МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
КРАСНОДОНСЬКИЙ ПРОМИСЛОВО ЕКОНОМІЧНИЙ КОЛЕДЖ
Реферат з предмету: "Комп’ютерні мережі "
На тему: "Адміністрування користувачів з використанням локальних і глобальних груп"
Студента групи 1ОКІСМ-06
Петренко Михайла
Перевірила: Дрокіна Т.М.
Краснодон 2009
Зміст
1. Користувачі, ресурси та операції доступу
Типи користувачів і груп користувачів
Типи об'єктів
Типи операцій доступу
2. Локальні, глобальні і спеціальні групи
3. Вбудовані групи користувачів і їх права
4. Можливості користувачів
5. Дозволи на доступ до каталогів і файлів
6. Керування профілями користувачів
7. Аудит
Призначення аудиту
Реалізація політики аудита
Адміністрування користувачів полягає у створенні облікової інформації користувачів (що визначає ім'я користувача, приналежність користувача до різних груп користувачів, пароль користувача), а також у визначенні прав доступу користувача до ресурсів мережі - комп'ютерів, каталогів, файлів, принтерів і т.п.
Створення облікової інформації користувачів здійснюється в мережі Windows NT утилітою User Manager для локального комп'ютера і User Manager for Domains для всіх компьеров домену. Права доступу до ресурсів задаються в мережі Windows NT різними засобами, залежно від типу ресурсу. Можливість використання комп'ютерів Windows NT Workstation в якості робочих станцій - за допомогою User Manager for Domains, доступ до локальних каталогів і файлів (тільки для файлової системи NTFS, що підтримує права доступу) - за допомогою засобів Windows NT Explorer, до віддалених розділяються каталогами - за допомогою Server Manager, доступ до принтерів - з панелі Printers.
У мережі Windows NT можуть бути визначені наступні типи користувачів та груп користувачів:
локальний інтерактивний користувач комп'ютера (користувач, який заведено в локальній облікової базі даних комп'ютера, і який працює з ресурсами комп'ютера інтерактивно);
локальний мережний користувач комп'ютера (користувач, який заведено в локальній облікової базі даних комп'ютера, і який працює з ресурсами комп'ютера через мережу);
користувач домену (користувач, який заведено в глобальній облікової базі даних домену на PDC);
локальна група комп'ютера (може створюватися на всіх комп'ютерах домену, крім PDC і BDC, в яких вона вироджується в локальну групу домену);
локальна група домену - складається з користувачів домену (заводиться тільки на PDC);
глобальна група домену - складається з користувачів домену (може входити в локальну групу домену).
Для кожного типу груп є деякий набір вбудованих груп: Administrators, Server Operators, Users, Everyone, DomainUsers та ін
Для однозначної ідентифікації глобальної групи в багато доменній мережі, використовується складений її ім'я, наприклад Marketing \ Managers, де Marketing - ім'я домену, Managers - заради глобальної групи.
Каталоги та файли. Процедури завдання правил доступу розрізняються для локальних і поділюваних (share) каталогів і файлів. Операції: read, full control, change, add,...;
Принтери;
Операційна система. По відношенню до цього типу об'єктів визначаються права з виконання різних сервісів і утиліт: вхід, архівування файлів, зміна конфігурації панелей Program Manager,...
Операції доступу - це дії об'єктів над суб'єктами. Операції можуть бути або дозволені, або заборонені, або взагалі не мати сенсу для даної пари об'єкта і суб'єкта.
Всі безліч операцій поділяється на підмножини, що мають особливі назви:
дозволу (permissions) - це безліч операцій, які можуть бути визначені для суб'єктів усіх типів по відношенню до об'єктів типу файл, каталог або принтер;
права (user rights) - визначаються для об'єктів типу група на виконання деяких системних операцій: створення резервних копій, вимикання комп'ютера (shutdown) і т.п. Права призначаються за допомогою User Manager for Domains;
можливості користувачів (user abilities) - визначаються для окремих користувачів на виконання дій, пов'язаних з формуванням їх операційного середовища, наприклад, зміна складу програмних груп, які показуються на екрані дисплея, включення нових ікон в Desktop, можливість використання команди Run і т.п.
Права та дозволи дані групі автоматично надаються її членам, дозволяючи адміністратору розглядати велику кількість користувачів як одиницю облікової інформації.
Можливості користувачів визначаються профілем користувача.
Windows NT Server використовує три типи груп: локальні, глобальні і спеціальні. Кожен тип має своє призначення, можливості та обмеження.
Локальна група може визначатися для домену або для комп'ютера. Локальні групи дають користувачам права та дозволи на ресурси того комп'ютера (або сайти), де зберігається облікова інформація локальної групи. Доступ до ресурсів комп'ютера - Windows NT Workstation або Windows NT Server можуть бути визначені тільки для членів локальної групи цього комп'ютера, навіть якщо ці комп'ютери є членами домену. Наприклад, доступ до ресурсів сервера Windows NT Server 2 на малюнку 1 може бути визначений лише для користувачів, облікові дані яких зберігаються в SAM 2 цього комп'ютера.
Так як база SAM PDC копіюється на всі BDC домену, то користувачі, визначені в PDC, можуть мати права на ресурси як PDC, так і всіх BDC домену.
Доступ до ресурсів комп'ютера для користувачів домену забезпечується за рахунок механізму включення в локальну групу окремих користувачів домену і глобальних груп домену. Включені користувачі та групи отримують ті ж права доступу, що й інші члени цієї групи. Механізм включення глобальних груп в локальні є основним засобом централізованого адміністрування прав доступу в домені Windows NT.
Локальна група не може містити інші локальні групи. Тому в мережі, що використовує модель робочої групи немає можливості визначити на одному комп'ютері всіх користувачів мережі та надавати їм доступ до ресурсів інших комп'ютерів.
Рис. 1. Приклад глобальної групи
У будь-якому випадку локальна група об'єднує деяке число користувачів і глобальних груп, яким присвоюється загальне ім'я - ім'я локальної групи. Локальні групи можуть включати користувачів і глобальні групи не тільки цього домену, але і будь-яких довіряємо доменів.
Windows NT Workstation і Server підтримують кілька вбудованих локальних груп для виконання системних завдань. Адміністратор може створювати додаткові локальні групи для управління доступом до ресурсів. Вбудовані локальні групи діляться на дві категорії - адміністратори (Administrators), які мають всі права та дозволи на цей комп'ютер, і оператори, які мають обмежені права на виконання специфічних завдань. Для Windows NT Server є такі групи-оператори: оператори архівування (Backup Operator), реплікатори (Replicator), оператори сервера (Serevr Operator), принт-оператори (Print Operator) і оператори облікової інформації (Account Operator). Для Windows NT Workstation є тільки дві групи операторів - Backup Operators і Power Users.
Крім того, як на Windows NT Server, так і на Windows NT Workstation є вбудовані локальні групи Users - для звичайних користувачів, і Guests - для тимчасових користувачів, які не можуть мати профілю і повинні володіти мінімальними правами.
Для спрощення організації надання доступу користувачам з іншого домену в Windows NT введено поняття глобальної групи.
Глобальна група користувачів - це група, яка має ім'я і права, глобальні для всієї мережі, на відміну від локальних груп користувачів, які мають імена і права, дійсні тільки в межах одного домену. Адміністратор довіряючого домену може надавати доступ до ресурсів свого домену користувачам з глобальних груп тих доменів, яким довіряє даний домен. Глобальні групи можна включати до складу локальних груп користувачів ресурсного домену.
Глобальна група - це деяке число користувачів одного домену, які групуються під одним ім'ям. Глобальним групам можуть даватися права і вирішення шляхом включення їх в локальні групи, які вже мають необхідні права та дозволи. Глобальна група може містити тільки облікову інформацію користувачів з локальних облікових баз даних, вона не може містити локальні групи або інші глобальні групи.
Існує три типи вбудованих глобальних груп: адміністратор домену (Domain Admins), користувачі домену (Domain Users) і гості домену (Domain Guests). Ці групи з самого початку є членами локальних груп адміністраторів, користувачів і гостей відповідно.
Необхідно використовувати вбудовані групи там, де тільки це можливо. Рекомендується формувати групи в такій послідовності:
В обліковому домені необхідно створити користувачів і додати їх до глобальних групам.
Увімкнути глобальні групи до складу локальних груп ресурсних доменів.
Надати локальним групам необхідні права та дозволи.
Спеціальна група - використовується виключно Windows NT Server для системного доступу. Спеціальні групи не містять облікової інформації користувачів і груп. Адміністратори не можуть приписати користувачів до цих груп. Користувачі або належать до цих груп за замовчуванням (наприклад, кожен користувач є членом спеціальної групи Everyone), або вони стають ними в залежності від своєї мережевої активності.
Існує 4 типи спеціальних груп:
Network (Cетевая)
Interactive (Інтерактивна)
Everyone (Кожен)
Creator Owner (Творець-Власник).
Будь-який користувач, який хоче отримати доступ до ресурсів, що розділяються по мережі, автоматично стає членом групи Network. Користувач, локально що ввійшов в комп'ютер, автоматично включається до групи Interactive. Один і той же користувач в залежності від того, як він працює з комп'ютером, буде мати різні права. Будь-який користувач мережі є членом групи Everyone. Адміністратор може призначити групі Everyone будь-які права. При цьому адміністратор може надати будь-які права користувачеві, не заводячи на нього облікової інформації на своєму комп'ютері. Група Creator Owner містить облікову інформацію користувача, який створив ресурс або володіє ним.