Администрирование Microsoft Windows Server: пользователи, локальные и глобальные группы, права, привилегии и аудит

Администрирование Microsoft Windows Server: пользователи, локальные и глобальные группы, права, привилегии и аудит

Учетные записи пользователей (user accounts)

 

Учетная запись пользователя – основа защиты Windows NT. Это уникальный личный код, предоставляющий право на доступ к ресурсам. Каждый пользователь, работающий в домене должен иметь учетную запись. Учетная запись позволяет контролировать доступ пользователей к ресурсам домена.

Учетные записи бывают трех видов. Два из них встроенные, они создаются автоматически при установке Windows NT, третий вы создаете сами.

Встроенные учетные записи: Guest (гость) (предназначена для доступа К ресурсам компьютера случайных пользователей). Administrator (применяется при выполнении административных задач).

Учетные записи могут быть глобальными и локальными. Глобальная учетная запись содержит сведения о пользователе домена.

Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена.

Локальная учетная запись содержит информацию о пользователе только данного компьютера. С ее помощью пользователь может получить доступ к ресурсам этого компьютера.

Учетные записи создаются и управляются программой User Manager for Domains.

Группы

Группа – это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Принадлежность к конкретной группе определяет значительную часть возможности пользователя, так как при этом он получает все права и разрешения группы.

Группы - очень удобный метод присвоения прав и разрешений сразу нескольким пользователям. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности. Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и разрешения всех групп, в которых он состоит.

Группы бывают двух видов: глобальные и локальные. Локальные группы применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваиваются локальной группе,а затем в эту группу включают учетные записи пользователей и глобальных групп. Глобальные группы организуют учетные; -записи пользователей домена по служебным обязанностям или географическому положению. В состав Windows NT Server входят несколько встроенных глобальных групп.

Разрешения и права

Разрешения определяют правомочность выполнения конкретными пользователями различных действий с ресурсами: папками, файлами и принтерами. Права регулируют возможности пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.

 

Разрешения NTFS

Разрешения NTFS - набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам.

Они доступны только на томах, где установлена файловая система NTFS.

Говоря о разрешениях NTFS, следует различать понятия индивидуальных, стандартных и специальных разрешений. Под индивидуальными разрешениями понимают набор прав, позволяющий предоставлять пользователю доступ того или иного вида.

Этих разрешений всего шесть: Read (Прочитать), Write (Записать), Execute (Выполнить), Delete (Удалить),Change Permissions (Изменить разрешения) и Take Ownership (Стать владельцем).

Индивидуальные разрешения по отдельности имеют весьма ограниченные возможности доступа и управления файлами и папками на NTFS-разделах.

 

 

Обычно для выполнения над файлами или папками действий

определенного уровня требуются наборы индивидуальных разрешений. Такие наборы называются стандартными разрешениями. Для файлов стандартных разрешений всего четыре.

    В скобках показано, из каких индивидуальных разрешений состоят стандартные разрешения. Для папок набор стандартных разрешений несколько шире. В первой паре скобок указаны индивидуальные разрешения на доступ к самой папке, во второй -на доступ к файлам, создаваемых в этой папке. Некоторые разрешения на папку не устанавливают разрешения для файлов (No Specified).

    При этом пользователь не сможет обращаться к файлам в этой папке, если только разрешения на доступ для него не заданы как-нибудь иначе (например, через разрешения, устанавливаемы на отдельные файлы).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.

Специальные разрешения это комбинация индивидуальных разрешений R, W, X, D, Р, О, не совпадающих ни с одним стандартным набором. Установить специальное разрешения NTFS в диалоговом окне File Permissions или Directory Permissions можно только правкой существующих разрешения для пользователей или группы. Иными словами, чтобы установить для кого-нибудь специальное разрешение NTFS, надо установить сначала какое либо из стандартных разрешений, а        потом преобразовать его в специальное. При этом для папок можно отдельно регулировать доступ как к самой папке (Special Directory Access), так и находящимся в ней файлам (Special File Access).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.

Службы Интернета

 

 

Система доменных имен (DNS)

 

DNS является аббревиатурой от Domain Name System (система доменных имен), т.е. системы наименования компьютеров и сетевых служб, организованных в виде иерархии доменов. Правила наименования DNS используются в сетях TCP/IP, таких как Интернет, для обнаружения компьютеров и служб по именам, удобным для пользователей. Когда пользователь вводит в приложении имя DNS, службы DNS могут сопоставить имя с другими сведениями, например, с IP-адресом.

 

Большинство пользователей предпочитает использовать понятное имя, такое как example.microsoft.com, для поиска компьютера, являющегося почтовым сервером или Web-сервером сети. Понятное имя легче запоминается. Компьютеры же при связи по сети используют числовые адреса. Чтобы облегчить использование сетевых ресурсов, службы имен, такие как DNS, обеспечивают сопоставление понятного имени компьютера или службы с его числовым адресом.

Рисунок 19 иллюстрирует использование DNS, т.е. обнаружение IP-адреса компьютера по его имени.

 

 

Рис. 19. Разрешение доменного имени с помощью DNS-сервера

 

В этом примере клиентский компьютер запрашивает у сервера IP-адрес компьютера с доменным именем DNS host-a.example.microsoft.com.

Поскольку сервер может ответить на запрос с помощью своей локальной базы данных, он возвращает ответ, содержащий запрашиваемую информацию, т.е. запись ресурса узла (A), содержащую IP-адрес, соответствующий имени host-a.example.microsoft.com.

Этот пример демонстрирует простой запрос DNS от клиента к серверу. На практике запросы DNS могут потребовать привлечения других серверов и выполнения дополнительных шагов, не показанных в этом примере.

 

Работа запросов DNS

 

Когда DNS-клиенту требуется найти имя, используемое в программе, он запрашивает DNS-серверы для сопоставления имени.

Каждое сообщение с запросом, отправляемое клиентом, содержит информацию трех типов, определяющую вопрос, на который отвечает сервер:

- указанное доменное имя DNS в виде полного доменного имени узла

(FQDN);

- указанный тип запроса, в котором задается либо тип записей ресурсов, либо тип операции запроса;

- указанный класс доменного имени DNS.

Для DNS-серверов Windows этот класс всегда должен быть указан как класс Интернета (IN).

Например, указанное имя может представлять полное доменное имя узла для компьютера, такое как «host-a.example.microsoft.com.», и тип запроса на поиск записей ресурсов адреса (A) для этого имени.

Запрос DNS можно представить как вопрос клиента, состоящий из двух частей, например, «Имеются ли записи ресурсов A для компьютера с именем 'hostname.example.microsoft.com.'?» Когда клиент получает ответ от сервера,он читает и интерпретирует содержащуюся в ответе запись ресурса A, узнавая IP-адрес компьютера, запрошенного по имени.

Запросы DNS используют несколько способов сопоставления имен. Клиент может иногда ответить на запрос с помощью локальной кэшированной информации, полученной в предыдущем запросе. DNS-сервер может использовать собственный кэш информации о записях ресурсов для ответа на запрос. DNS-сервер может также запросить или обратиться к другим DNS-серверам в интересах запрашивающего клиента для полного сопоставления имени, а затем отправить ответ клиенту. Этот процесс называют рекурсией. В дополнение к этому, клиент может самостоятельно попытаться установить контакт с дополнительными DNS-серверами для сопоставления имени. При этом клиент использует отдельные дополнительные запросы, базирующиеся на ссылочных ответах от серверов. Этот процесс называют итерацией.

В общем, процесс запроса DNS выполняется в две стадии.

- Запрос к имени начинается на клиентском компьютере и передается в систему сопоставления имен службы DNS-клиент.

- Когда не удается ответить на запрос на локальном уровне, можно для сопоставления имени запрашивать DNS-серверы по мере необходимости.

 

Запрос к DNS-серверу

Как показано на рисунке 21, клиент запрашивает основной DNS-сервер. Из глобального списка выбирается сервер, используемый на начальной стадии запроса от клиента к серверу. Когда DNS-сервер принимает запрос, он сначала проверяет, можно ли дать полномочный ответ на базе записей ресурсов, содержащихся в локальной зоне в конфигурации сервера.

Еслизапрошенное имя соответствует информации в записи ресурса в локальной зоне, сервер полномочно отвечает, используя эту информацию для сопоставления имени.

Если в зоне нет информации для запрошенного имени, сервер проверяет, можно ли сопоставить имя, используя информацию предыдущих запросов в локальном кэше.

Если здесь обнаруживается совпадение, сервер отвечает с использованием этой информации. И в этом случае, если основной сервер может дать запрашивающему клиенту утвердительный ответ на сопоставление из собственного кэша, запрос завершается.

Если на основном сервере не удается найти запрошенное имя — ни в кэше, ни в зонах — процесс выполнения запроса может продолжаться с использованием рекурсии для полного сопоставления имени. При этом другие DNS-серверы помогают сопоставить имя.

Служба DNS-клиент по умолчанию указывает серверу использовать процесс рекурсии для полного сопоставления имен в интересах клиентов перед возвращением ответа.

В большинстве случаев DNS-серверы по умолчанию настраиваются на поддержку процесса рекурсии, как показано на рисунке 21.

 

Рис. 21. Обработка запроса DNS-серверами

 

Для правильного выполнения рекурсии DNS-сервером ему необходимы сведения о контактах с другими DNS-серверами в пространстве доменных имен DNS. Такая информация обеспечивается в виде корневых ссылок,списка предварительных записей ресурсов, которые могут использоваться службой DNS для обнаружения других DNS-серверов, полномочных для корня дерева пространства доменных имен DNS. Корневые серверы являются полномочными для корня доменов и доменов верхнего уровня в дереве пространства доменных имен DNS.

С помощью корневых ссылок, позволяющих обнаруживать корневые серверы, DNS-сервер может завершить процесс рекурсии. В принципе, это позволяет любому DNS-серверу обнаруживать серверы, полномочные для любого доменного имени DNS, используемого на любом уровне дерева пространства имен.

Например, рассмотрим использование процесса рекурсии для поиска имени «host-b.example.microsoft.com.», когда клиент запрашивает единственный DNS-сервер. Такой процесс имеет место, когда DNS-сервер и клиент только запущены и не имеют локальных кэшированных данных, доступных для сопоставления запрошенного имени. Предполагается, что имя, запрошенное клиентом, является доменным именем, неизвестным серверу по конфигурации его зон.

Сначала основной сервер анализирует полное имя и определяет, что требуется расположение сервера, полномочного для домена верхнего уровня «com». Затем используется итерационный запрос к DNS-серверу «com» для получения ссылки на сервер домена «microsoft.com». Далее от сервера «microsoft.com» поступает ссылочный ответ на DNS-сервер для «example.microsoft.com». И, наконец, устанавливается контакт с сервером «example.microsoft.com».

Поскольку запрошенное имя содержится в конфигурации зон этого сервера, поступает утвердительный ответ на исходный сервер, который инициировал рекурсию.

Когда исходный сервер получает отклик, указывающий, что для запроса получен полномочный ответ, этот ответ направляется запрашивающему клиенту и процесс рекурсии завершается.

Хотя описанное выше выполнение рекурсивного запроса требует интенсивного использования ресурсов, оно дает ряд преимуществ в производительности DNS-сервера.

Например, в процессе рекурсии DNS-сервер, выполняющий рекурсивный просмотр, получает информацию о пространстве доменных имен DNS. Эта информация кэшируется сервером и может снова использоваться для ответов на последующие запросы, которые используют это имя или соответствующее ему. Со временем объем кэшированной информации может возрасти и занять существенный объем ресурсов памяти сервера, хотя кэш очищается при циклах включения и выключения службы DNS.

 

Разные ответы на запрос

 

Запросы могут возвращать разные ответы. Наиболее общие типы:

- полномочный ответ;

- утвердительный ответ;

- ссылочный ответ;

- отрицательный ответ.

Полномочный ответ представляет утвердительный ответ, возвращенный клиенту и доставленный с установленным битом полномочий в сообщении DNS, указывающим, что ответ получен от сервера, имеющего прямые полномочия для запрашиваемого имени.

Утвердительный ответ может содержать запрошенную запись ресурса или список записей ресурсов (который также называют набором записей), соответствующих запрошенному доменному имени DNS и типу записи, указанному в сообщении запроса.

Ссылочный ответ содержит дополнительные записи ресурсов, не указанные по имени или типу в запросе. Ответ этого типа возвращается клиенту, если процесс рекурсии не поддерживается. Эти записи должнырассматриваться как справочные, которые могут использоваться клиентом для продолжения запроса с помощью итераций.

Ссылочный ответ содержит дополнительные данные, такие как записи ресурсов, отличные от запрашиваемого типа.

Например, если запрашивается имя узла «www» и для этого имени в зоне не обнаруживаются записи ресурсов типа A, но обнаружена запись ресурса CNAME для имени «www», то DNS-сервер может включить эту информацию в ответ клиенту. Если клиент способен использовать итерации, он может выполнить дополнительные запросы в попытке полностью сопоставить имя самостоятельно.

Отрицательный ответ от сервера может указывать на один из двух возможных результатов попытки сервера обработать и рекурсивно полностью и полномочно сопоставить имя в запросе.

- Полномочный сервер ответил, что запрошенное имя не существует в пространстве имен DNS.

- Полномочный сервер ответил, что запрошенное имя существует, но для этого имени отсутствуют записи указанного типа.

                          Система сопоставления имен передает результаты запроса в виде утвердительного или отрицательного ответа в запрашивающую программу и кэширует ответ.

Результат деятельности

- отчет

Критерии оценки:

«2» - не сдан отчет или не выполнен объём практического задания;

«3» - сдан отчет, выполнен объём практического задания;

«4» - выполнен объём практического задания, отчет оформлен в соответствии с требованиями;

«5» - полностью выполнен объём практического задания, отчет оформлен в соответствии с требованиями в полном объёме.

 

Администрирование Microsoft Windows Server: пользователи, локальные и глобальные группы, права, привилегии и аудит