КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Пользователи и группы пользователей, права доступа, аудит
Система безопасности Windows 2000
Используя понятие "пользователь" и "группа пользователей" Windows 2000 позволяет реализовать достаточ-но мощную систему разграничения прав доступа. В Windows 95/98 запрос имени и пароля пользователя использовался только при работе в сети. При локальном входе на компьютер (без подключения к сети) пароль не требовался и любой человек мог изменить/ удалить любой файл, запустить/остановить любую программу, заразить компьютер вирусом и т.д. В Windows 2000 такое невозможно: при входе в систему пользователь в обязательном порядке указывает свое имя и пароль. Если имя и пароль верны, то пользова-тель входит в систему и получает строго ограниченный набор прав. Он может выполнять только те действия, которые разрешил ему администратор. При этом можно настроить аудит – регистрацию обращений пользователей к тем или иным объектам (файлы, принтеры и т.д.).
Создание пользователя осуществляется при помощи меню "Пуск/Настройка/Панель управления/ Администрирование/Active Directory – пользователи и компьютеры" (если Active Directory не установлена, то управление осуществляется через "Пуск/Настройка/Панель управления/Администрирование/Управление компьютером/Служебные программы/Локальные пользователи и группы"). Для создания пользователя необ-ходимо выделить то подразделение, где он будет создан (или папку Users) и дать команду "Контекстное меню/Создать/Пользователь". Группа пользователей создается при помощи команды " Контекстное меню/ Создать/Группа". Группы используются для более удобного управления правами доступа – нет необходи-мости вручную определять права доступа для каждого члена группы. Права определяются в целом на груп-пу, а члены группы получают эти права автоматически. Например, если какие-либо файлы доступны группе "Служба сбыта", то достаточно поместить сотрудника в эту группу, и файлы станут автоматически доступ-ны и ему. Один и тот же сотрудник может быть членом в нескольких группах. Для того, чтобы изменить членство в группах необходимо воспользоваться командой "Выделить пользователя/Двойной щелчок/Член групп/Добавить". В этом же диалоговом окне, на вкладке "Учетная запись", можно запретить смену пароля пользователем, указать срок действия пароля, ограничить время входа пользователя и др. Вкладка "Среда" позволяет запустить определенную программу при входе пользователя в систему. Вкладка "Входящие звон-ки" позволяет разрешить/запретить входящие звонки от имени этого пользователя, определить номер, по которому перезвонит сервер удаленного доступа, при попытке пользователя подключиться к нему. Другие вкладки позволяют разрешить удаленное управление сеансом пользователя, указать адрес пользователя, номер телефона и пейджера, определить перемещаемый профиль пользователя, сценарии входа пользова-теля в систему и др.
Добавление пользователя в группу можно осуществить и другим способом: "Выделить группу/ Двойной щелчок/Члены группы/Добавить" (на этой же вкладке удобно просматривать список пользовате-лей, входящих в данную группу). Можно сделать саму группу членом другой группы: "Выделить группу/ Двойной щелчок/Член групп/Добавить". Для быстрого добавления большого количества пользователей в группу можно воспользоваться командой "Выделить пользователей или подразделения/Контекстное меню/Добавить участников в группу".
Смена пароля пользователя может быть осуществлена, как самим пользователем ("CTRL-ALT-DELETE / Смена пароля"), так и администратором ("Выделить пользователя/Контекстное меню/Смена пароля"). Для того, чтобы временно отключить учетную запись (имя – пароль) пользователя, необходимо воспользоваться командой "Выделить пользователя/Контекстное меню/Отключить учетную запись". Для того, чтобы переместить пользователя в новое подразделение, необходимо воспользоваться командой "Выделить пользователя/Контекстное меню/Переместить". Подразделение – это аналог отдела предприятия, способ объединения пользователей и групп пользователей, со сходными требованиями к политике безопас-ности (например, подразделение "Бухгалтерия"). Для того, чтобы создать подразделение необходимо воспользоваться командой "Выделить имя домена/Контекстное меню/Создать/Подразделение". В рамках подразделения можно создавать пользователей и группы пользователей. Можно создавать подразделения, вложенные в другие подразделения. Для подразделения можно задать групповую политику безопасности "Выделить подразделение/Контекстное меню/Свойства/Групповая политика/Создать" (подробнее групповая и другие политики безопасности будут рассмотрены в разделе "Политики безопасности Windows 2000").
Каждое имя пользователя/группы связывается с уникальным идентификатором пользователя/груп-пы (например, S-1-2-34-56789012345-67890123456-7890123456-7890). Разграничение доступа и система аудита в Windows 2000 использует уникальные идентификаторы для назначения прав доступа и контроля доступа к разным объектам (файлы, принтеры и т.д.). При этом администраторы работают по прежнему с понятными именами пользователей, а уникальные идентификаторы используются только внутри самой Windows 2000. Невозможно в рамках одной лекции полностью описать всю систему разграничения доступа Windows 2000, поэтому приведем лишь несколько примеров разграничения доступа на основании имен пользователей/групп пользователей:
1) Для ограничения доступа к файлу/каталогу достаточно воспользоваться командой "Выделить файл (каталог)/Контекстное меню/Свойства/Безопасность" – указать пользователей/группы пользователей, имеющих доступ к данному файлу(каталогу), указать права этих пользователей. Нажав кнопки "Допол-нительно" и "Показать/Изменить" на этой же вкладке, можно перейти к расширенному управлению правами доступа. В этом же диалоговом окне, на вкладке "Аудит", можно задать аудит (контроль) действий пользо-вателя по доступу к этому файлу/каталогу. Можно настроить запись в специальный журнал (Пуск/Панель управления/ Администрирование/Просмотр событий/Журнал безопасности) успех или неудачу при попытке получить доступ к файлу (каталогу). Регистрация успешных попыток позволяет следить за разрешенной дея-тельностью пользователей, регистрация неудачных попыток – выявить попытки нарушения прав доступа.
2) Для ограничения доступа к различным разделам реестра, необходимо воспользоваться программой regedt32 (Пуск/Выполнить/regedt32).
3) Политики безопасности (см. ниже) могут запретить пользователю локальный вход на конкретный компьютер или/и доступ к конкретному компьютеру по сети. Соответствующие параметры политик назы-ваются "Локальный вход в систему" и "Отказ в доступе к компьютеру из сети" и доступны через меню "Пуск/Настройка/Панель управления/Администрирование/ Локальная политика безопасности/Параметры безопасности/Локальные политики/Назначение прав пользователя" (см. также политику безопасности домена, контролера домена, групповые политики – подробнее далее в лекциях).
|
|
Дата добавления: 2014-01-20; Просмотров: 753; Нарушение авторских прав?; Мы поможем в написании вашей работы!