Elke computer met Windows NT / 2000 / XP / 2003-besturingssystemen (tenzij het een server is die een domeincontroller is) heeft een lokale database met accounts die de basis wordt genoemd SAM-gegevens... Deze databases zijn besproken bij de beschrijving van het beveiligingsmodel van de Werkgroep. Lokale gebruikers en vooral groepen worden gebruikt bij het toewijzen van toegangsrechten aan bronnen van een specifieke computer, zelfs in het domeinbeveiligingsmodel. Algemene regels het gebruik van lokale en domeingroepen om de toegang te regelen zal hieronder worden beschreven.
Beheer van domeingebruikersaccounts
Domeingebruikersaccounts (evenals computers en groepen) worden opgeslagen in speciale AD-containers. Dit kunnen standaard containers zijn Gebruikers voor gebruikers en Computers voor computers, of een organisatie-eenheid (OU) die is gemaakt door de beheerder. De uitzondering zijn de accounts van domeincontrollers, ze worden altijd opgeslagen in het OP met de naam Domeincontrollers.
Laten we eens kijken naar voorbeelden van het proces van het maken van gebruikersaccounts in de database. Active Directory en analyseer de basiseigenschappen van domeinaccounts. Computeraccounts worden aangemaakt tijdens het toevoegen van een computer aan een domein.
Domeinaccount aanmaken
Laten we de beheerdersconsole openen " Active Directory-gebruikers en computers ".
Laten we klikken klik met de rechtermuisknop muis op de container waarin we een account zullen maken, selecteer de opdracht in het menu " Creëren"en verder -" Gebruiker ".
Vul de velden in " Naam ", " Achternaam", bijvoorbeeld, " Ivan" en " Ivanov" (v Engelse versie - Voornaam, Achternaam), veld " Voor-en achternaam " (Voor-en achternaam) zal zichzelf vullen.
Laten we voorstellen " Aanmeldingsnaam gebruiker " (Aanmeldingsnaam gebruiker), bijvoorbeeld, Gebruiker1... Deze naam krijgt automatisch een deel van het formulier "@<имя домена>", in ons voorbeeld -" @ world.ru "(de resulterende naam moet uniek zijn in het hele bos).
Bij het vormen van de inlognaam wordt deze automatisch ingevuld " Aanmeldingsnaam gebruiker (pre-Windows 2000) " (Aanmeldingsnaam gebruiker (vóór Windows 2000)) gemaakt voor compatibiliteit met vorige Windows-versies (gegeven naam moet uniek zijn binnen het domein). Elke organisatie moet naamgevingsschema's voor gebruikers ontwikkelen (op naam, achternaam, initialen, functie, afdeling, enz.). In ons voorbeeld is de naam " WERELD \ Gebruiker1". Druk op de knop" Verder"(afb. 6.43):
Rijst. 6.43.
Voer het gebruikerswachtwoord in (tweemaal, ter bevestiging).
Laten we de initiële vereisten voor het wachtwoord aangeven:
Vereist wachtwoordwijziging bij volgende login (handig wanneer de beheerder de gebruiker toewijst) initieel wachtwoord, en dan kiest de gebruiker zelf het wachtwoord, dat alleen aan hem bekend is);
Voorkomen dat de gebruiker het wachtwoord wijzigt (handig en zelfs noodzakelijk voor accounts van verschillende systeemdiensten);
Het wachtwoord verloopt niet (ook gebruikt voor serviceaccountwachtwoorden zodat domeinbeleid geen invloed heeft op de werking van deze services, deze parameter heeft een hogere prioriteit in vergelijking met beveiligingsbeleid);
Account uitschakelen.
Rijst. 6.44.
We krijgen de definitieve samenvatting voor het object dat wordt gemaakt en klikken op de " Klaar ".
Aandacht! in oefeningen laboratorium werk de taak wordt gegeven om beleidsregels te configureren die het niveau van vereisten voor wachtwoorden en gebruikersmachtigingen aanzienlijk verminderen:
de vereiste voor wachtwoordcomplexiteit is uitgeschakeld,
de minimale wachtwoordlengte is ingesteld op 0 (d.w.z. het wachtwoord mag leeg zijn),
is gevestigd minimale looptijd wachtwoorden geldig voor 0 dagen (d.w.z. de gebruiker kan het wachtwoord op elk moment wijzigen),
de geschiedenis van de wachtwoordopslag is ingesteld op 0 (d.w.z. bij het wijzigen van het wachtwoord controleert het systeem de geschiedenis van eerder gebruikte wachtwoorden niet),
de groep Gebruikers krijgt het recht om lokaal in te loggen op domeincontrollers.
Dit beleid is uitsluitend ingesteld voor het gemak van het uitvoeren van oefeningen die moeten worden uitgevoerd met gewone gebruikersrechten op domeincontrollerservers. In de praktijk van de administratie, zoals zwakke parameters U kunt in geen geval beveiliging instellen, de vereisten voor wachtwoorden en gebruikersrechten moeten zeer streng zijn (beveiligingsbeleid wordt later in deze sectie besproken).
Regels voor het kiezen van tekens voor het maken van een wachtwoord:
wachtwoordlengte - minimaal 7 tekens;
het wachtwoord mag niet samenvallen met de gebruikersnaam voor het inloggen op het systeem, evenals met zijn gebruikelijke naam, achternaam, namen van zijn familieleden, vrienden, enz.;
het wachtwoord mag niet uit een woord bestaan (om de mogelijkheid uit te sluiten dat het wachtwoord wordt geraden met behulp van een woordenboek);
het wachtwoord mag niet samenvallen met het telefoonnummer van de gebruiker (normaal of mobiel), het nummer van zijn auto, paspoort, rijbewijs of ander document;
het wachtwoord moet een combinatie zijn van hoofdletters en kleine letters, cijfers en speciale tekens (zoals @ # $% ^ * & () _ +, enz.).
En nog een beveiligingsregel is de regelmatige wachtwoordwijziging (de frequentie van de wijziging hangt af van de beveiligingsvereisten in elk specifiek bedrijf of organisatie). Windows-domeinen hebben een beleid dat bepaalt hoe lang gebruikerswachtwoorden verlopen.
Hallo allemaal, ik wil graag een serie artikelen beginnen over Active Directory op: voorbeeld ramen server 2008R2. In de overgrote meerderheid van de gevallen systeembeheerders om basisbeveiligings-principals te maken, gebruiken ze bij voorkeur de module Active Directory: gebruikers en computers, die onmiddellijk na installatie van de rol wordt toegevoegd aan de map Systeembeheer Domeinservices Active Directory” en het promoveren van de server naar een domeincontroller. Deze methode is het handigst omdat deze grafisch wordt gebruikt om beveiligings-principals te maken. gebruikersomgeving en de wizard voor het maken van een gebruikersaccount is heel gemakkelijk te gebruiken. in het nadeel deze methode kan worden toegeschreven aan het moment dat bij het maken rekening gebruiker, kunt u de meeste kenmerken niet meteen instellen en moet u de vereiste kenmerken toevoegen door het account te bewerken.
Volg deze stappen om een aangepast account aan te maken:
- Open de module Active Directory: gebruikers en computers. Om dit te doen, moet u het configuratiescherm openen, het gedeelte "Systeem en beveiliging" erin openen, vervolgens "Beheerprogramma's" en in het venster dat verschijnt, de module "Active Directory - Gebruikers en computers" openen. U kunt ook de toetscombinatie + R gebruiken om het dialoogvenster Uitvoeren te openen en in het dialoogvenster Uitvoeren dsa.msc invoeren in het veld Openen en vervolgens op de knop OK klikken;
- Vouw in de modulestructuur het knooppunt voor uw domein uit en navigeer naar de organisatie-eenheid waarin het gebruikersaccount wordt gemaakt. Om gebruikersaccounts aan te maken, wordt aanbevolen dat u extra OE's maakt en vervolgens gebruikersaccounts toevoegt aan andere OE's dan de standaard gebruikers-OE's. Klik met de rechtermuisknop op deze onderverdeling en van contextmenu selecteer Nieuw en vervolgens Gebruiker, zoals weergegeven in de volgende afbeelding:
In het verschenen dialoogvenster " Nieuw object- Gebruiker "voer de volgende informatie in:
- Voer in het veld "Naam" de gebruikersnaam in;
- Voer in het veld "Initialen" zijn initialen in (meestal worden initialen niet gebruikt);
- Voer in het veld "Achternaam" de achternaam in van de aan te maken gebruiker;
- Het veld "Volledige naam" wordt gebruikt om dergelijke attributen te maken het object dat wordt gemaakt als de Common Name CN en geef de eigenschappen van de naam weer. Dit veld moet uniek zijn in het hele domein, wordt automatisch ingevuld en moet alleen worden gewijzigd als dat nodig is;
- Het veld Gebruikersaanmelding is verplicht en is voor de domeinaanmelding van de gebruiker. Hier moet u de gebruikersnaam invoeren en in de vervolgkeuzelijst het UPN-achtervoegsel selecteren, dat achter het @-symbool staat;
- Het veld Gebruikersaanmelding (Pre-Windows 2000) is voor de aanmelding voor systemen voorafgaand aan: besturingssysteem Windows 2000. In afgelopen jaren in organisaties komen eigenaren van dergelijke systemen steeds minder vaak voor, maar het veld is verplicht, omdat sommige software gebruikt dit kenmerk om gebruikers te identificeren. Lees hier hoe u een patroniemveld toevoegt. Nadat u alle vereiste velden hebt ingevuld, klikt u op de knop "Volgende":
Op volgende bladzijde van de Wizard voor het maken van een gebruikersaccount, moet u het eerste gebruikerswachtwoord invoeren in het veld "Wachtwoord" en dit bevestigen in het veld "Bevestiging". Daarnaast kunt u een attribuut selecteren dat aangeeft dat de eerste keer dat een gebruiker zich aanmeldt bij het systeem, de gebruiker het wachtwoord voor zijn account zelfstandig moet wijzigen. Het is het beste om deze optie te gebruiken in combinatie met: lokale politici security "Wachtwoordbeleid", waarmee u sterke wachtwoorden voor uw gebruikers kunt maken. Door het vakje aan te vinken bij de optie "Voorkomen dat de gebruiker het wachtwoord wijzigt" geeft u de gebruiker uw wachtwoord en verbiedt u het wijzigen ervan. Als u de optie "Wachtwoord verloopt nooit" selecteert, verloopt het wachtwoord voor het gebruikersaccount nooit en is het niet nodig periodieke verandering... Als u het vakje "Account uitschakelen" aanvinkt, is dit account niet bedoeld voor verdere werkzaamheden en een gebruiker met een dergelijk account kan pas inloggen als het is ingeschakeld. Deze optie, zoals de meeste attributen, zullen in het volgende gedeelte van dit artikel worden besproken. Nadat u alle attributen hebt geselecteerd, klikt u op de knop "Volgende". Deze wizardpagina wordt weergegeven in de volgende afbeelding:
Zoals we zien is onze gebruiker aangemaakt, laten we nu de informatie over hem invullen, onthoud dat hoe nauwkeuriger en vollediger u de informatie over hem invult, hoe gemakkelijker het later voor u zal zijn. Laten we dubbelklikken op de gewenste gebruiker.
Algemeen. Dit tabblad is bedoeld voor het invullen van individuele gebruikersattributen. Deze kenmerken omvatten de voornaam en achternaam van de gebruiker, korte beschrijving voor een rekening, contact nummer gebruiker, kamernummer, zijn e-mail evenals de website. Vanwege het feit dat deze informatie is individueel voor elke individuele gebruiker, de gegevens die op dit tabblad worden ingevuld, worden niet gekopieerd;
Adres. In het huidige tabblad kunt u invullen postbus, Stad, regio, postcode en het land van verblijf van de gebruikers die worden aangemaakt op basis van van deze sjabloon... Omdat niet elke gebruiker meestal dezelfde straatnamen heeft, kunnen de gegevens uit dit veld niet worden gekopieerd;
Rekening. Op dit tabblad kunt u het exacte tijdstip van gebruikersaanmelding specificeren, computers waartoe gebruikers toegang hebben, accountparameters zoals het opslaan van wachtwoorden, coderingstypes, enz., evenals de geldigheidsperiode van het account;
Profiel. Op het huidige tabblad kunt u het profielpad, het aanmeldingsscript, het lokale pad naar de thuismap en netwerkschijven waarop wordt gepost thuismap rekening;
Organisatie. Op dit tabblad kunt u de functie van medewerkers, de afdeling waar ze werken, de naam van de organisatie en de naam van het afdelingshoofd specificeren;
Groepsleden. De hoofdgroep en groepslidmaatschappen worden hier vermeld.
En de tab-organisatie, waar u de aansluiting bij de afdeling en het bedrijf kunt instellen.
Het gebruik van gebruikersaccounts maakt het gemakkelijker voor meerdere mensen om op dezelfde computer te werken. Elke gebruiker kan een apart account hebben met zijn eigen opties zoals bureaubladachtergrond en screensaver... Accounts bepalen tot welke bestanden en mappen gebruikers toegang hebben en welke wijzigingen ze op de computer kunnen aanbrengen. Voor de meeste gebruikers worden gewone accounts gebruikt.
Domeinen, werkgroepen en thuisgroepen vertegenwoordigen verschillende methoden voor het organiseren van computers in een netwerk. Hun belangrijkste verschil is hoe computers en andere bronnen worden beheerd.
Computers onder Windows-besturing het netwerk moet deel uitmaken van werkgroep of domein. Windows-computers in thuisnetwerk kan ook deel uitmaken van een thuisgroep, maar dit is niet verplicht.
Computers op thuisnetwerken zijn meestal onderdeel van werkgroepen en mogelijk een thuisgroep, terwijl computers op netwerken op werkplekken onderdeel zijn van domeinen. De stappen die u moet nemen, zijn afhankelijk van of de computer lid is van een domein of een werkgroep.
In de werkgroep:
· Alle computers zijn peers op het netwerk; geen enkele computer kan een andere besturen.
· Elke computer heeft meerdere gebruikersaccounts. Om u aan te melden op een computer die bij een werkgroep hoort, moet u een account op die computer hebben.
· Een werkgroep heeft meestal niet meer dan twintig computers.
· De werkgroep is niet beveiligd met een wachtwoord.
· Alle computers moeten zich op hetzelfde lokale netwerk of subnet bevinden.
V thuisgroep:
· Computers op een thuisnetwerk moeten bij een werkgroep horen, maar ze kunnen ook bij een thuisgroep horen. Het delen van uw foto's, muziek, video's, documenten en printers met anderen is veel gemakkelijker met een thuisgroep.
· De thuisgroep is beveiligd met een wachtwoord, maar wordt maar één keer ingevoerd wanneer u een computer aan de thuisgroep toevoegt.
Op het domein:
· Een of meer computers zijn servers. Netwerkbeheerders gebruiken servers om de beveiliging en machtigingen voor alle computers in het domein te beheren. Dit maakt het gemakkelijk om instellingen te wijzigen, aangezien wijzigingen automatisch worden doorgevoerd voor alle computers. Domeingebruikers moeten elke keer dat ze toegang krijgen tot het domein een wachtwoord of andere referenties opgeven.
· Als de gebruiker een account heeft in het domein, kan hij inloggen op elke computer. Hiervoor is geen account op de computer zelf nodig.
· De rechten om computerinstellingen te wijzigen zijn mogelijk beperkt omdat netwerkbeheerders er zeker van willen zijn dat de computerinstellingen consistent zijn.
· Er kunnen duizenden computers in een domein zijn.
· Computers kunnen tot verschillende lokale netwerken behoren.
gebruikersaccounts
V Windows Server 2003 definieert twee soorten gebruikersaccounts:
Domeinreferenties verslagen ( domein gebruikersaccounts) gedefinieerd in Active Directory. Via een wachtwoordsysteem met eenmalige aanmelding hebben deze accounts toegang tot bronnen in het hele domein. Ze worden gemaakt in de console Active Directory: gebruikers en computers.
Lokale accounts (lokaal gebruikerrekeningen) zijn gedefinieerd op de lokale computer, hebben alleen toegang tot de bronnen en moeten worden geverifieerd voordat ze toegang kunnen krijgen netwerkbronnen... Lokale gebruikersaccounts worden gemaakt in de module Lokale gebruikers en groepen.
Lokale gebruikers- en groepsaccounts worden alleen opgeslagen op lidservers en werkstations. Op de eerste domeincontroller worden ze verplaatst naar Active Directory en geconverteerd naar domeinaccounts.
Inlognamen, wachtwoorden en open certificaten
Alle gebruikersaccounts worden herkend aan hun inlognaam. In Windows Server 2003 bestaat het uit twee delen:
gebruikersnaam - tekst accountnaam;
domein of werkgroep ,vwelke rekening zich bevindt.
Voor de gebruiker met wieestanecwiens account is aangemaakt in het domein microsoft.com, de volledige aanmeldingsnaam van WindowsServer 2003 ziet er als volgt uit: wijstaneC@ microsoft.com. Bij het werken met Active Directory is soms de volledig gekwalificeerde domeinnaam (ten volle gekwalificeerddomeinnaam, FQDN) gebruiker, bestaande uit de DNS-domeinnaam gecombineerd met de namen van de container (of OP) en groep. Gebruiker microsoft.co m \ Gebruikers \ westaneC, microsoft.com - DNS-domeinnaam, Gebruikers - containernaam, a met wieestaneC- Gebruikersnaam.
Een gebruikersaccount kan worden gekoppeld aan een wachtwoord en openbaar certificaat (openbaar certificaat). Een open certificaat combineert open en prive sleutel om de gebruiker te identificeren. Inloggen op het systeem met een wachtwoord is interactief. Inloggen met een openbaar certificaat maakt gebruik van een smartcard en lezer.
Beveiligings-ID's en gebruikersaccounts
Hoewel gebruikersnamen worden gebruikt om privileges en machtigingen toe te kennen in Windows Server 2003, is de key account-ID degene die wordt gegenereerd wanneer ehet creëren van een unieke beveiligings-ID (SID). Het bestaat uit een domein-SID en een unieke relatieve identifier die is toegewezen door de relatieve identifier-master.
Door de SID te gebruiken, kan Windows Server 2003 accounts volgen, ongeacht de gebruikersnamen. Met SID's kunt u gebruikersnamen wijzigen en accounts verwijderen zonder dat u zich zorgen hoeft te maken dat iemand toegang krijgt tot bronnen door een account met dezelfde naam aan te maken.
Wanneer een gebruikersnaam verandert, wijst Windows Server 2003 de oude SID toe aan de nieuwe naam. Wanneer een account wordt verwijderd, beschouwt Windows Server 2003 de specifieke SID als groter niet geldig. Als u vervolgens een account met dezelfde naam aanmaakt, krijgt deze niet de privileges van de vorige account, omdat deze een andere SID heeft.
Groepsaccounts
Naast gebruikersaccounts gebruikt Windows Server 2003 groepen om automatisch machtigingen te verlenen aan vergelijkbare typen gebruikers en om accountbeheer te vereenvoudigen. Als een gebruiker lid is van een groep die recht heeft op toegang tot een bron, kan hij er ook naar verwijzen. Om de gebruiker toegang te geven tot de benodigde bronnen, hoeft u deze alleen maar op te nemen in geschikte groep... Omdat verschillende Active Directory-domeinen groepen met dezelfde naam kunnen hebben, wordt er vaak naar groepen verwezen door: voor-en achternaam - domein \ groepsnaam , WORK \ GMarketing komt bijvoorbeeld overeen met de GMarketing-groep in het WORK-domein. Bij het werken met Active Directory moet een groep soms worden aangesproken met de volledig gekwalificeerde naam, die bestaat uit de DNS-domeinnaam, container- of OP-naam en de groepsnaam. In naam van de groep microsoft.com \ Onsers \ GMarkting, microsoft.com - DNS-naam domein, Gebruikers is de container of OP en GMarketing is de naam van de groep.
Marketingmedewerkers hebben waarschijnlijk toegang nodig tot alle marketinggerelateerde bronnen. In plaats van ze afzonderlijk te openen, is het de moeite waard om gebruikers in een groep te combineren. Als de gebruiker later naar een andere afdeling verhuist, volstaat het om hem gewoon uit de groep uit te sluiten en worden alle toegangsrechten ingetrokken.
Groepstypen
V Windows Server 2003 gebruikt drie soorten groepen:
Lokale groepen worden alleen gedefinieerd en gebruikt op de lokale computer, gemaakt in de module Lokale gebruikers en groepen;
Beveiligingsgroepen bevatten beveiligingsdescriptors en worden in verschillende domeinen gedefinieerd via de Active Directory: gebruikers en computers (Active Directory Gebruikersen Computers);
Distributiegroepen (verdeling groepen) worden gebruikt als mailinglijsten E-mail, hebben geen beveiligingsdescriptors en zijn gedefinieerd in domeinen via de Active Directory: gebruikers en computers (ActiveDirectory Gebruikersen Computers).
Groepsbereik
Groepen kunnen verschillende bereiken hebben - lokaal domein (domeinlokaal), ingebouwde lokale (gebouwd- inlokaal), een globale (wereldwijd) en universeel (universeel). Het hangt af van welk deel van het netwerk ze geldig zijn.
Lokale domeingroepen verlenen machtigingen in één domein. Lokale domeingroepen omvatten alleen accounts (zowel gebruikers als computers) en groepen uit het domein waarin ze zijn gedefinieerd.
Ingebouwde lokale groepen hebben speciale machtigingen in lokaal domein... Voor de eenvoud worden ze vaak lokale domeingroepen genoemd, maar in tegenstelling tot gewone groepen kunnen ingebouwde lokale groepen niet worden gemaakt of verwijderd - u kunt alleen hun samenstelling wijzigen. Als het over lokale domeingroepen gaat, bedoelen ze doorgaans gewone en ingebouwde lokale groepen, tenzij anders vermeld.
Globale groepen worden gebruikt om machtigingen toe te wijzen aan objecten in elk domein in een boom of forest. De globale groep bevat alleen accounts en groepen uit het domein waarin ze zijn gedefinieerd.
Generieke groepen beheren machtigingen voor een hele boom of bos; ze omvatten accounts en groepen van elk domein in de domeinboom of -forest. Universele groepen zijn alleen beschikbaar in Active Directory in systeemeigen modusramen 2000 of in modus ramen Server 2003.
Universele groepen zijn erg handig in grote ondernemingen met meerdere domeinen. De samenstelling van universele groepen mag niet vaak veranderen, aangezien elke verandering voor iedereen moet worden gerepliceerd wereldwijde catalogi(HA) in een boom of bos.
SID's en groepsaccounts
V Windows Server 2003-groepsaccounts worden, net als gebruikersaccounts, onderscheiden door unieke beveiligings-ID's (SID's). Dit betekent dat u een groepsaccount niet kunt verwijderen en vervolgens een groep met dezelfde naam kunt maken, zodat deze dezelfde machtigingen en privileges heeft. De nieuwe groep krijgt een nieuwe SID en alle machtigingen en privileges van de oude groep gaan verloren.
Voor elke gebruikerssessie op Windows Server 2003 wordt een beveiligingstoken gegenereerd dat de gebruikersaccount-ID en SID's bevat van alle beveiligingsgroepen waartoe de gebruiker behoort. Het token wordt groter naarmate de gebruiker wordt toegevoegd aan nieuwe beveiligingsgroepen. Dit leidt tot de volgende gevolgen:
Als een gebruiker zich wil aanmelden, moet er een beveiligingstoken worden doorgegeven aan het aanmeldingsproces. Daarom duurt het aanmeldingsproces langer naarmate het lidmaatschap van de beveiligingsgroep van de gebruiker toeneemt;
Om de toegangsrechten te achterhalen, wordt een beveiligingstoken verzonden naar elke computer waartoe de gebruiker toegang heeft. Dus hoe groter het beveiligingstoken, hoe meer netwerkverkeer.
Wanneer lokale, globale en universele domeingroepen gebruiken?
Lokale, globale en universele domeingroepen bevatten veel opties voor het configureren van groepen in de hele onderneming. Idealiter gebruikt u groepsbereiken om hiërarchieën te maken die vergelijkbaar zijn met de organisatiestructuur en verantwoordelijkheden van gebruikersgroepen.
Domein lokale groepen hebben de kleinste invloedssfeer en zijn zeer geschikt voor het regelen van toegang tot bronnen zoals printers en gedeelde mappen.
Wereldwijde groepen optimaal voor het beheren van gebruikers- en computeraccounts in een apart domein.
Universele groepen hebben de grootste invloedssfeer. Ze worden gebruikt om groepen te centraliseren die over meerdere domeinen zijn gedefinieerd. Meestal wordt dit gedaan door een globale groep toe te voegen aan een universele groep. Wanneer de samenstelling van globale groepen verandert, zullen de veranderingen niet worden gerepliceerd naar alle GC's, aangezien de samenstelling van universele groepen formeel niet verandert.
Als uw organisatie slechts één domein heeft, heeft u geen universele groepen nodig; het wordt aanbevolen om de structuur te gebruiken voor lokale en globale domeingroepen.
Standaard gebruikers- en groepsaccounts
Bij Windows-installatie Server 2003 maakt standaard gebruikers- en groepsaccounts aan. Ze zijn bedoeld voor de eerste installatie die nodig is voor de ontwikkeling van het netwerk. Er zijn drie soorten standaardaccounts:
ingebouwd gebruikers- en groepsaccounts worden geïnstalleerd met het besturingssysteem, applicaties en services;
voorgedefinieerd gebruikers- en groepsaccounts worden geïnstalleerd met het besturingssysteem;
impliciet- speciale groepen die impliciet zijn gemaakt bij toegang tot netwerkbronnen; ze heten ook wel speciale faciliteiten (bijzondere identiteiten).
U kunt geen gebruikers en groepen verwijderen die door het besturingssysteem zijn gemaakt.
Ingebouwde accounts
De ingebouwde gebruikersaccounts in Windows Server 2003 hebben specifieke doelen. Alle Windows Server 2003-systemen hebben drie ingebouwde accounts.
Lokaal systeem- pseudo-record om uit te voeren systeemprocessen en het verwerken van taken op systeemniveau, alleen beschikbaar op lokaal systeem... Dit item heeft het recht Aanmelden als service. De meeste services draaien onder het lokale systeemaccount en hebben het recht om te communiceren met de desktop.
Services die extra privileges of inlogrechten vereisen, worden uitgevoerd onder accountslokaal Onderhoud of Netwerk Onderhoud.
lokaal Onderhoud -Een pseudo-account om services te starten die extra privileges of aanmeldingsrechten nodig hebben op het lokale systeem. Services die onder dit account draaien, hebben standaard rechten en privileges om als service in te loggen, de systeemtijd te wijzigen en beveiligingslogboeken te genereren. Services die onder het Local Service-account worden uitgevoerd, zijn onder meer Alerter, Messenger, Remote Registry, Smart Card, Smart Card Helper, Service SSDP Discovery Service, TCP/IP NetBIOS Helper, Uninterruptible Power Supply en WebClient.
Netwerk Onderhoud - een pseudo-account voor services die extra privileges of aanmeldingsrechten vereisen op het lokale systeem en op het netwerk. Services die onder dit account worden uitgevoerd, hebben rechten om als service in te loggen, de systeemtijd te wijzigen en beveiligingslogboeken te maken. Onder de rekening Netwerkinvoer Service voert services uit zoals de Distributed Transaction Coordinator (VerdeeldTransactieCoördinator), DNS-klant( DNSCliënt), prestatielogboeken en waarschuwingen en RPC Locator (Op afstandProcedureTelefoongesprek Locator). Bij het installeren van add-ons of andere applicaties op de server is het toegestaan om andere standaardaccounts te installeren. U kunt ze meestal later verwijderen. Na installatie IIS (internet InformatieDiensten), verschijnen er nieuwe accounts: de eerste is de ingebouwde account voor anonieme toegang tot IIS, en de tweede is om IIS te laten draaien toegepaste processen... Deze accounts worden gedefinieerd in Active Directory wanneer ze zijn geconfigureerd op een domein en als lokale accounts wanneer ze zijn geconfigureerd op een zelfstandige server of werkstation... Een ander ingebouwd account is TSInternetUser - Vereist door Terminal Services.
Vooraf gedefinieerde gebruikersaccounts
Samen met Windows Server 2003 installeert enkele vermeldingen: Beheerder (Beheerder), De gast ( Gast), ASPNET en Steun... Op lidservers zijn vooraf gedefinieerde accounts lokaal voor het systeem waarop ze zijn geïnstalleerd. De vooraf gedefinieerde accounts hebben tegenhangers in Active Directory die domeinbrede toegang hebben en volledig onafhankelijk zijn van lokale accounts op afzonderlijke systemen.
Beheerdersaccount
Dit vooraf gedefinieerde account heeft volledige toegang naar bestanden, mappen, services en andere bronnen; het kan niet worden uitgeschakeld of verwijderd. In Active Directory heeft het domeinbrede toegang en privileges. Anders heeft de beheerder meestal alleen toegang tot het lokale systeem. Bestanden en mappen kunnen tijdelijk worden gesloten door de beheerder, maar hij heeft het recht om op elk moment de controle over alle bronnen terug te krijgen door de toegangsrechten te wijzigen.
Om ongeautoriseerde toegang tot het systeem of domein te voorkomen, moet de administratie: sterk wachtwoord... Daarnaast, gemeenschappelijke naam Iedereen kent dit item, dus het wordt aanbevolen om het te hernoemen.
Meestal hoeft u de basisinstellingen van het beheerdersaccount niet te wijzigen, maar soms moet u deze wel wijzigen Extra opties zoals haar lidmaatschap van sommige groepen. Standaard is een domeinbeheerder opgenomen in de groepen Beheerders, Domeinbeheerders, Domeingebruikers, Ondernemingsadministrators, Schemabeheerders en Eigenaars van makers. Groepsbeleid (Groep BeleidSchepperEigenaren).
ASPNET-account
ASPNET-account wordt gebruikt in NET Framework en is ontworpen om ASP.NET-werkprocessen uit te voeren. Ze is lid van de groep Domeingebruikers en heeft als zodanig dezelfde privileges als: gewone gebruikers in het domein.
Gast account
Dit account is bedoeld voor gebruikers die eenmalige of onregelmatige toegang tot computer- of netwerkbronnen nodig hebben. Het gastaccount heeft zeer beperkte systeemrechten, maar moet met voorzichtigheid worden gebruikt omdat het de veiligheid in gevaar kan brengen. Daarom is de vermelding Gast aanvankelijk uitgeschakeld bij het installeren van Windows Server 2003.
Het gastaccount is standaard lid van de groepen Domeingasten en Gasten. Het is belangrijk op te merken dat alle gastaccounts lid zijn van de impliciete groep Iedereen, die gewoonlijk standaard toegang heeft tot bestanden en mappen en standaard set gebruikersrechten.
Ondersteuningsaccount
Het Support-account wordt gebruikt door de ingebouwde Help- en ondersteuningsservice (Helpen enSteun). Zij is lid van de HelpServicesGroup en Domeingebruikers en heeft het recht om als batchtaak in te loggen. Hierdoor kan het ondersteuningsaccount batchtaken uitvoeren die verband houden met systeemupdates.
Ingebouwde en vooraf gedefinieerde groepen
Ingebouwde groepen worden geïnstalleerd met alle Windows-systemen Server 2003. Om een gebruiker de privileges en machtigingen van een ingebouwde groep te verlenen, hoeft u deze alleen maar in de groep op te nemen.
Om een gebruiker bijvoorbeeld beheerderstoegang tot het systeem te geven, moet deze zijn opgenomen in de lokale groep Administrators. Om een gebruiker beheerderstoegang tot een domein te geven, moet het zijn opgenomen in de lokale domein groep beheerders (Beheerders) v ActiefDirectory.
Impliciete groepen en speciale identifiers
V Impliciete Windows NT-groepen werden automatisch toegewezen bij het aanmelden op basis van hoe de gebruiker toegang kreeg tot de netwerkbron. Dus als hij toegang kreeg via de interactieve login, werd hij automatisch lid van de impliciete groep Interactive (Interactief).
V ramen 2000 en ramenServerDe objectgebaseerde benadering van directorystructuur uit 2003 veranderde de oorspronkelijke regels voor impliciete groepen. Hoewel u de samenstelling van de impliciete systeemgroepen nog steeds niet kunt zien, kunt u wel gebruikers, groepen en computers opnemen.
De samenstelling van een op maat gemaakte ingebouwde groep kan impliciet worden geconfigureerd, bijvoorbeeld bij aanmelding, of expliciet via toegangsrechten. Net als bij andere standaardgroepen hangt de beschikbaarheid van impliciete groepen af van uw netwerkconfiguratie.
Accountmogelijkheden
Om bepaalde rechten aan een gebruiker toe te kennen, volstaat het om hem aan de groepen toe te voegen en hem te ontnemen - hem uit de overeenkomstige groepen te verwijderen.
V De volgende soorten rechten kunnen worden toegewezen aan een Windows Server 2003-account.
Voorrecht stelt u in staat een specifieke administratieve taak uit te voeren, zoals het afsluiten van het systeem. Privileges kunnen worden toegewezen aan zowel gebruikers als groepen.
Inlogrechten (inlogrechten) de mogelijkheid te bepalen om bijvoorbeeld lokaal op het systeem in te loggen. Inlogrechten kunnen zowel aan gebruikers als aan groepen worden toegekend.
Ingebouwde mogelijkheden bedoeld voor groepen. Ze zijn vooraf bepaald en onveranderlijk, maar ze zijn toegestaan delegeren aan gebruikers met toestemming om te beheren objecten, OP of andere containers. Beheerders en accountbeheerders krijgen bijvoorbeeld de mogelijkheid om gebruikersaccounts aan te maken, te verwijderen en te beheren. Met andere woorden, een gebruiker die is opgenomen in de groep Administrators heeft het recht om gebruikersaccounts aan te maken en te verwijderen.
Rechten toegang (toegangsrechten) bepalen welke acties kunnen worden uitgevoerd op netwerkbronnen, bijvoorbeeld een bestand in een map maken. U kunt toegangsrechten toewijzen aan gebruikers, computers en groepen.
U kunt de ingebouwde mogelijkheden van een groep niet wijzigen, maar u kunt de standaardrechten wel wijzigen. Dus de beheerder kan annuleren netwerktoegang op een computer door het groepsrecht op toegang tot deze computer uit het netwerk te verwijderen.
Standaard groepsaccounts
De belangrijkste eigenschap van standaardgroepen is flexibiliteit. Als u gebruikers aan de juiste groepen toewijst, teams beheert of Windows-domeinen Server 2003 zal veel gemakkelijker zijn. In zo'n verscheidenheid aan groepen is het echter niet gemakkelijk om het doel van elk van hen te begrijpen. Laten we de groepen die worden gebruikt door beheerders en impliciete groepen nader bekijken.
Administratieve groepen
De beheerder heeft ruime toegang tot netwerkbronnen. Beheerders kunnen accounts maken, gebruikersrechten wijzigen, printers installeren, gedeelde mappen beheren en meer. De belangrijkste beheerdersgroepen zijn beheerders, domeinbeheerders en bedrijfsbeheerders.
Beheerders) - lokale groep, afhankelijk van de locatie, volledige administratieve toegang tot naar een aparte computer of een specifiek domein. Iemand aanwijzen als beheerder lokale computer of domein, neem het gewoon op in deze groep... Alleen leden van de groep Administrators kunnen dit account wijzigen.
Algemene groep domeinbeheerders is ontworpen om u te helpen bij het beheren van alle computers in het domein. Deze groep heeft beheerderscontrole over alle computers in het domein, omdat deze standaard lid is van de groep Administrators.
Globale groep Enterprise Admins stelt u in staat om alle computers in een boom of bos te beheren. Het heeft administratieve controle over alle computers in de onderneming, aangezien het standaard is opgenomen in de groep Administrators.
Impliciete groepen
V Windows Server 2003 heeft verschillende ingebouwde systeemgroepen waarmee u in specifieke situaties machtigingen kunt toewijzen. Machtigingen voor deze groepen zijn meestal impliciet, maar u kunt ze zelf toewijzen wanneer u Active Directory-objecten wijzigt.
Zelf - bevat het object zelf en laat het zichzelf wijzigen.
Anoniem inloggen - gebruikers die toegang krijgen tot het systeem via anoniem inloggen... Gebruikt voor anonieme toegang tot bronnen zoals webpagina's op bedrijfsservers.
Alles ( Iedereen) - alle interactieve, netwerk-, inbel- en geverifieerde gebruikers. Deze groep biedt brede toegang tot systeembronnen.
Makersgroep (Makersgroep) - groep die wordt gebruikt om automatisch toegangsrechten te verlenen aan gebruikers die lid zijn van dezelfde groep(en) als de maker van het bestand of de map.
Interactief - gebruikers die zich lokaal hebben geregistreerd. Staat toe om toegang tot de bron toe te staan alleen lokaal gebruikers.
Controllers domein ondernemingen (Enterprise domeincontrollers) - domeincontrollers met rollen en verantwoordelijkheden in de hele onderneming. Opname in deze groep stelt controllers in staat om specifieke taken uit te voeren met behulp van transitief vertrouwen.
Beperkt - gebruikers en computers met beperkte toegang. Op een lidserver of werkstation bevat deze groep een lokale gebruiker uit de groep Gebruikers.
Batchbestanden(Partij) - gebruikers of processen die toegang krijgen tot het systeem als een batchtaak (of via een batchwachtrij).
Terminal Server-gebruiker - Gebruikers die toegang krijgen tot het systeem via Terminal Services. Hiermee kunnen terminalservergebruikers toegang krijgen tot servertoepassingen en andere taken uitvoeren.
Volmacht - gebruikers en computers die toegang hebben tot bronnen via een proxyserver (gebruikt wanneer er proxyservers op het netwerk zijn).
Geverifieerde gebruikers - gebruikers die toegang krijgen tot het systeem via het inlogproces. Het wordt gebruikt om de toegang tot gedeelde bronnen en een domein, zoals bestanden in een gedeelde map die voor iedereen in de organisatie beschikbaar moeten zijn.
Netwerk ( Netwerk) - gebruikers die toegang krijgen tot het systeem via het netwerk. Staat toe om toegang tot de bron toe te staan alleen afstandsbediening gebruikers.
Systeem ( Systeem) - het besturingssysteem zelf Windows Server 2003. Wordt gebruikt wanneer het besturingssysteem een functie op systeemniveau moet uitvoeren.
Onderhoud ( Onderhoud) - diensten die toegang krijgen tot het systeem. Biedt toegang tot lopende processen Windows-services Server 2003.
Maker eigenaar - de gebruiker die heeft gemaakt dit bestand of map. Wordt gebruikt om automatisch machtigingen te verlenen aan de maker van een bestand of map.
Op afstand toegang ( Opbellen) - gebruikers die toegang krijgen tot het systeem via een inbelverbinding.
