрирование домена.

Отключив учетную запись Administrator, вы можете все же использовать ее при необходимости для доступа к DC, загрузив этот DC в режиме Safe Mode (Безопасный режим; учетная запись Administrator всегда доступна в режиме Safe Mode). Более подробную информацию по этим функциям см. ниже в разделах "Переименование учетных записей" и "Отключение и включение учетных записей".

Учетная запись Guest используется для того, чтобы люди, не имеющие учетной записи в домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетная запись которого отключена (но не удалена), может выполнять вход с помощью учетной запись Guest. Учетная запись Guest не обязательно должна иметь пароль, и вы можете задавать полномочия для учетной запись Guest, как для любой другой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests.

Рассказывая о том, как и когда можно использовать учетную запись Guest, я должен указать, что в Windows Server 2003 учетная запись Guest отключена по умолчанию. Если у вас нет какой-либо особой причины для использования этой учетной запись, имеет смысл оставить ее в этом состоянии.

Эта учетная запись, используемая во время сеанса Remote Assistance (Удаленная поддержка), автоматически создается, когда вы запрашиваете Remote Assistance. Управление этой учетной записью осуществляет служба Remote Desktop Help Session Manager; эта учетная запись имеет ограниченные полномочия на данном компьютере.

Доменные пользовательские учетные записи

Доменные учетные записи создаются в Active Directory, который работает на контроллере домена (DC). Откройте оснастку Active Directory Users and Computers и раскройте нужный домен (если у вас более одного домена). В отличие от Windows N T, система Windows Server 2003 разделяет процессы, которые участвуют в создании пользователей. Сначала вы создаете пользователя и соответствующий пароль, а затем, в виде отдельного шага, конфигурируете детали для этого пользователя, включая его членство в группах.

Чтобы создать нового доменного пользователя, щелкните правой кнопкой на контейнере Users и выберите New/User (Создать/Пользователь), чтобы открыть диалоговое окно New Object-User (Новый объект - пользователь), см. рис. 12.1. (При вводе имени [first name], инициала [initial] и фамилии [last name] Windows Server 2003 автоматически заполняет поле Full name [Полное имя].)

Создание пользователя начинается с ввода базовой информации

Рис. 12.1. Создание пользователя начинается с ввода базовой информации

Введите имя входа пользователя (User logon name). У вас должна быть разработана схема именования, которая обеспечивает единообразие во всей организации. Например, вы можете использовать первую букву имени плюс фамилию, полное имя плюс первые несколько букв фамилии пользователя, форму имя.фамилия или какой-то другой принцип, который можно соблюдать на всем предприятии.

Добавьте к имени входа суффикс основного имени пользователя (UPN - user principal name). В раскрывающемся списке выводятся доступные суффиксы UPN. Пока вы не создадите дополнительные UPN, в раскрывающемся списке будет представлен текущий суффикс домена. Более подробную информацию см. ниже в разделе "Управление основными именами пользователей (UPN)".

Вы можете также ввести пользовательское имя для входа в домен с компьютеров, работающих под управлением Windows 9x/NT (pre-Windows 2000). Windows Server 2003 предлагает то же самое имя, что обычно подходит для вас, но вы можете при желании задать другое имя входа.

Щелкните на кнопке Next, чтобы задать пароль этого пользователя (рис. 12.2). По умолчанию Windows Server 2003 вынуждает пользователя сменить пароль при его следующем входе. Это означает, что вы можете использовать стандартный пароль компании для каждого нового пользователя и затем позволить этому пользователю создать собственный пароль при его первом входе. Выберите вариант изменения пароля, который хотите задать для этого пользователя.

Создайте пароль и выберите вариант изменения пароля для этого пользователя

Рис. 12.2. Создайте пароль и выберите вариант изменения пароля для этого пользователя

Щелкните на кнопке Next, чтобы увидеть сводку выбранных параметров, и затем щелкните на кнопке Finish, чтобы создать этого пользователя в Active Directory. (Более подробную информацию по паролям см. ниже в разделе "Пароли".)

Чтобы задать или изменить свойства для доменного пользователя, выберите контейнер Users в дереве консоли, чтобы вывести в правой панели список пользователей. Затем дважды щелкните на записи пользователя, которого хотите конфигурировать. Как видно из рис. 12.3, у вас имеется обширный набор категорий конфигурирования.

Мы не будем рассматривать каждую вкладку диалогового окна Properties, поскольку многие из них самоочевидны. Несколько вкладок описываются в этой и других лекциях, когда приводится описание параметров пользователя для различных средств. Например, информация о домашних папках, профилях, скриптах входа и опциях паролей приводится ниже в этой лекции. Вкладка Member Of (Член групп), в которой задается участие пользователя в группах, рассматривается в "Управление группами и организационными единицами" .

В диалоговом окне Properties вы можете вводить подробную информацию о каждом пользователе

Рис. 12.3. В диалоговом окне Properties вы можете вводить подробную информацию о каждом пользователе

Заполнив поля конфигурирования для какого-либо пользователя, вы можете скопировать параметры этого пользователя в другое, новое пользовательское имя, чтобы избежать конфигурирования с самого начала. В правой панели для контейнера Users щелкните правой кнопкой на пользовательском имени, которое хотите использовать как источник, и выберите пункт Copy (Копировать). Появится диалоговое окно Copy Object-User (Копирование объекта - Пользователь), которое будет пустым окном для нового пользователя. Введите информацию для этого нового пользователя и опции пароля, как это описано в предыдущих разделах.

Чтобы лучше всего использовать средство копирования, создайте набор шаблонных пользовательских учетных записей, охватывающих все варианты применительно к новым пользователям. Например, вы можете создать пользователя с именем Power (Привилегированный), который является членом группы Power Users с любым временем входа и другими атрибутами. Затем создайте другого пользователя с именем Regular (Обычный) с настройками более низкого уровня. Для вашей компании, возможно, подойдет пользователь с именем DialIn (Коммутируемое соединение) с заданными настройками во вкладке Dial In. Затем по мере создания новых пользователей просто выбирайте подходящего шаблонного пользователя, чтобы скопировать его учетную запись.

По умолчанию копируются наиболее используемые атрибуты (часы входа, ограничения по рабочей станции, домашняя папка, ограничения по сроку действия учетной записи и т.д.). Но вы можете добавить и другие атрибуты для автоматического копирования или запретить копирование определенных атрибутов, внеся изменения в схему Active Directory.

Схема - это база данных на уровне леса, содержащая классы объектов и атрибуты для всех объектов, содержащихся в Active Directory. (Подробнее о схеме и контроллере домена, который исполняет роль Хозяина схемы, см. в "Контроллеры доменов" .) Вы можете использовать схему, чтобы модифицировать атрибуты пользователей, которые помечаются для автоматического копирования при копировании пользовательских учетных записей.

В отличие от Windows 2000 система Windows Server 2003 не устанавливает заранее оснастку для работы со схемой, поэтому вы должны сначала установить ее. Чтобы установить оснастку для схемы, откройте окно командной строки и введите regsvr32 schmmgmt.dll, чтобы зарегистрировать эту оснастку. Система выведет сообщение об успешном завершении. Щелкните на кнопке OK, чтобы убрать это сообщение, затем выйдите из окна командной строки. Затем загрузите эту оснастку в консоль MMC, используя следующие шаги.

  1. Выберите Start/Run (Пуск/Выполнить), введите mmc и щелкните на кнопке OK, чтобы открыть консоль MMC в авторском режиме.
  2. В консоли MMC выберите File/Add/Remove Snap-In (Файл/Добавить/Удалить оснастку), чтобы открыть диалоговое окно Add/Remove Snap-In.
  3. Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snap-in (Добавление автономной оснастки).
  4. Выберите Active Directory Schema, щелкните на кнопке Add и затем щелкните на кнопке Close (или дважды щелкните на Active Directory Schema и щелкните на кнопке Close), чтобы вернуться в диалоговое окно Add/Remove Snap-in.
  5. Щелкните на кнопке OK, чтобы загрузить эту оснастку в дерево консоли.

Имеет смысл сохранить эту консоль (чтобы вам не пришлось повторно выполнять все эти шаги для добавления оснастки), для чего нужно выбрать File/Save (Файл/ Сохранить). Выберите подходящее имя файла (например, schema). Система автоматически добавит расширение .msc. Сохраненная консоль появится после этого в подменю Administrative Tools меню All Programs, поэтому вам не придется открывать окно Run для ее использования.

После загрузки этой оснастки в окне консоли будут представлены две папки: Classes (Классы) и Attributes (Атрибуты). Выберите объект Attributes, чтобы представить атрибуты для ваших объектов Active Directory. Не все из них являются атрибутами пользователя и, к сожалению, нет такой колонки, где указывалось бы, что это атрибут пользовательского класса. Однако имена многих атрибутов дают ответ на этот вопрос.

Щелкните правой кнопкой на нужном атрибуте и выберите в контекстном меню пункт Properties, после чего появится диалоговое окно свойств этого атрибута. Флажок Attribute is copied when duplicating a user (Атрибут копируется при дублировании пользователя) определяет, будет ли данный атрибут автоматически копироваться при создании новых пользователей. Например, на рис. 12.4 показаны свойства для атрибута LogonHours (Часы входа), который копируется по умолчанию. Если вы хотите задавать ограничения по времени входа на уровне отдельных пользователей, то отключите эту опцию (сбросьте флажок). С другой стороны, если вы видите атрибут, который еще не помечен для копирования, и хотите сделать его глобальным атрибутом для всех новых пользователей, то установите этот флажок.

Вы можете указать, нужно или не нужно автоматически копировать пользовательский атрибут для новых пользователей, установив или сбросив этот флажок

Рис. 12.4. Вы можете указать, нужно или не нужно автоматически копировать пользовательский атрибут для новых пользователей, установив или сбросив этот флажок
Игорь Ермачков
Игорь Ермачков
Латвия, Рига
Александр Демиденко
Александр Демиденко
Россия, Брянск