КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Профили
|
|
|
|
Группы
Локальная политика безопасности
Рассмотрим вкратце положения политики безопасности, относящиеся к паролям. Таких положений несколько, увидеть их можно, обратившись к локальной политике (start – control panel – Администрирование – Локальные политика безопасности). В дереве политик выберите «политики учетных записей», в которой – «политики паролей». Теперь справа вы видите положения: минимальный срок действия пароля, а также – максимальный срок действия, минимальная и максимальная длина пароля, сложность пароля, не повторяемость паролей.
Для примера ниже приведены политики паролей, заданные по умолчанию в доменах на WS2003:
| Политика | Параметр |
| Макс. Срок действия пароля | 42 дня |
| Мин. Длина пароля | 7 знаков |
| Мин. Срок действия пароля | 1 день |
| Пароль должен отвечать требованиям сложности | ВКЛ |
| Требования не повторяемости паролей | 24 хранимых паролей |
| Хранить пароли в домене, используя обратное шифрование | ОТКЛ |
Назначение срока жизни пароля повышает безопасность. Но времена смены пароля у разных пользователей должны быть разными, чтобы затруднить злоумышленнику просмотр сетевого трафика в момент смены паролей.
Если вы хотите изучить работу с политиками
Объекты, ассоциированные с пользователями, компьютерами и контактной информацией, могут быть объединены в группы (groups). Это позволяет упросить процесс управления, поскольку администратор может в процессе управления сослаться на всю группу, а не указывать отдельные объекты.
Группа может включать в себя объекты следующих типов:
- пользователи (users)
- компьютеры (computers)
- контакты (contacts)
AD позволяет объединить объекты в группы двух типов:
|
|
|
- группы безопасности (security groups),
- группы рассылки (distributed groups).
Группы безопасности рассматриваются подсистемой безопасности в качестве своих субъектов. Другими словами, они могут использоваться для разграничения доступа к ресурсам сети. Выдавая разрешение на доступ к объекту определённой группе, администратор автоматически разрешает доступ к данному объекту всем членам данной группы.
Группы рассылки изначально ориентировались на использование почтовой системой, как средство одновременной передачи сообщения некоторому коллективу пользователей.
С каждой группой объектов связано понятие области действия. Область действия определяет, в какой части леса доменов на данную группу можно ссылаться.
Существует три области действия групп:
- доменная область действия
- глобальная область действия
- универсальная область действия
1) Группы с доменной (локальной) областью действия – это группы доступные исключительно в пределах того домена, в котором они определены.
2) Группы с глобальной областью действия – группы с данной областью действия доступны в рамках всего леса доменов. Членами группы могут являться объекты и группы с глобальной областью действия, принадлежащие к тому же домену, что и сама группа.
3) Группы с универсальной областью действия – это группы также доступны в рамках всего леса доменов. В состав могут входить объекты, а также группы с универсальной или глобальной областью действия, принадлежащие к любому домену леса.
Для каждого пользователя система автоматически формирует профиль. При первом входе, если администратор не задал настраиваемый профиль, то он берется из Default User.
Профиль – это набор характеристик рабочего стола, инструментов, приложений, адрес домашней папки, сетевые диски, сценарии, работающие по входу и т.д.
NB: Вновь создаваемую учётную запись обязательно требуется протестировать. Проверить вход, доступ к ресурсам, работу сценария.
|
|
|
Профиль создаётся для каждого пользователя в процессе его первой регистрации в компьютере.
Профиль пользователя обладает следующими преимуществами:
- при регистрации пользователя в системе рабочий стол получает те же настройки, какие существовали в момент предыдущего выхода пользователя из системы;
- несколько пользователей могут работать на одном и том же компьютере в индивидуальных средах (нельзя только иметь собственные параметры разрешения экрана и частоты развертки; здесь нужно применять профили оборудования);
- при работе компьютера в домене профили пользователей могут быть сохранены на сервер. В этом случае пользователь получает возможность работать со своим профилем при регистрации на любом компьютере сети. Такие профили называются перемещаемыми (roaming profile). Разновидностью перемещаемых профилей являются обязательные профили (mandatory profiles). Такой профиль пользователь не может изменять, и все изменения, сделанные в настройках системы, теряются при выходе из неё.
Пользовательские профили можно применять различным образом:
- создать несколько типов профилей и назначить их определённым группам пользователей. Это позволит получить несколько типов рабочих сред, соответствующих различным задачам, решаемым пользователем;
- назначить общие групповые настройки всем пользователям;
- назначить обязательные профили, настройки которых пользователи изменять не могут.
Профили хранятся в Profiles или Documents and Settings.
Типы организации доступа к разделяемым ресурсам:
- избирательный (по ресурсам);
- мандатный (по пользователям).
Избирательный способ доступа предполагает наличие у каждого ресурса некоторого пароля. Доступ разрешен тем, кто знает этот пароль.
При мандатном доступе считается, что пароль есть у пользователя, и система формирует чаще всего по входу пользователя некий мандат, содержимое которого сравнивается с описанием безопасности ресурса при попытке доступа.
Избирательный доступ используется для дополнительной защиты ресурсов в современных системах. А мандатный доступ распространенно используется повсеместно.
При входе в систему у каждого пользователя формируется маркер безопасности. У каждого разделяемого ресурса есть список, контролирующий доступ к нему (запреты и разрешения). При попытке доступа все составляющие маркера безопасности последовательно сравниваются со списком контроля доступа. Если встретился запрет, то, несмотря на имеющееся ниже разрешение, в доступе будет отказано.
|
|
|
Пример:
U1 входит в группу GR1. Запреты более приоритетны, чем разрешения. Поэтому U1 запрещен доступ к RES. В то же время, выбираются максимально возможные разрешения (из того, что не запрещено). Например, GR1 разрешено чтение, запись, запрещено менять атрибуты и владельца. Пользователю U1 разрешено чтение, смена атрибутов. Получится, что пользователю разрешено и читать и писать, но запрещено менять атрибуты и владельца.
Пользователь, создавший ресурс, автоматически становится его владельцем. Владелец отличается тем, что он имеет право на смену списка прав доступа. Администратор может стать владельцем любого ресурса.
|
|
|
|
|
Дата добавления: 2014-01-11; Просмотров: 428; Нарушение авторских прав?; Мы поможем в написании вашей работы!