ОБЩИЕ ТЕОРЕТИЧЕСКИЕ СВЕДЕНИЯ. Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене
Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.
В Windows Server 2003 определены пользовательские учетные записи двух типов: доменные учетные записи и локальные учетные записи.
Доменные учетные записи определены в Active Directory. Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли «Active Directory – пользователи и компьютеры».
Локальные учетные записи определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке «Локальные пользователи и группы».
Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.
Все учетные записи пользователей распознаются по имени для входа в систему. В Windows Server 2003 оно состоит из двух частей:
- «имя пользователя» –текстовое имя учетной записи;
- «домен или рабочая группа», в которых находится учетная запись.
Например, для пользователя mask, учетная запись которого создана в домене is4.local, полное имя для входа в Windows Server 2003 выглядит так: [email protected]. Имя для предыдущих версий Windows – is4\ mask. При работе с Active Directory иногда требуется полное имя домена пользователя, состоящее из DNS-имени домена в сочетании с именами контейнера и группы. У пользователя is4.local \Users\ mask, DNS-имя домена – is4.local, имя контейнера – Users, а имя пользователя – mask.
С учетной записью пользователя могут сопоставляться пароль и открытый сертификат. В открытом сертификате сочетаются открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно. При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.
Хотя для назначения привилегий и разрешений в Windows Server 2003 применяются имена пользователей, ключевым идентификатором учетной записи является генерируемый при создании уникальный идентификатор безопасности (SID). Он состоит из идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов.
С помощью SID ОС Windows Server 2003 способна отслеживать учетные записи независимо от имен пользователей. Благодаря наличию SID вы вправе изменять имена пользователей и удалять учетные записи, не беспокоясь, что кто-то получит доступ к ресурсам, создав учетную запись с тем же именем. Когда вы меняете имя пользователя, Windows Server 2003 сопоставляет прежний SID с новым именем. Когда вы удаляете учетную запись, Windows Server 2003 считает, что конкретный SID больше недействителен. Если вы затем создадите учетную запись с тем же именем, она не получит привилегий предыдущей записи, так как у нее иной SID.
Помимо учетных записей пользователей в Windows Server 2003 используются группы, позволяющие автоматически предоставлять разрешения схожим типам пользователей, что упрощает администрирование учетных записей. Если пользователь – член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Чтобы предоставить пользователю доступ к нужным ресурсам, вы просто включаете его в подходящую группу. Поскольку в разных доменах Active Directory могут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени
– домен\имя_группы.
В Windows Server 2003 используются группы трех типов:
- Локальные группы определяются и используются только на локальном компьютере, создаются в оснастке «Локальные пользователи и группы»;
- Группы безопасности располагают дескрипторами защиты и определяются в доменах посредством консоли «Active Directory – пользователи и компьютеры». Это те группы, для которых можно назначать права и разрешения. Права определяют, какая деятельность разрешается в домене члену подобной группы (пользователю или компьютеру), а разрешения
определяют, к каким объектам в сети они будут иметь доступ. Группы безопасности можно использовать и для рассылки e-mail сообщений многим пользователям. Сообщение отсылается лишь один раз, но при этом его получают все члены группы. Для этого, впрочем, в сети должен быть установлен продукт Microsoft Exchange Server 2003. В этом случае группы безопасности ведут себя так же, как группы распространения;
- Группы распространения используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством консоли «Active Directory – пользователи и компьютеры». Эти группы предназначены только для рассылки пользователям сообщений электронной почты. Для них не определяются права доступа к сетевым объектам.
Группы безопасности имеют все свойства групп распространения, но не наоборот. Но дело в том, что некоторые приложения могут работать только с ними, а не с группами безопасности.
У групп возможны разные области действия: локальная доменная, встроенная локальная, глобальная и универсальная. От этого зависит, в какой части сети они действительны.
Локальные доменные группы предоставляют разрешения в одном домене. В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены.
Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто также называют локальными доменными группами, но, в отличие от обычных групп, встроенные локальные группы нельзя создать или удалить – можно лишь изменить их состав. Как правило, говоря о локальных доменных группах, имеют в виду и обычные, и встроенные локальные группы, если не указано обратное.
Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.
Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.
Универсальные группы очень полезны на больших предприятиях, имеющих несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги в дереве или лесе. Чтобы уменьшить количество изменений, включайте в универсальную группу только группы, а не сами учетные записи.
В Windows Server 2003 учетные записи групп, как и учетные записи пользователей, различаются по уникальным идентификаторам безопасности. Это значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У
новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны.
Для каждого сеанса пользователя в системе Windows Server 2003 создает маркер безопасности, содержащий идентификатор учетной записи пользователя и SID всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это приводит к следующим последствиям:
- Чтобы пользователь вошел в систему, маркер безопасности должен быть передан процессу входа в систему. Поэтому по мере увеличения членства пользователя в группах безопасности процесс входа требует все больше времени;
- Чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому обращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик.
Сведения о членстве в группах распространения не передаются в маркере безопасности, поэтому состав этих групп не влияет на размер маркера.
ЗАДАНИЕ
1. Создать учетную запись пользователя.
2. Изучить свойства созданной учетной записи.
3. Создать группу безопасности и группу распространения, включить учетную запись пользователя в эти группы.
4. Создать шаблон учетной записи.
ТРЕБОВАНИЯ К ЗАЧЕТУ
1. К зачету необходимо предоставить результаты выполненной работы.
2. Составить отчет с подробным описанием выполненных работ.
3. Подготовить ответы на вопросы.