Учетные записи пользователей и групп
Любой пользователь Windows 2000 Server характеризуется определенной учетной записью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем. Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлежность к группе позволяет быстро и эффективно назначать права доступа и полномочия.
В Windows 2000 Server, имеется несколько встроенных учетных записей пользователей и групп. Эти учетные записи наделены определенными полномочиями и могут использоваться в качестве основы для новых учетных записей.
К встроенным учетным записям пользователей относятся:
• Guest — учетная запись, фиксирующая минимальные привилегии гостя;
• Administrator — встроенная учетная запись для пользователей, наделенных максимальными привилегиями;
• Krbtgt — встроенная учетная запись, используемая при начальной аутентификации Kerberos.
Кроме них имеются две скрытые встроенные учетные записи:
• System — учетная запись, используемая операционной системой;
• Creator owner — создатель (файла или каталога).
Встроенные группы:
• локальные (оставлены для совместимости)
— Account operators; — Administrators; — Backup operators; — Guests; — Print operators; — Replicator; — Server operators; — Users;
• и глобальные
— Domain guests — гости домена;
— Domain Users — пользователи домена;
— Domain Admins — администраторы домена.
Помимо этих встроенных групп имеется еще ряд специальных групп:
• Everyone — в эту группу по умолчанию включаются вообще все пользователи в системе;
• Authenticated users — в эту группу включаются только аутентифицированные пользователи домена;
• Self — сам объект.
Диалоговое окно Microsoft Management Console, слепок, Directory Service Manager, контейнер Users
Учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых, организационными единицами OU. В домене допустимо произвольное число OU, организованных в виде древовидного пространства имен в соответствии со структурой организации пользователя. Также как и OU, учетные записи отдельных пользователей являются объектами каталога. При изменении сотрудниками места работы или должности учетные записи внутри дерева доменов могут быть легко перемещены, и, таким образом, приведены в соответствие с новым положением.
Между Active Directory и службами безопасности Windows NT существуют фундаментальные отношения. В Active Directory хранятся правила безопасности домена, определяющие порядок использования системы (ограничения паролей, ограничения на доступ к системе и др.). Объекты каталога, относящиеся к безопасности, должны быть защищены от несанкционированного доступа. В Windows NT реализована объектная модель безопасности и контроля за доступом ко всем объектам в каталоге Active Directory. У каждого объекта есть свой уникальный дескриптор защиты, определяющий разрешения на чтение или обновление свойств объекта.
Доменная политика
Доменная политика устанавливает правила для всех учетных записей в домене, затрагивая такие сферы, как правила паролей, блокировка учетных записей, выбор уполномоченных безопасности, Kerberos-правила и т. д.
Если пароль пользователя долгое время неизменен, защищенность системы от несанкционированного доступа значительно снижается. Именно поэтому система должна принуждать пользователя к периодической смене пароля. Политика ведения учетных записей позволяет задать определенный срок действия пароля в пределах от 1 до 999 дней или назначить пароль постоянным. По умолчанию продолжительность действия пароля 42 дня.
По умолчанию длина пароля пользователя варьируется от 0 до 14 символов. Понятно, что при повышенных требованиях к защищенности системы пустой пароль недопустим. В этом случае администратор системы назначает минимальную длину пароля. Создавая новую учетную запись для пользователя, администратор может указать пароль произвольной длины, независимо от ограничения, заданного политикой ведения учетных записей. Однако если пароль изменяется пользователем после регистрации в системе, то параметры нового пароля должны точно соответствовать политике ведения учетных записей.
Ограничение минимально возможного срока изменения пароля пользователем целесообразно, например, если в системе работает много начинающих пользователей. Во-первых, определенный срок дает пользователям, недавно познакомившимся с Windows NT, возможность привыкнуть к особенностям защищенной работы и убедиться в необходимости помнить свой пароль. Ну а новичку, позабывшему свой пароль, тогда сможет помочь администратор,
Во-вторых, начинающий пользователь, сменив по истечении срока действия пароль, может захотеть вернуться к прежнему. Но сделать это и ослабить таким образом защищенность системы не позволит принудительная задержка. Это особенно эффективно, если установить параметр отслеживания уникальности пароля.
Минимальный период для разрешения смены пароля варьируется в пределах от 1 до 999 дней. По умолчанию он не ограничивается. Обычно, достаточно установить 14 дней.