Учетная запись Администратор (Administrator)

Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.

Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.

Обычно менять основные параметры учетной записи Администратор (Administrator) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы (Administrators), Администраторы домена (Domain Admins), Пользователи домена (Domain Users), Администраторы предприятия (EnterpriseAdmins), Администраторы схемы (Schema Admins) и Владельцы-создатели групповой политики (Group Policy Creator Owners).

Учетная запись ASPNET

Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.

Учетная запись Гость (Guest)

Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость (Guest) при установке Windows Server 2003 изначально отключена.

Учетная запись Гость (Guest) по умолчанию является членом групп Гости домена (Domain Guests) и Гости (Guests). Важно отметить, что все гостевые учетные записи являются членами неявной группы Все (Everyone), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.

Учетная запись Support

Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.

1.2 Изучить назначения и возможности локальных групп.

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы " своего" домена и глобальные и универсальные группы всего леса.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп

Ø Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

Ø Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

 

Область действия групп

 

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам " своего" домена;

• Глобальные могут содержать — только глобальные учетные записи пользователей " своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
• Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

 

 

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена исерверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и использования групп.

При создании и использовании групп следует придерживаться следующих правил:

1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.

2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.

3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.

Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.

Встроенные локальные группы (на рабочей станции или простом сервере).
Название группы	Описание
Администраторы	Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группа Администраторы домена.
Операторы резервного копирования	Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера.
Администраторы DHCP (создается при установке службы DHCP Server)	Члены этой группы могут администрировать службу DHCP Server.
Операторы сетевой конфигурации	Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически.
Пользователи монитора производительности	Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом.
Пользователи журнала производительности	Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом.
Опытные пользователи	Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группах Опытные пользователи, Пользователи и Гости.
Операторы печати	Члены группы могут управлять принтерами и очередями печати на конкретном сервере.
Пользователи удаленного рабочего стола	Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера.
Пользователи	Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группы Интерактивные и Прошедшие проверку.
Встроенные доменные локальные группы.
Название группы	Описание
Администраторы	Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная записьАдминистратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы.
Операторы учетных записей	Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группу Администраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы.
Операторы резервного копирования	Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу.
Администраторы DNS (создается при установке службы DNS)	Члены группы имеют административный доступ к серверам DNS.
Операторы сетевой конфигурации	Члены группы могут изменять настройки TCP/IP на контроллерах доменов.
Пользователи монитора производительности	Члены группы могут следить за счетчиками производительности на контроллерах домена.
Пользователи журнала производительности	Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена.
Операторы печати	Члены группы могут управлять работой принтеров домена
Операторы сервера	Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности.
Пользователи	Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи домена является по умолчанию членом данной группы.
Встроенные глобальные группы.
Название группы	Описание
Администраторы домена	Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группыАдминистраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию.
Компьютеры домена	Все контроллеры, серверы и рабочие станции домена являются членами этой группы.
Контроллеры домена	Все контроллеры домена являются членами этой группы.
Пользователи домена	Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группу Пользователи.
Администраторы предприятия(создается только в корневом домене леса)	Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса.Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу.
Администраторы схемы (создается только в корневом домене леса)	Члены этой группы могут изменять схему Active Directory.
Динамические группы.
Название группы	Описание
Интерактивные	В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере.
Прошедшие проверку	Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения.
Все	Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов.

1.3 Изучить свойства локальных учётных записей Администратор, Гость

 

Посмотреть свойства учётных записей можно при помощи оснастки «Управление компьютером» (compmgmt.msc) на компьютере – члене домена или в оснастке или «Active Directory – Пользователи и компьютере»(dsa.msc) на компьютере –контроллере домена. Свойства позволяют посмотреть те или иные сведения или изменить членство в группах. Набор сведений достаточно широк, поэтому они объединены по вкладкам в окне.

Ø Вкладка «Общие» содержит сведения об администраторе домена, такие как: ФИО, расположение, способы связи.

Ø Во вкладке «Адрес» можно указать: улицу, почтовый ящик, область/край, почтовый индекс, страну или регион.

Ø Во вкладке «Учётная запись» можно указать: имя входа пользователя, время входа, параметры учётной записи (требовать смену пароля при следующем входе, запретить смену пароля, разрешить ставить неограниченный по времени пароль, метод шифрования пароля (обратимое, DES), отключить учётную запись, отключить проверку подлинности Kerberos)

Ø Во вкладке «Профиль» можно указать путь к профилю, сценарий для входа, домашнюю папку.

Ø Во вкладке «Телефоны» можно указать номера телефонов для связи с администраторам по возникшим вопросам.

Ø Во вкладке «Организация» можно указать занимаемую должность, отдел, наименование организации

Ø Вкладка «Член группы» позволяет редактировать членство в группах

Ø Во вкладке «Входящие звонки» позволяет задать разрешения на удаленный доступ VPN или модем, настройка ответного вызова сервера, явное указание статического IP адрес пользователя, использование статической адресации.

Ø Во вкладке «Среда» можно настроить среды служб терминалов (лицензия «на пользователя», когда пользователи не привязаны к конкретному компьютеру, требуется доступ к серверу как из корпоративной сети, так и из удаленной (дом, другой офис) иначе ставится лицензия «на устройство»), назначить программу, запускаемую при входе в систему, а так же подключаемые устройства ( диски, принтеры, выбор основного принтера)

Ø Во вкладке «Сеансы» можно указать время завершения отключенного сеанса, ограничения активного сеанса, ограничения бездействующего сеанса, назначить действия при превышении ограничений или разрыве подключения (отключить сеанс, завершить сеанс), параметры разрешения пере подключений ( от любого клиента, только от прежнего клиента)

Ø Во вкладке «Удалённое управление» можно настроить удалённое управление служб терминалов: разрешить удалённое управление, запрашивать разрешение пользователя, указать желаемый уровень управления сеансом пользователя (только наблюдение, взаимодействие с этим сеансом)

Ø Во вкладке «Профиль служб терминалов» можно указать путь к профилю, указать домашнюю папку для служб терминалов или запретить пользователю вход на серверы терминалов.

Ø Во вкладке «COM+» можно указать членом каких наборов раздела COM+ является пользователь

 

 

⇐ Предыдущая123Следующая ⇒

Поделиться: