Запуск программ от имени другого пользователя 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Запуск программ от имени другого пользователя



Утилита командной строки Runas позволяет запускать программы с использованием учетных данных другого пользователя. Для запуска приложения с параметром заключите их в кавычки. Например, для запуска программы application.exe /option от имени пользователя Kim_Akers на компьютере Canberra необходимо ввести команду:

Runas /user:Canberra\Kim_Akers «application.exe /option»

Введя эту команду, вы должны также ввести пароль целевой учетной записи. После этого приложение запускается в контексте безопасности указанного пользователя. По умолчанию, а также при указании параметра /profile, загружается профиль целевого пользователя. Это позволяет получить доступ к файлам, зашифрованным для учетной записи целевого пользователя, поскольку сертификаты EFS хранятся в профиле пользователя. Используйте параметр /noprofile, чтобы не загружать профиль.

Параметр /savecred позволяет сохранить учетные данные целевого пользователя. При первом использовании параметра /savecred вы должны ввести пароль. Чтобы получить доступ к сохраненным учетным данным при будущих вызовах Runas, используйте параметр /savecred с именем учетной записи:

Runas /savecred /и$ег:имя_компьютера\имя_пользователя «apDlication.exe /option-»

Сохраненные учетные данные хранятся в хранилище Windows, и ими можно управлять в Диспетчере учетных данных (Credential Manager).

Команду Runas нельзя использовать для запуска административного приложения, если учетная запись целевого пользователя настроена на выдачу запроса согласия или запроса учетных данных. Команду Runas можно использовать для запуска приложения, требующего повышения, если в качестве учетной записи целевого пользователя указана встроенная учетная запись администратора. По умолчанию она выключена, но ее можно включить при помощи групповой политики. Для запуска редактора локальной групповой политики от имени встроенной учетной записи администратора (при условии что она была активирована) используйте команду:

runas /useradministrator «mmc gpedit.msc»

Настройка прав пользователя

Права пользователя настраиваются в узле Конфигурация компьютера\Конфи-гурация Windows\napaMCTpbi безопасности\Локальные политики\Назначе-ние прав пользователя (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment) редактора локальной групповой политики. В узле содержится 44 политики, большая часть которых относятся к функциям ОС, которые не входят в программу экзамена 70-680. Большинство администраторов настраивают права пользователей, добавляя пользователей в конкретные локальные группы, не изменяя групповые политики прав конкретных пользователей. Например, чтобы разрешить пользователю создать резервные копии файлов и папок, достаточно просто включить его в группу Операторы архива (Backup Operators), а не изменять политику Архивация файлов и каталогов (Back Up Files and Directories). To же самое касается и использования удаленного рабочего стола. Вы вольны добавить учетную запись пользователя в группу Пользователи удаленного рабочего стола (Remote Desktop Users) или изменить политику Разрешить вход в систему через службу удаленных рабочих столов (Allow Log On Through Remote Desktop Services). Как правило, лучше добавить пользователя в соответствующую локальную группу, поскольку полномочия конкретных пользователей проще отслеживать, изучив их членство в группах, а не разбираясь в настройках групповых политик. В Windows 7 имеются следующие встроенные группы, предоставляющие пользователю какие-либо особые права:

· Администраторы (Administrators) Члены этой группы имеют неограниченный доступ к клиенту Windows 7.

· Криптографические операторы (Cryptographic Operators) Члены этой группы могут выполнять криптографические операции. Данная политика используется только при развертывании Windows 7 в специальной конфигурации, называемой режимом общих критериев (common criteria mode). В этом режиме администраторы могут читать и записывать все параметры, за исключением параметров, относящихся к криптографии политики IPsec.

· Операторы архива (Backup Operators) Члены этой группы могут обходить ограничения доступа к файлам и папкам в целях создания резервных копий.

· Операторы настройки сети (Network Configuration Operators) Члены этой группы могут изменять параметры TCP/IP.

· Опытные пользователи (Power Users) Эта группа включена для совместимости с предыдущими версиями.

· Пользователи DCOM (Distributed COM Users) Пользователи этой группы могут манипулировать объектами распределенной модели DCOM на данном компьютере.

· Пользователи журналов производительности (Performance Log Users) Эти пользователи могут планировать запись счетчиков производительности, активировать поставщики трассировки (trace providers) и собирать данные трассировки событий.

· Пользователи системного монитора (Performance Monitor Users) Эти пользователи имеют удаленный и локальный доступ к данным счетчиков производительности.

· Пользователи удаленного рабочего стола (Remote Desktop Users) Пользователи этой группы могут входить в систему через удаленный рабочий стол.

· Репликаторы (Replicators) Эта группа используется для поддержки репликации в домене.

· Читатели журнала событий (Event Log Readers) Члены этой группы могут читать журналы событий.

Access Control List или ACL — список контроля доступа, который определяет, кто или что может получать доступ к конкретному объекту, и какие именно операции разрешено или запрещено этому субъекту проводить над объектом.

 

Active Directory. Задачи инфраструктуры проверки подленности и контроля доступа (IDA)

Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Кроме того, указанные средства предоставляют пользователям и компьютерам механизм получения доступа к ресурсам предприятия.

Active Directory обеспечивает проверку подлинности личности и контроль доступа (Identity and Access, IDA) для корпоративных сетей Windows. Инфраструктура IDA должна выполнять следующие задачи:

Хранение информации о пользователях, группах, компьютерах и других объектах идентичности. Объект идентичности (identity) — это представление сущности, выполняющей какието действия в корпоративной сети. Предположим, что пользователь открывает документы в общей папке на сервере. Они защищены разрешениями списка контроля доступа (Access Control List, ACL). Доступом к документам управляет подсистема безопасности сервера, который, сравнивая объект идентичности пользователя с объектам и в списке ACL, предоставляет или запрещает пользователю доступ. Поскольку компьютеры, группы, службы и другие объекты тоже выполняют определенные действия в сети, они должны быть представлены объектами идентичности. Среди информации об объекте идентичности, которая хранится, есть свойства, уникальным образом идентифицирующие объект, например имя пользователя либо идентификатор безопасности (Security Identifier, SID), а также пароль объекта идентичности. Таким образом, хранилище объектов идентичности является одним из компонентов инфраструктуры IDA. В хранилище данных Active Directory, которое также называется каталогом, хранятся объекты идентичности. Самим хранилищем управляет контроллер домена — сервер, играющий роль AD DS.

Проверка подлинности объекта идентичности. Сервер не предоставляет пользователю доступа к документу, пока не будет подтверждена подлинность объекта идентичности, представленного в запросе доступа. Чтобы подтвердить подлинность объекта, пользователь указывает секретную информацию, известную только ему и инфраструктуре IDA. Эти данные сравниваются с информацией в хранилище объектов идентичности во врем я процесса, который называетс я проверкой подлинности.

Управление доступом. Инфраструктура IDA обеспечивает защиту конфиденциальных данных, например информации в документе. Доступ к конфиденциальным данным должен контролироваться в соответствии с политиками предприятия. Списки управления доступом ACL документа отражают политику безопасности, состоящую из разрешений, в которых для отдельных объектов идентичности указаны уровни доступа. В данном примере функции контроля доступа в инфраструктуре IDA выполняет подсистема безопасности на сервере.

Обеспечение данных аудита Предприятию может потребоваться отслеживать изменения и действия, выполняемые в инфраструктуре IDA, поэтому решение IDA должно обеспечить механизм управления аудитом.

 



Поделиться:


Последнее изменение этой страницы: 2017-02-21; просмотров: 276; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.192.47.250 (0.005 с.)