Опубликован: 29.07.2008 | Уровень: специалист | Доступ: платный
Лекция 8:

Стратегия управления учетными записями

< Лекция 7 || Лекция 8: 123 || Лекция 9 >
Аннотация: Для возможности планирования учетных записей в Active Directory перечислены их типы, даны правила и рекомендации управления учетными записями компьютеров и пользователей. Освещены вопросы, связанные с безопасностью, - планирование политики сетевой безопасности, планирование групп и групповых политик

Цель лекции: Выработать стратегию управления учетными записями для возможности ее применения при развертывании Active Directory.

Типы учетных записей

Учетная запись в Active Directory - это список атрибутов, определяющих участника системы безопасности (security principal), например пользователя или группу пользователей.

В Active Directory можно создать пять типов учетных записей [ 3 ] , перечисленных ниже.

  • Компьютер. Всякий раз, когда в домен добавляется компьютер под управлением Microsoft Windows NT, Windows 2000, Windows XP или Windows Server 2003, для него создается учетная запись компьютера. Учетные записи компьютеров служат для аутентификации компьютеров, которые обращаются к сети и ресурсам домена.
  • Пользователь. Учетная запись пользователя - это набор атрибутов для пользователя. Объект-пользователь хранится в Active Directory и позволяет пользователю входить в сеть. Пользователь должен указать удостоверения (имя и пароль) только один раз, затем ему предоставляются соответствующие разрешения на доступ к сетевым ресурсам.
  • Группа. Это набор пользователей, компьютеров или других групп, для которого можно задать разрешения. Задавая разрешения группам и добавляя члены в эти группы, можно сэкономить время, поскольку не приходится назначать разрешения каждому отдельно взятому члену группы.
  • InetOrgPerson. Учетная запись InetOrgPerson работает во многом аналогично учетной записи пользователя за исключением того, что учетные записи InetOrgPerson совместимы с другими службами каталогов, основанными на LDAP. Это обеспечивает совместимость между Active Directory и другими системами.
  • Контакт. Этот объект хранится в Active Directory, но для него не задаются разрешения. То есть контакт нельзя использовать для входа в сеть или доступа к ресурсам. Часто контакты связывают с пользователями, работающими вне сети, которым отправляет сообщения почтовая система.

Планирование учетных записей компьютеров

Учетные записи компьютеров позволяют применять к компьютерам, входящим в домен, во многом такие же средства защиты, как и для пользователей. Эти записи дают возможность выполнять аутентификацию компьютеров - членов домена прозрачным для пользователей образом, добавлять серверы приложений как рядовые серверы (member servers) в доверяемые домены и запрашивать аутентификацию пользователей или служб, которые обращаются к этим серверам ресурсов.

Так как разрешается помещать учетные записи компьютеров в OU и назначать им групповую политику, то можно управлять тем, как выполняется аутентификация и обеспечивается защита компьютеров различных типов. Например, для компьютеров, установленных в общедоступном информационном киоске, действуют другие требования безопасности, чем для рабочих станций, установленных в управляемой среде с ограниченным доступом.

Всякий раз, когда в домен добавляется новый компьютер, создается новая учетная запись компьютера. Таким образом, еще одна составляющая стратегии управления учетными записями - определение пользователей, которые вправе добавлять компьютеры в домен, создавая их учетные записи.

Кроме того, необходимо продумать соглашение об именовании компьютеров. Хорошее соглашение должно позволять без труда идентифицировать компьютер по владельцу, местонахождению, типу или любой комбинации этих данных.

Планирование учетных записей пользователей

Учетные записи пользователей позволяют идентифицировать пользователей, входящих в сеть, задавать, к каким ресурсам они вправе обращаться, и указывать о них всевозможную информацию. Администраторы - тоже пользователи, но с более широкими правами доступа к ресурсам, связанным с управлением сетью. Группы служат для того, чтобы формировать наборы пользователей, для которых нужно задать одни и те же требования к безопасности или права доступа.

Учетные записи пользователей предоставляют пользователям возможность входить в домен или на локальный компьютер и обращаться к ресурсам. Объекты учетных записей пользователей содержат информацию о пользователях и связывают с ними определенные привилегии или ограничения. Каждый объект Active Directory связан со списком управления доступом (Access Control List, ACL), который представляет собой список разрешений на доступ к объекту, заданных для пользователей и групп.

Типы учетных записей пользователей

В Windows Server 2003 существует два основных типа учетных записей пользователей [ 3 ] :

  • Локальные учетные записи пользователей. Создаются в базе данных защиты локального компьютера и управляют доступом к ресурсам этого компьютера. Локальные учетные записи пользователей предназначены для управления доступом к изолированным компьютерам или к компьютерам, входящим в рабочую группу.
  • Доменные учетные записи пользователей. Создаются в Active Directory и дают возможность пользователям входить в домен и обращаться к любым ресурсам сети. Такие учетные записи пользователей реплицируются на все контроллеры в домене, поэтому после репликации любой контроллер домена сможет аутентифицировать пользователя.

Помимо этих учетных записей, Windows автоматически создает несколько таких учетных записей пользователей, которые называются встроенными. И на локальных компьютерах, и в доменах создается две ключевые учетные записи [ 3 ] :

  • Администратор (Administrator). Данная учетная запись обладает наибольшими возможностями, поскольку она автоматически включается в группу "Администраторы" (Administrators). Члены этой группы имеют высший уровень прав по управлению компьютером, им предоставляются почти все пользовательские права. Учетная запись "Администратор уровня домена" дает максимум возможностей по управлению доменом в целом; по умолчанию она включается в группу "Администраторы домена" (Domain Admins) (а администратор корневого домена леса, кроме того, входит в группы "Администраторы предприятия" (Enterprise Admins) и "Администраторы схемы" (Schema Admins)]. Учетную запись "Администратор" нельзя удалить, но ее можно переименовать (и это следует сделать для большей безопасности). Также следует задать для этой учетной записи непустой пароль и не передавать его другим пользователям.
  • Гость (Guest). Данная учетная запись предназначена для того, чтобы администратор мог задать единый набор разрешений для любых пользователей, которые иногда входят в сеть, но не имеют обычной учетной записи. Учетная запись "Гость" позволяет это сделать, так как автоматически включается в локальную группу "Гости" (Guests). В среде, где есть домен, эта учетная запись также включается в группу "Гости домена" (Domain Guests). По умолчанию учетная запись "Гость" отключена. И действительно, ее следует использовать только в сетях, не требующих особой защиты. Эту учетную запись нельзя удалить, но можно отключить и/или переименовать.

Правила именования учетных записей

Тщательное планирование схемы именования учетных записей пользователей позволяет стандартизировать идентификацию пользователей домена. Единое соглашение также облегчает распознавание и запоминание имен пользователей.

Существует много разных соглашений, применимых при создании имен, и у каждого администратора или проектировщика сети есть свои предпочтения. Однако хорошее соглашение об именовании должно быть таким, чтобы имена для входа легко запоминались, а также чтобы можно было различать сотрудников с похожими именами.

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей [ 3 ] :

  • Каждый пользователь должен иметь уникальное имя (логин) в домене.
  • Длина имени не должна превышать 20 символов (для совместимости с предыдущими версиями Windows).
  • Имена не чувствительны к регистру букв.
  • Имена не должны содержать следующих символов: ", /, \, [, ], :, ;, =, ,, +, *, ?, <, >.
  • Должна поддерживаться гибкая система именования.
  • Необходимо учитывать совместимость именования для других приложений (например, для электронной почты).
< Лекция 7 || Лекция 8: 123 || Лекция 9 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546
Илья Сандлер
Илья Сандлер
Россия, Самара, СамГТУ, 2010