355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 18)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 18 (всего у книги 91 страниц)

смотрим группу, которая служит для у п р а в л е н и я д о с т у п о м к р е с у р с у . Е с л и

Занятие 3

удалить эту группу, доступ к ресурсу будет изменен. Пользователи, которые

раньше получали доступ, могут столкнуться со сценарием отказа в обслужи-

вании Denial-Of-Service. Если же группе был назначен запрет доступа (Deny)

к ресурсу, после удаления г р у п п ы доступ к ресурсу могут получить пользова-

тели, для которых он был запрещен.

Кроме того, при воссоздании г р у п п ы новый объект группы получит но-

вый SID-идентификатор, о т л и ч а ю щ и й с я от SID-идентификаторов в списках

контроля доступа (ACL) к ресурсам. Поэтому пока не истекло время жизни

памятника объекта, вместо повторного создания следует восстановить объект,

чтобы вернуть удаленную группу. По истечении времени жизни памятника объ-

екта (по умолчанию – 60 д н е й ) группа и ее SID-идентификатор окончательно

удаляются из Active Directory. П р и реанимации объекта памятника нужно вос-

создать большую часть его атрибутов, включая атрибут member объектов групп.

Это означает, что После в о с с т а н о в л е н и я удаленного объекта вам потребуется

заново указать членство в группе. В качестве варианта можно выполнить при-

нудительное восстановление и л и использовать в Windows Server 2008 копии

состояния Active Directory д л я восстановления группы и членства в ней. При-

нудительное восстановление и к о п и и с о с т о я н и я описаны в главе 13.

К СВЕДЕНИЮ Восстановление удаленных групп

Более подробную информацию о восстановлении удаленных групп и членства в них

можно найти в статье 840001 в базе знаний по адресу http://support.microsoft.com/

kb/840001/en-us.

В любом случае мы надеемся, что восстанавливать удаленную группу потре-

буется только на «пожарных учениях», а не в производственной среде. Предуп-

редите неприятные последствия у д а л е н и я объекта группы, установив защиту

для каждой созданной группы. В W i n d o w s Server 2008 любой объект можно

без труда защитить от удаления, в ы п о л н и в следующие действия.

1. В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users And C o m p u t e r s ) щ е л к н и т е меню Вид (View) и установите флажок

Дополнительные к о м п о н е н т ы (Advanced Features).

2. Откройте диалоговое окно Свойства (Properties) группы.

3. На вкладке Объект ( O b j e c t ) установите ф л а ж о к Защитить объект от слу-

чайного удаления ( P r o t e c t Object From Accidental Deletion).

4. Щелкните О К .

В данном случае нужно щелкнуть именно кнопку ОК. Если вы щелкните

кнопку Применить (Apply), список ACL не будет модифицирован.

Опция Защитить объект от случайного удаления (Protect Object From Ac-

cidental Deletion) применяет запись управления доступом АСЕ (Access Control

Entry) к списку ACL объекта. Это я в н ы м образом запрещает группе Все (Eve-

ryone) Удалить (Delete) и Удалить поддерево (Delete Subtree). Для того чтобы

удалить объект, понадобится вернуться к вкладке Объект (Object) и сбросить

флажок Защитить объект от случайного удаления.

1 За*. 3399

Целегирование задач управления членством в группе

1осле создания группы задачи управления членством в ней можно делегиро-

1ать команде или отдельному лицу, которое отвечает за ресурсы, управляемые

руппой. Предположим, что ваш финансовый директор должен подготовить

ноджет на следующий год. Вы создаете для бюджета общую папку и назна-

гаете разрешение записи (Write) группе ACL_Budget_Edit. Если кому-либо

•ребуется доступ к папке бюджета, он обращается в отдел справки с запросом,

таел справки обращается к финансовому директору за подтверждением, после

[его добавляет пользователя в группу ACL_Budget_Edit. Чтобы ускорить про-

lecc, вы можете разрешить финансовому директору самому изменять членство

i группе. Таким образом, пользователи, которым нужен доступ, могут непос-

>едственно обратиться к финансовому директору, и он внесет изменения без

•руппы справки. Чтобы делегировать право управления членством в группе,

нужно назначить финансовому директору разрешение Разрешить запись члена

iAllow Write Member) для группы. Членство в группе предоставляет много-

начный атрибут member. Существует несколько способов делегировать право

аписи члена в группу. Два из них описаны в следующем подразделе.

Делегирование права управлять членством в группе

iпомощью вкладки управления

[роще всего делегировать право управлять членством в группе при помощи

кладки Управляется (Managed By). Эта вкладка диалогового окна Свойс-

тва (Properties) выполняет две функции (рис. 4-9). Во-первых, она содержит

контактные данные менеджера группы. Посредством этой и н ф о р м а ц и и мож-

но связаться с владельцем группы, чтобы получить согласие на добавление

пользователя в группу.

' Вторая функция вкладки Управляется (Managed By) – д е л е г и р о в а н и е

атрибута member. Обратите внимание на флажок Менеджер может изменять

членов группы (Manager Can Update Membership List), показанный на рис. 4-9.

Если установить этот флажок, пользователь или группа, указанная в поле И м я

(Name), получит разрешение WriteMember. Если сменить или удалить менед-

жера, в список ACL группы будет внесено соответствующее изменение.

Вставить группу на вкладке Управляется (Managed By) д и а л о г о в о г о

окна свойств другой группы не так просто. Если щелкнуть кнопку Изменить

(Change), откроется диалоговое окно Выбор: "Пользователь", "Контакт" или

"Группа " (Select User, Contact, or Group), представленное на рис. 4-10. Если

ввести имя группы и щелкнуть ОК, возникнет ошибка. Дело в том, что это

диалоговое окно не отконфигурировано для указания групп в качестве дейс-

твительных типов объектов, хотя слово Группа (Group) есть,в названии окна.

I Чтобы обойти это ограничение, щелкните кнопку Типы объектов (Object Types)

и установите флажок Группы (Groups). Щелкните О К, чтобы закрыть оба

диалоговых окна – Типы объектов и Выбор. Чтобы назначить разрешение

WriteMember для группы, установите флажок Менеджер может изменять чле-

нов группы (Manager Can Update Membership List). При указании группы

| на вкладке Управляется (Managed By) контактные данные не отображаются

поскольку группы не поддерживают атрибуты, связанные с контактами.

у у ^ ^ м м а т а и й ш » «fx

I

| Бажпвсьоагь j f «bf.no aiurtficti |

Otiu»e | Чтены rf >wo< j Член групп Уорлглвчтсь

IW

(clrtOJO.rw/'isaM. W»4 Лё-КПГ.ЪЮ

I (town. | Ок^-.-Vi j УйПйТь J

P* Wa-MA»40MCjr!Tk<»"i4e' ЧЛ®*П rcy'r*

Л^т*

Уляи.

1

•I :4

Jcpoo'

О б м е т ь .

игм ре

»

Н»»^ гетСон « 76Ш5Ь

Hzt.Kf

OjKCS

OK j j iwt wt. j j;

Рис. 4-9. Предоставление менеджеру права изменять состав группы

в диалоговом окне свойств объекта группы

Щ*1

J гр.тг. Утомляется

G E S S S T T f . ~

BwOet^Tf ппоСъв<тв

Jj А

Jscrto»eon Вывемте new объекте» которой нео&оаячо .ехать

Бв«л<тв ци. Т угы вбъ«*тса

й Встгов*».» участники безопасности

Контакты

Г с ( с д

05лклЬ.я|

Нялер гвп«ч*-о*в. 75846

H

j

*

M

0

®

«

K

v

J

>

"

ОК ) Омем

Оя^а | Пзимеми-и |

Рис. 4-10. Выбор группы на вкладке Управляется (Managed By)

Делегирование задач управления членством в группе с помощью

дополнительных параметров безопасности

В диалоговом окне Дополнительные параметры безопасности (Advanced Se-

curity Settings) разрешение Разрешить запись члена (Allow Write Member)

можно предоставить непосредственно. Это разрешение можно предоставить

отдельной группе или всем группам в подразделении.

172 Группы t

Глава 4

Делегирование задач управления отдельной группе

1. В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users and Computers) щелкните меню Вид (View) и у с т а н о в и т е ф л а ж о к

Дополнительные компоненты (Advanced Features).

2. Щелкните правой кнопкой мыши подразделение, с о д е р ж а щ е е г р у п п ы ,

и примените команду Свойства (Properties).

3. Перейдите на вкладку Безопасность (Security).

4. Щелкните кнопку Дополнительно (Advanced).

5. В диалоговом окне Дополнительные параметры безопасности ( A d v a n c e d

Security Settings) щелкните кнопку Добавить (Add).

Если кнопка Добавить (Add) не отображается, щелкните к н о п к у И з м е н и т ь

(Edit), а затем кнопку Добавить (Add).

6. В диалоговом окне Выбор (Select) введите имя группы, к о т о р о й хотите

предоставить разрешение, или щелкните кнопку Р а з м е щ е н и е ( B r o w s e ) ,

чтобы найти эту группу. Указав группу, щелкните О К .

7. Откроется диалоговое окно Элемент разрешения (Permission E n t r y ) , пред-

ставленное на рнс. 4-11. Перейдите на его вкладку Свойства ( P r o p e r t i e s ) .

Рис. 4-11. Диалоговое окно Элемент разрешения (Permission Entry)

с данными делегирования группе управления членством в другой группе

8. В раскрывающемся списке Применять (Apply То) выберите Этот объект

и все дочерние объекты (This Object And All Descendant Objects).

9. В списке Разрешения (Permissions) установите ф л а ж к и Р а з р е ш и т ь (Allow)

напротив Чтение членов группы (Read Members) и Запись членов г р у п п ы

(Write Members).

По умолчанию всем пользователям разрешено чтение членов группы, так

что это разрешение не требуется. Однако контроль доступа на основе ролей

лучше всего реализовать, назначая все разрешения, необходимые д л я т о й

или иной задачи, а не полагаясь на косвенное назначение разрешений.

10. Щелкните ОК, чтобы закрыть все диалоговые окна безопасности.

Занятие 3

Администрирование групп на предприятии

1 7 3

Делегирование задач управления всем группам в подразделении

1. В оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active Directo-

ry Users and C o m p u t e r s ) щ е л к н и т е м е н ю Вид (View) и установите флажок

Д о п о л н и т е л ь н ы е к о м п о н е н т ы ( A d v a n c e d Features).

2. Щелкните правой к н о п к о й м ы ш и подразделение, содержащее необходимые

группы, и п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .

3. Перейдите на в к л а д к у Б е з о п а с н о с т ь ( S e c u r i t y ) .

4. Щелкните к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .

5. В диалоговом о к н е Д о п о л н и т е л ь н ы е п а р а м е т р ы безопасности (Advanced

Security S e t t i n g s ) щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

Если кнопка Д о б а в и т ь ( A d d ) не отображается, щ е л к н и т е кнопку Изменить

(Edit), а затем к н о п к у Д о б а в и т ь ( A d d ) .

6. В д и а л о г о в о м о к н е В ы б о р ( S e l e c t ) в в е д и т е и м я группы, которой хотите

предоставить р а з р е ш е н и е , и л и щ е л к н и т е к н о п к у Р а з м е щ е н и е (Browse),

чтобы н а й т и эту группу. Указав группу, щ е л к н и т е О К .

7. Откроется д и а л о г о в о е о к н о Э л е м е н т р а з р е ш е н и я (Permission Entry), пред-

ставленное на рис. 4 – 1 2 . П е р е й д и т е на его в к л а д к у Свойства (Properties).

СМЙШЯ j

J И {CCtJfO5Q^a_A«Sn6ng_Ed0 t f a » * * " » – j

Рцраитм:

Ооклиие

Чтегме; Отображленое (прей.. •

а

Отобрамечсе (прои.. •

о

Чте>«е.– По (X*

м

н

е

Злгкъ.

П

о

л

н

о

е -га

чтение: ГЪ«еч*«.е

Запись: (Ъ»*ч»«<|

>

О

41 ewe: Угрмлдеся

о

Заа«ъ: Угравляется

Чтеже:

Ч

л

е

н

ы групп

и

D J

Злгись: Чле»« грутт»»

01

п 3

1

4

»

<

г

е

ш

п

ь я •< к afraexy ж

Cu

Cic

un

icm

n »

m все

вс j

е

" * гопфг.о гнут см п<гъ

коите»мер«

j СИ |

Рис. 4-12. Делегирование задач управления членством

в группе всем группам подразделения Группы

8. В р а с к р ы в а ю щ е м с я с п и с к е П р и м е н я т ь (Apply То) выберите параметр До-

черние объекты: Группа ( D e s c e n d a n t G r o u p Objects). Если вы используете

предыдущую в е р с и ю оснастки, в ы б е р и т е параметр Объекты: Группа (Group

Objects).

9. В списке Р а з р е ш е н и я ( P e r m i s s i o n s ) установите ф л а ж к и Разрешить (Allow)

напротив Ч т е н и е членов г р у п п ы ( R e a d M e m b e r s ) и Запись членов группы

(Write M e m b e r s ) .

По умолчанию всем п о л ь з о в а т е л я м р а з р е ш е н о чтение членов группы, так

что это разрешение не требуется. О д н а к о контроль доступа на основе ролей

174 Группы t

Глава 4

лучше всего реализовать, назначая все р а з р е ш е н и я , н е о б х о д и м ы е д л я той

или иной задачи, а не полагаясь на косвенное н а з н а ч е н и е р а з р е ш е н и й .

10. Щелкните ОК, чтобы закрыть все д и а л о г о в ы е окна безопасности.

Теневые группы

Роль групп в управлении предприятием очень в е л и к а . Группам назначаются

разрешения доступа к ресурсам. Группы м о ж н о и с п о л ь з о в а т ь д л я фильтрации

области действия объектов групповой п о л и т и к и . Группам н а з н а ч а ю т с я гра-

нулированные политики паролей. Группы м о ж н о п р и м е н я т ь к а к к о л л е к ц и и в

таких инструментах управления конфигурацией, к ак M i c r o s o f t System Center

Configuration Manager. Этот список можно п р о д о л ж а т ь д о л г о .

Подразделения ( O U ) д л я у п р а в л е н и я п р е д п р и я т и е м п р и м е н я ю т с я н е

так часто, а в некоторых случаях использовать их в о о б щ е н е л ь з я . Например,

подразделению нельзя назначать р а з р е ш е н и я д о с т у п а к р е с у р с а м и гранули-

рованные политики паролей, описанные в главе 8. И з н а ч а л ь н о е н а з н а ч е н и е

подразделения состоит в предоставлении части у п р а в л е н и я д е л е г и р о в а н и е м

административных полномочий для управления о б ъ е к т а м и в э т о м подразделе-

нии. Другими словами, подразделение п о л ь з о в а т е л е й п о з в о л я е т делегировать

справочному отделу право смены паролей всех п о л ь з о в а т е л е й в э т о м подраз-

делении. Подразделения представляют собой а д м и н и с т р а т и в н ы е контейнеры.

Причина различия функций подразделений и г р у п п в том, что подразде-

ления не обеспечивают такую гибкость, как группы. П о л ь з о в а т е л ь , компьютер

или другой объект может существовать т о л ь к о в к о н т е к с т е о т д е л ь н о г о подраз-

деления, а принципал безопасности может п р и н а д л е ж а т ь ко м н о г и м группам.

Поэтому группы используются д л я о б ъ е д и н е н и я о б ъ е к т о в и д е н т и ф и к а ц и и ,

обеспечивая возможности, необходимые этим о б ъ е к т а м и д е н т и ф и к а ц и и .

Иногда все же возникает необходимость в и с п о л ь з о в а н и и п о д р а з д е л е н и я

для управления предприятием. Например, всем п о л ь з о в а т е л я м п о д р а з д е л е н и я

может понадобиться доступ к папке и л и у н и к а л ь н а я п о л и т и к а паролей. Эти

параметры нельзя назначить непосредственно, о д н а к о т а к у ю з а д а ч у м о ж н о

выполнить, создав так называемую теневую группу. Т е н е в а я г р у п п а состоит

из тех же пользователей, которые в к л ю ч е н ы в п о д р а з д е л е н и е . Е с л и точнее,

теневая группа состоит из пользователей, с о о т в е т с т в у ю щ и х о п р е д е л е н н о м у

критерию.

Самый простой способ создания теневой г р у п п ы – с о з д а т ь группу, а затем

нажать в подразделении с пользователями к о м б и н а ц и ю к л а в и ш C t r l + A , чтобы

выбрать всех пользователей. Щелкните правой к н о п к о й м ы ш и люб ог о выбран-

ного пользователя и примените команду Д о б а в и т ь в г р у п п у ( A d d То Group).

Введите имя созданной группы и щ е л к н и т е О К .

СОВЕТ К ЭКЗАМЕНУ

На сертификационном экзамене 70-640 необходимо знать понятие теневой группы.

Помните, что членами теневой группы будут пользователи подразделения.

Занятие 3

Администрирование групп на предприятии

1 7 5

К сожалению, в W i n d o w s пока нет способа динамической поддержки членс-

тва в теневой группе. П р и д о б а в л е н и и и л и удалении пользователя подраз-

деления н у ж н о т а к ж е д о б а в л я т ь и л и у д а л я т ь этого пользователя в теневой

группе.

Группы по умолчанию

На сервере W i n d o w s Server 2008 а в т о м а т и ч е с к и создается множество так на-

зываемых локальных групп по умолчанию, в к л ю ч а я группы Администраторы

(Administrators), О п е р а т о р ы а р х и в а ( B a c k u p Operators) и Пользователи уда-

ленного рабочего стола ( R e m o t e D e s k t o p Users). В контейнерах Builtin и Us-

ers домена с о з д а ю т с я д о п о л н и т е л ь н ы е группы, в том числе Администраторы

домена ( D o m a i n A d m i n s ) , А д м и н и с т р а т о р ы п р е д п р и я т и я (Enterprise Admins)

и А д м и н и с т р а т о р ы с х е м ы ( S c h e m a Admins). Д а л е е описаны возможности под-

набора групп по у м о л ч а н и ю , к о т о р ы м предоставлены разрешения и пользова-

тельские права, с в я з а н н ы е с у п р а в л е н и е м Active Directory.

• А д м и н и с т р а т о р ы п р е д п р и я т и я ( E n t e r p r i s e A d m i n s ) в контейнере Users

к о р н е в о г о д о м е н а л е с а Э т а г р у п п а – ч л е н г р у п п ы Администраторы

( A d m i n i s t r a t o r s ) в к а ж д о м д о м е н е леса; она предоставляет полный доступ

к к о н ф и г у р а ц и и всех к о н т р о л л е р о в домена. Д а н н а я группа также является

владельцем раздела К о н ф и г у р а ц и я (Configuration) каталога и имеет полный

доступ к с о д е р ж и м о м у и м е н о в а н и я домена во всех доменах леса.

• А д м и н и с т р а т о р ы с х е м ы ( S c h e m a A d m i n s ) в контейнере U s e r s корневого

д о м е н а л е с а Э т а г р у п п а и м е е т п о л н ы й доступ к схеме Active Directory.

• А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) в к о н т е й н е р е Builtin каждого домена

Эта г р у п п а и м е е т п о л н ы й д о с т у п ко всем контроллерам домена и данным

в к о н т е к с т е и м е н о в а н и я д о м е н а . О н а м о ж е т изменять членство во всех

а д м и н и с т р а т и в н ы х г р у п п а х домена, а группа Администраторы (Administra-

tors) в к о р н е в о м д о м е н е леса может изменять членство в группах Админис-

траторы п р е д п р и я т и я ( E n t e r p r i s e Admins), Администраторы схемы (Schema

Admins) и А д м и н и с т р а т о р ы д о м е н а ( Do ma in Admins). Группа Администра-

торы в к о р н е в о м д о м е н е леса имеет наибольшие полномочия среди групп

а д м и н и с т р и р о в а н и я в лесу.

• А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) в контейнере U s e r s к а ж д о г о

д о м е н а Эта г р у п п а в х о д и т в группу Администраторы своего домена. По-

этому она наследует все п о л н о м о ч и я группы Администраторы. Кроме того,

она по у м о л ч а н и ю входит в л о к а л ь н у ю группу Администраторы каждого

р я д о в о г о к о м п ь ю т е р а домена, в результате чего администраторы домена

получают в свое р а с п о р я ж е н и е все компьютеры домена.

• О п е р а т о р ы с е р в е р а ( S e r v e r O p e r a t o r s ) в к о н т е й н е р е Builtin к а ж д о г о д о -

мена Эта группа может решать задачи технической поддержки на контролле-

рах домена. О п е р а т о р ы сервера могут локально входить в систему, запускать

и о с т а н а в л и в а т ь с л у ж б ы , в ы п о л н я т ь резервное копирование и восстанов-

ление, ф о р м а т и р о в а т ь диски, создавать и удалять общие ресурсы, а т а к ж е

199 Группы t Глава 4

завершать работу контроллеров доменов. По умолчанию д а н н а я г р у п п а не

содержит членов.

• Операторы учета (Account Operators) в контейнере Builtin к а ж д о г о д о -

мена Эта группа может создавать, модифицировать и у д а л я т ь у ч е т н ы е

записи пользователей, групп и компьютеров в любом подразделении д о м е н а

(кроме подразделения Domain Controllers), а также в к о нт е й н е ра х Users и

Computers. Операторы учета не могут модифицировать у ч е т н ы е з а п и с и ,

включенные в группы Администраторы и Администраторы домена, а т а к -

же не могут модифицировать эти группы. Операторы учета т а к ж е могут

локально входить на контроллеры домена. По у м о л ч а н и ю эта г р у п п а не

содержит членов.

• Операторы архива (Backup Operators) в контейнере Builtin к а ж д о г о д о -

мена Эта группа может выполнять операции резервного к о п и р о в а н и я

и восстановления на контроллерах домена, а также л о к а л ь н о в х о д и т ь на

контроллеры домена и завершать их работу. По у м о л ч а н и ю эта г р у п п а не

содержит членов.

• Операторы печати (Print Operators) в контейнере Builtin к а ж д о г о д о -

мена Эта группа может обеспечивать поддержку очередей з а д а н и й печати

на контроллерах домена. Она также может локально входить на к о н т р о л -

леры домена и завершать их работу.

Следует осторожно управлять группами по умолчанию, п р е д о с т а в л я ю щ и -

ми административные привилегии, поскольку, как правило, они и м е ю т б о л е е

обширные полномочия, чем требуется для большинства д е л е г и р о в а н н ы х сред,

а также часто применяют защиту для своих членов. И д е а л ь н ы м п р и м е р о м мо-

жет служить группа Операторы учета (Account Operators). П р а в а этой г р у п п ы

довольно обширны. Она даже может локально входить на к о н т р о л л е р домена.

На маленьких предприятиях такие права вполне могут подходить д л я одного

или двух отдельных лиц, которые в любом случае станут а д м и н и с т р а т о р а м и

домена. Однако для большинства предприятий уровень прав и р а з р е ш е н и й

доступа операторов учета обычно слишком высок.

Кроме того, группа Операторы учета, как и другие ранее п е р е ч и с л е н н ы е

административные группы, – это защищенная группа. З а щ и щ е н н ы е г р у п п ы

определяются операционной системой, и снять их защиту невозможно. Ч л е н ы

защищенной группы также становятся защищенными. В результате п р и м е н е н и я

этой защиты модифицируются списки контроля доступа ACL членов, к о т о р ы е

больше не наследуют разрешения своих подразделений, а получают к о п и ю ACL

с достаточно ограниченными правами доступа. Например, если п о л ь з о в а т е л я

Джеффа Форда добавить в группу Операторы учета (Account O p e r a t o r s ) , его

учетная запись станет защищенной, и команда технической поддержки, которая

может менять пароли всех пользователей в подразделении Кадры, не с м о ж е т

изменить пароль пользователя Джеффа Форда.

К СВЕДЕНИЮ Защищенные учетные записи

Более подробную информацию о защищенных учетных записях можно найти в статье

817433 в базе знаний по адресу http://support.microsoft.com/7kbid-817433. Для поиска

соответствующих ресурсов в Интернете введите ключевое слово adminSDHolder.

Занятие 3

Администрирование групп на предприятии

1 7 7

Из-за такой п е р е з а п и с и п а р а м е т р о в д е л е г и р о в а н и я и применения защиты

рекомендуется не д о б а в л я т ь п о л ь з о в а т е л е й в группы, которые по умолчанию

не содержат членов: О п е р а т о р ы у ч е т а ( A c c o u n t Operators), Операторы архива

(Backup Operators), О п е р а т о р ы сервера (Server Operators) и Операторы печати

(Print Operators). Вместо этого с о з д а й т е настраиваемые группы и назначьте им

права и р а з р е ш е н и я д о с т у п а в с о о т в е т с т в и и с потребностями работы и админи-

стрирования. Н а п р и м е р , е с л и п о л ь з о в а т е л ь С к о т т М и т ч е л л должен выполнять

операции резервного к о п и р о в а н и я на к о н т р о л л е р е домена, но не операции вос-

становления, к о т о р ы е м о г у т п р и в е с т и к откату и л и повреждению базы данных,

и также не д о л ж е н з а в е р ш а т ь р а б о т у к о н т р о л л е р а домена, его учетную запись

нельзя помещать в г р у п п у О п е р а т о р ы а р х и в а ( B a c k u p Operators). Вместо этого

нужно создать г р у п п у и н а з н а ч и т ь ей л и ш ь р а з р е ш е н и е Архивировать файлы

и каталоги ( B a c k u p Files A n d D i r e c t o r i e s ) , а з а т е м добавить в эту группу поль-

зователя С к о т т а М и т ч е л л а .

К СВЕДЕНИЮ Данные о разрешениях групп по умолчанию

На сайте Microsoft TechNet есть ссылка на исчерпывающую информацию о груп-

пах домена и локальных группах по умолчанию. На сертификационном экзамене

потребуется знать разрешения этих групп. Информацию о группах домена по умол-

чанию можно найти по адресу http://technet2.microsoft.com/WindowsServer/en/library/

1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx, а сведения о локальных группах

по умолчанию находятся по адресу http://technet2.microsoft.com/WindowsSeiver/en/

Iibrary/f6e01e51-14ea-48f4-97fc-5288a9a4a9b 11033.mspx.

Особые объекты идентификации

В Windows и Active D i r e c t o r y т а к ж е п о д д е р ж и в а ю т с я особые объекты иден-

тификации, ч л е н с т в о м к о т о р ы х в г р у п п а х у п р а в л я е т операционная система.

Эти группы не о т о б р а ж а ю т с я в с п и с к а х оснастки Active Directory – пользо-

ватели и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And Computers). Вы не можете

просматривать и м о д и ф и ц и р о в а т ь п а р а м е т р ы членства этих особых объектов

и д е н т и ф и к а ц и и в г р у п п а х , а т а к ж е д о б а в л я т ь эт и объекты в другие группы.

Однако вы можете и с п о л ь з о в а т ь э т и г р у п п ы д л я назначения прав и разрешений

доступа. Д а л е е о п и с а н ы с а м ы е в а ж н ы е из особых объектов идентификации,

которые для у д о б с т в а часто н а з ы в а ю т с я г р у п п а м и .

• А Н О Н И М Н Ы Й В Х О Д ( A n o n y m o u s L o g o n ) Представляет подключения

к компьютеру и ресурсы, с о з д а н н ы е без предоставления пользовательского

имени и пароля. До в ы х о д а M i c r o s o f t W i n d o w s Server 2003 эта группа была

членом группы Все ( E v e r y o n e ) . Н а ч и н а я с версии Windows Server 2003, эта

группа по у м о л ч а н и ю б о л ь ш е не в х о д и т в группу Все (Everyone).

• Прошедшие п р о в е р к у ( A u t h e n t i c a t e d U s e r s ) Представляет объекты иден-

т и ф и к а ц и и , п р о ш е д ш и е п о в е р к у п о д л и н н о с т и . Эта группа н е включает

учетную запись Гость ( G u e s t ) , д а ж е если н а з н а ч и т ь гостю пароль.

• Все ( E v e r y o n e ) В к л ю ч а е т у ч е т н ы е з а п и с и П р о ш ед ш ие проверку и Гость.

На к о м п ь ю т е р а х с с и с т е м о й в е р с и и до W i n d o w s Server 2003 эта группа

включает группу А Н О Н И М Н Ы Й В Х О Д .

178 Группы t

Глава 4

» ИНТЕРАКТИВНЫЕ (Interactive) Представляет пользователей, получа-

ющих доступ к ресурсу п локально входящих па компьютер, содержащий

ресурс, вместо доступа к ресурсу по сети. Когда пользователь получает

доступ к любому ресурсу компьютера, на который вошел локально, такой

пользователь автоматически добавляется в группу И Н Т Е Р А К Т И В Н Ы Е

в разрешениях доступа к этому ресурсу. Группа И Н Т Е Р А К Т И В Н Ы Е так-

же включает пользователей, входящих на компьютер через подключение

удаленного рабочего стола.

• СЕТЬ (Network) Представляет пользователей, получающих доступ к ре-

сурсу по сети, в отличие от локально входящих на компьютер. Когда поль-

зователь получает доступ к любому ресурсу по сети, такой пользователь

автоматически добавляется в группу СЕТЬ в разрешениях доступа к этому

ресурсу.

Эти особые объекты идентификации играют важную роль, поскольку они

позволяют предоставлять доступ к ресурсам на основе типа проверки под-

линности или подключения, а не на основе учетной записи пользователя. На-

пример, вы можете создать в системе папку, позволяющую просматривать ее

содержимое пользователям, локально входящим в систему, но запрещающую

тем же пользователям читать содержимое с подключенного сетевого диска. Для

этого можно назначить разрешения доступа особому объекту идентификации

ИНТЕРАКТИВНЫЕ (Interactive)

Практические занятия. Администрирование групп на предприятии

В предложенных далее упражнениях вы займетесь администрированием групп

в домене contoso.com. Для выполнения этих упражнений в домене contoso.com

должны быть созданы следующие объекты:

• подразделение первого уровня Группы;

• глобальная группа безопасности Финансы в подразделении Группы;

• подразделение первого уровня Кадры;

• учетная запись пользователя Майка Дансеглио в подразделении Кадры. За-

полните эту учетную запись контактными данными, включая адрес, телефон

и электронную почту. Эта учетная запись не должна требовать изменения

пароля при следующем входе.

Кроме того, группа Пользователи домена (Domain Users) должна быть

членом группы Операторы печати (Print Operators), которая находится в кон-

тейнере Builtin. Тогда все пользователи в учебном домене смогут входить иа

контроллер домена SERVER01. Эту операцию нужно выполнить для практи-

ческих занятий данного руководства, а в производственной среде пользова-

телям нельзя разрешать входить на контроллеры доменов. Поэтому в произ-

водственной среде не включайте группу Пользователи домена (Domain Users)

в группу Операторы печати (Print Operators).

Упражнение 1. Создание группы с четкой документацией

В этом упражнении вы создадите группу для управления доступом к папке

Budget в соответствии с рекомендациями, представленными иа данном занятии.

Занятие 3

Администрирование групп на предприятии

1 7 9

1. Войдите на машину SERVER01 как администратор и откройте оснастку

Active Directory – пользователи и компьютеры (Active Directory Users And

Computers).

2. В дереве консоли выберите подразделение Группы.

3. Щелкните правой кнопкой мыши подразделение Группы, выберите опцию

Создать (New) и примените команду Группа (Group).

4. В поле И м я группы (Group Name) введите имя ACL_Budget_Edit.

5. В секции Область действия группы (Group Scope) выберите область Ло-

кальная в домене (Domain Local); в секции Тип группы (Group Туре) вы-

берите Безопасность (Security) и щелкните ОК.

6. Щелкните меню Вид (View) и установите флажок Дополнительные ком-

поненты (Advanced Features).

7. Щелкните правой кнопкой мыши группу ACL_Budget_Edit и примените

команду Свойства (Properties).

8. Перейдите на вкладку Объект (Object).

9. Установите ф л а ж о к З а щ и т и т ь объект от случайного удаления (Protect

Object From Accidental Deletion) и щелкните ОК.

10. Вновь откройте диалоговое окно Свойства (Properties) группы.

И. В поле Описание (Description) введите BUDGET (EDIT).

12. В поле Заметки (Notes) введите следующие пути, представляющие папки,

разрешения доступа к которым назначены этой группе:

• server23 data $finance budget;

• \server32data$financerevenue projections.

13. Щелкните ОК.

Упражнение 2. Делегирование задач управления членством в группе

В этом упражнении вы предоставите пользователю Майку Дансеглио право


    Ваша оценка произведения:

Популярные книги за неделю