Опубликован: 29.07.2008 | Уровень: специалист | Доступ: платный
Лекция 8:

Стратегия управления учетными записями

< Лекция 7 || Лекция 8: 123 || Лекция 9 >

Планирование политики сетевой безопасности

Контроллеры домена должны проверять идентификацию пользователя или компьютера, прежде чем предоставить доступ к системным и сетевым ресурсам. Такая проверка называется аутентификацией и выполняется всякий раз при входе в сеть.

При планировании стратегии аутентификации рекомендуется соблюдать ряд правил [ 3 ] :

  • Политика блокировки учетных записей (рекомендуемое значение для пользователя - 5 попыток).
  • Ограничение времени, в которое разрешен вход.
  • Политика истечения сроков билетов (tickets) (значение по умолчанию - 10 часов).
  • Не использовать административные учетные записи для обычной работы.
  • Переименовать или отключить встроенные учетные записи.

Следующий наиболее важный аспект сетевой безопасности - пароли, поэтому политику определения паролей пользователей необходимо тщательно продумать. В Windows Server 2003 по умолчанию действуют более строгие ограничения на пароли, чем в предыдущих версиях. Например, в Windows Server 2003 имеется новое средство, проверяющее сложность пароля учетной записи "Администратор" (Administrator). Если пароль пустой или недостаточно сложный, Windows предупреждает, что использовать нестойкий пароль опасно; при этом пользователь, оставивший поле для пароля пустым, не сможет обращаться к учетной записи через сеть.

Надежная политика управления паролями гарантирует, что пользователи в полной мере соблюдают принципы задания паролей, установленные компанией. При планировании политики управления паролями рекомендуется соблюдать ряд правил [ 3 ] :

  • Политика сохранения последних паролей (рекомендуемое значение: 24).
  • Смена пароля не чаще, чем 1 раз в сутки.
  • Длина пароля не должна быть короче 7 символов.
  • Использование сложной схемы для паролей (строчные, прописные буквы, цифры и другие символы).

Планирование групп

Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдельности назначать разрешения многочисленным пользователям и управлять этими разрешениями. Когда пользователи входят в группу, для изменения того или иного разрешения всех этих пользователей достаточно одной операции.

Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управлять доступом к ресурсам домена и его контроллеров.

Типы групп [ 3 ]

  • Группы безопасности:
    • используются для объединения в одну административную единицу;
    • используются ОС.
  • Группы распространения:
    • используются приложениями (не ОС) для задач, не связанных с защитой.

Области действия групп [ 3 ]

  • Глобальные группы:
    • содержат учетные записи пользователей и компьютеров только того домена, в котором создана эта группа;
    • им можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу.
  • Локальные группы домена:
    • существуют на контроллерах домена и используются для управления доступом к ресурсам локального домена;
    • могут включать пользователей и глобальные группы в пределах леса.
  • Универсальные группы:
    • используются для назначения разрешений доступа к ресурсам нескольких доменов;
    • существуют вне границ доменов;
    • могут включать пользователей, глобальные группы и другие универсальные группы в пределах леса.

Active Directory позволяет вкладывать группы, то есть помещать одни группы в другие. Вложение групп - эффективный способ упорядочения пользователей. При вложении групп необходимо стремиться к тому, чтобы уровень вложения был минимальным; в сущности, лучше ограничиться одним уровнем. Чем глубже вложение, тем сложнее поддерживать структуру разрешений.

Группы пользователей помогают достичь наибольших успехов в стратегии управления учетными записями при выполнении следующих правил [ 3 ] :

  • Избегать выдачи разрешений учетным записям.
  • Создавать локальные группы домена.
  • Для упорядочивания пользователей использовать глобальные группы.
  • Помещать глобальные группы в локальные группы домена.
  • Не включать пользователей в универсальные группы.
< Лекция 7 || Лекция 8: 123 || Лекция 9 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546
Алихан Ергалиев
Алихан Ергалиев
Россия
Иван Иванов
Иван Иванов
Украина, Черкаси