Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 18 (всего у книги 91 страниц)
смотрим группу, которая служит для у п р а в л е н и я д о с т у п о м к р е с у р с у . Е с л и
Занятие 3
удалить эту группу, доступ к ресурсу будет изменен. Пользователи, которые
раньше получали доступ, могут столкнуться со сценарием отказа в обслужи-
вании Denial-Of-Service. Если же группе был назначен запрет доступа (Deny)
к ресурсу, после удаления г р у п п ы доступ к ресурсу могут получить пользова-
тели, для которых он был запрещен.
Кроме того, при воссоздании г р у п п ы новый объект группы получит но-
вый SID-идентификатор, о т л и ч а ю щ и й с я от SID-идентификаторов в списках
контроля доступа (ACL) к ресурсам. Поэтому пока не истекло время жизни
памятника объекта, вместо повторного создания следует восстановить объект,
чтобы вернуть удаленную группу. По истечении времени жизни памятника объ-
екта (по умолчанию – 60 д н е й ) группа и ее SID-идентификатор окончательно
удаляются из Active Directory. П р и реанимации объекта памятника нужно вос-
создать большую часть его атрибутов, включая атрибут member объектов групп.
Это означает, что После в о с с т а н о в л е н и я удаленного объекта вам потребуется
заново указать членство в группе. В качестве варианта можно выполнить при-
нудительное восстановление и л и использовать в Windows Server 2008 копии
состояния Active Directory д л я восстановления группы и членства в ней. При-
нудительное восстановление и к о п и и с о с т о я н и я описаны в главе 13.
К СВЕДЕНИЮ Восстановление удаленных групп
Более подробную информацию о восстановлении удаленных групп и членства в них
можно найти в статье 840001 в базе знаний по адресу http://support.microsoft.com/
kb/840001/en-us.
В любом случае мы надеемся, что восстанавливать удаленную группу потре-
буется только на «пожарных учениях», а не в производственной среде. Предуп-
редите неприятные последствия у д а л е н и я объекта группы, установив защиту
для каждой созданной группы. В W i n d o w s Server 2008 любой объект можно
без труда защитить от удаления, в ы п о л н и в следующие действия.
1. В оснастке Active Directory – пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) щ е л к н и т е меню Вид (View) и установите флажок
Дополнительные к о м п о н е н т ы (Advanced Features).
2. Откройте диалоговое окно Свойства (Properties) группы.
3. На вкладке Объект ( O b j e c t ) установите ф л а ж о к Защитить объект от слу-
чайного удаления ( P r o t e c t Object From Accidental Deletion).
4. Щелкните О К .
В данном случае нужно щелкнуть именно кнопку ОК. Если вы щелкните
кнопку Применить (Apply), список ACL не будет модифицирован.
Опция Защитить объект от случайного удаления (Protect Object From Ac-
cidental Deletion) применяет запись управления доступом АСЕ (Access Control
Entry) к списку ACL объекта. Это я в н ы м образом запрещает группе Все (Eve-
ryone) Удалить (Delete) и Удалить поддерево (Delete Subtree). Для того чтобы
удалить объект, понадобится вернуться к вкладке Объект (Object) и сбросить
флажок Защитить объект от случайного удаления.
1 За*. 3399
Целегирование задач управления членством в группе
1осле создания группы задачи управления членством в ней можно делегиро-
1ать команде или отдельному лицу, которое отвечает за ресурсы, управляемые
руппой. Предположим, что ваш финансовый директор должен подготовить
ноджет на следующий год. Вы создаете для бюджета общую папку и назна-
гаете разрешение записи (Write) группе ACL_Budget_Edit. Если кому-либо
•ребуется доступ к папке бюджета, он обращается в отдел справки с запросом,
таел справки обращается к финансовому директору за подтверждением, после
[его добавляет пользователя в группу ACL_Budget_Edit. Чтобы ускорить про-
lecc, вы можете разрешить финансовому директору самому изменять членство
i группе. Таким образом, пользователи, которым нужен доступ, могут непос-
>едственно обратиться к финансовому директору, и он внесет изменения без
•руппы справки. Чтобы делегировать право управления членством в группе,
нужно назначить финансовому директору разрешение Разрешить запись члена
iAllow Write Member) для группы. Членство в группе предоставляет много-
начный атрибут member. Существует несколько способов делегировать право
аписи члена в группу. Два из них описаны в следующем подразделе.
Делегирование права управлять членством в группе
iпомощью вкладки управления
[роще всего делегировать право управлять членством в группе при помощи
кладки Управляется (Managed By). Эта вкладка диалогового окна Свойс-
тва (Properties) выполняет две функции (рис. 4-9). Во-первых, она содержит
контактные данные менеджера группы. Посредством этой и н ф о р м а ц и и мож-
но связаться с владельцем группы, чтобы получить согласие на добавление
пользователя в группу.
' Вторая функция вкладки Управляется (Managed By) – д е л е г и р о в а н и е
атрибута member. Обратите внимание на флажок Менеджер может изменять
членов группы (Manager Can Update Membership List), показанный на рис. 4-9.
Если установить этот флажок, пользователь или группа, указанная в поле И м я
(Name), получит разрешение WriteMember. Если сменить или удалить менед-
жера, в список ACL группы будет внесено соответствующее изменение.
Вставить группу на вкладке Управляется (Managed By) д и а л о г о в о г о
окна свойств другой группы не так просто. Если щелкнуть кнопку Изменить
(Change), откроется диалоговое окно Выбор: "Пользователь", "Контакт" или
"Группа " (Select User, Contact, or Group), представленное на рис. 4-10. Если
ввести имя группы и щелкнуть ОК, возникнет ошибка. Дело в том, что это
диалоговое окно не отконфигурировано для указания групп в качестве дейс-
твительных типов объектов, хотя слово Группа (Group) есть,в названии окна.
I Чтобы обойти это ограничение, щелкните кнопку Типы объектов (Object Types)
и установите флажок Группы (Groups). Щелкните О К, чтобы закрыть оба
диалоговых окна – Типы объектов и Выбор. Чтобы назначить разрешение
WriteMember для группы, установите флажок Менеджер может изменять чле-
нов группы (Manager Can Update Membership List). При указании группы
| на вкладке Управляется (Managed By) контактные данные не отображаются
поскольку группы не поддерживают атрибуты, связанные с контактами.
у у ^ ^ м м а т а и й ш » «fx
I
| Бажпвсьоагь j f «bf.no aiurtficti |
Otiu»e | Чтены rf >wo< j Член групп Уорлглвчтсь
IW
(clrtOJO.rw/'isaM. W»4 Лё-КПГ.ЪЮ
I (town. | Ок^-.-Vi j УйПйТь J
P* Wa-MA»40MCjr!Tk<»"i4e' ЧЛ®*П rcy'r*
Л^т*
Уляи.
1
•I :4
Jcpoo'
О б м е т ь .
игм ре
»
Н»»^ гетСон « 76Ш5Ь
Hzt.Kf
OjKCS
OK j j iwt wt. j j;
Рис. 4-9. Предоставление менеджеру права изменять состав группы
в диалоговом окне свойств объекта группы
Щ*1
J гр.тг. Утомляется
G E S S S T T f . ~
BwOet^Tf ппоСъв<тв
Jj А
Jscrto»eon Вывемте new объекте» которой нео&оаячо .ехать
Бв«л<тв ци. Т угы вбъ«*тса
й Встгов*».» участники безопасности
Контакты
Г с ( с д
05лклЬ.я|
Нялер гвп«ч*-о*в. 75846
H
j
*
M
0
®
«
K
v
J
>
"
ОК ) Омем
Оя^а | Пзимеми-и |
Рис. 4-10. Выбор группы на вкладке Управляется (Managed By)
Делегирование задач управления членством в группе с помощью
дополнительных параметров безопасности
В диалоговом окне Дополнительные параметры безопасности (Advanced Se-
curity Settings) разрешение Разрешить запись члена (Allow Write Member)
можно предоставить непосредственно. Это разрешение можно предоставить
отдельной группе или всем группам в подразделении.
172 Группы t
Глава 4
Делегирование задач управления отдельной группе
1. В оснастке Active Directory – пользователи и компьютеры (Active Directory
Users and Computers) щелкните меню Вид (View) и у с т а н о в и т е ф л а ж о к
Дополнительные компоненты (Advanced Features).
2. Щелкните правой кнопкой мыши подразделение, с о д е р ж а щ е е г р у п п ы ,
и примените команду Свойства (Properties).
3. Перейдите на вкладку Безопасность (Security).
4. Щелкните кнопку Дополнительно (Advanced).
5. В диалоговом окне Дополнительные параметры безопасности ( A d v a n c e d
Security Settings) щелкните кнопку Добавить (Add).
Если кнопка Добавить (Add) не отображается, щелкните к н о п к у И з м е н и т ь
(Edit), а затем кнопку Добавить (Add).
6. В диалоговом окне Выбор (Select) введите имя группы, к о т о р о й хотите
предоставить разрешение, или щелкните кнопку Р а з м е щ е н и е ( B r o w s e ) ,
чтобы найти эту группу. Указав группу, щелкните О К .
7. Откроется диалоговое окно Элемент разрешения (Permission E n t r y ) , пред-
ставленное на рнс. 4-11. Перейдите на его вкладку Свойства ( P r o p e r t i e s ) .
Рис. 4-11. Диалоговое окно Элемент разрешения (Permission Entry)
с данными делегирования группе управления членством в другой группе
8. В раскрывающемся списке Применять (Apply То) выберите Этот объект
и все дочерние объекты (This Object And All Descendant Objects).
9. В списке Разрешения (Permissions) установите ф л а ж к и Р а з р е ш и т ь (Allow)
напротив Чтение членов группы (Read Members) и Запись членов г р у п п ы
(Write Members).
По умолчанию всем пользователям разрешено чтение членов группы, так
что это разрешение не требуется. Однако контроль доступа на основе ролей
лучше всего реализовать, назначая все разрешения, необходимые д л я т о й
или иной задачи, а не полагаясь на косвенное назначение разрешений.
10. Щелкните ОК, чтобы закрыть все диалоговые окна безопасности.
Занятие 3
Администрирование групп на предприятии
1 7 3
Делегирование задач управления всем группам в подразделении
1. В оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active Directo-
ry Users and C o m p u t e r s ) щ е л к н и т е м е н ю Вид (View) и установите флажок
Д о п о л н и т е л ь н ы е к о м п о н е н т ы ( A d v a n c e d Features).
2. Щелкните правой к н о п к о й м ы ш и подразделение, содержащее необходимые
группы, и п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
3. Перейдите на в к л а д к у Б е з о п а с н о с т ь ( S e c u r i t y ) .
4. Щелкните к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .
5. В диалоговом о к н е Д о п о л н и т е л ь н ы е п а р а м е т р ы безопасности (Advanced
Security S e t t i n g s ) щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
Если кнопка Д о б а в и т ь ( A d d ) не отображается, щ е л к н и т е кнопку Изменить
(Edit), а затем к н о п к у Д о б а в и т ь ( A d d ) .
6. В д и а л о г о в о м о к н е В ы б о р ( S e l e c t ) в в е д и т е и м я группы, которой хотите
предоставить р а з р е ш е н и е , и л и щ е л к н и т е к н о п к у Р а з м е щ е н и е (Browse),
чтобы н а й т и эту группу. Указав группу, щ е л к н и т е О К .
7. Откроется д и а л о г о в о е о к н о Э л е м е н т р а з р е ш е н и я (Permission Entry), пред-
ставленное на рис. 4 – 1 2 . П е р е й д и т е на его в к л а д к у Свойства (Properties).
СМЙШЯ j
J И {CCtJfO5Q^a_A«Sn6ng_Ed0 t f a » * * " » – j
Рцраитм:
Ооклиие
•
•
Чтегме; Отображленое (прей.. •
а
Отобрамечсе (прои.. •
о
Чте>«е.– По (X*
м
н
е
•
•
Злгкъ.
П
о
л
н
о
е -га
•
•
чтение: ГЪ«еч*«.е
•
•
Запись: (Ъ»*ч»«<|
>
О
•
41 ewe: Угрмлдеся
•
о
Заа«ъ: Угравляется
•
•
Чтеже:
Ч
л
е
н
ы групп
и
D J
Злгись: Чле»« грутт»»
01
п 3
1
4
»
<
г
е
ш
п
ь я •< к afraexy ж
Cu
Cic
un
icm
n »
m все
вс j
е
" * гопфг.о гнут см п<гъ
коите»мер«
j СИ |
Рис. 4-12. Делегирование задач управления членством
в группе всем группам подразделения Группы
8. В р а с к р ы в а ю щ е м с я с п и с к е П р и м е н я т ь (Apply То) выберите параметр До-
черние объекты: Группа ( D e s c e n d a n t G r o u p Objects). Если вы используете
предыдущую в е р с и ю оснастки, в ы б е р и т е параметр Объекты: Группа (Group
Objects).
9. В списке Р а з р е ш е н и я ( P e r m i s s i o n s ) установите ф л а ж к и Разрешить (Allow)
напротив Ч т е н и е членов г р у п п ы ( R e a d M e m b e r s ) и Запись членов группы
(Write M e m b e r s ) .
По умолчанию всем п о л ь з о в а т е л я м р а з р е ш е н о чтение членов группы, так
что это разрешение не требуется. О д н а к о контроль доступа на основе ролей
174 Группы t
Глава 4
лучше всего реализовать, назначая все р а з р е ш е н и я , н е о б х о д и м ы е д л я той
или иной задачи, а не полагаясь на косвенное н а з н а ч е н и е р а з р е ш е н и й .
10. Щелкните ОК, чтобы закрыть все д и а л о г о в ы е окна безопасности.
Теневые группы
Роль групп в управлении предприятием очень в е л и к а . Группам назначаются
разрешения доступа к ресурсам. Группы м о ж н о и с п о л ь з о в а т ь д л я фильтрации
области действия объектов групповой п о л и т и к и . Группам н а з н а ч а ю т с я гра-
нулированные политики паролей. Группы м о ж н о п р и м е н я т ь к а к к о л л е к ц и и в
таких инструментах управления конфигурацией, к ак M i c r o s o f t System Center
Configuration Manager. Этот список можно п р о д о л ж а т ь д о л г о .
Подразделения ( O U ) д л я у п р а в л е н и я п р е д п р и я т и е м п р и м е н я ю т с я н е
так часто, а в некоторых случаях использовать их в о о б щ е н е л ь з я . Например,
подразделению нельзя назначать р а з р е ш е н и я д о с т у п а к р е с у р с а м и гранули-
рованные политики паролей, описанные в главе 8. И з н а ч а л ь н о е н а з н а ч е н и е
подразделения состоит в предоставлении части у п р а в л е н и я д е л е г и р о в а н и е м
административных полномочий для управления о б ъ е к т а м и в э т о м подразделе-
нии. Другими словами, подразделение п о л ь з о в а т е л е й п о з в о л я е т делегировать
справочному отделу право смены паролей всех п о л ь з о в а т е л е й в э т о м подраз-
делении. Подразделения представляют собой а д м и н и с т р а т и в н ы е контейнеры.
Причина различия функций подразделений и г р у п п в том, что подразде-
ления не обеспечивают такую гибкость, как группы. П о л ь з о в а т е л ь , компьютер
или другой объект может существовать т о л ь к о в к о н т е к с т е о т д е л ь н о г о подраз-
деления, а принципал безопасности может п р и н а д л е ж а т ь ко м н о г и м группам.
Поэтому группы используются д л я о б ъ е д и н е н и я о б ъ е к т о в и д е н т и ф и к а ц и и ,
обеспечивая возможности, необходимые этим о б ъ е к т а м и д е н т и ф и к а ц и и .
Иногда все же возникает необходимость в и с п о л ь з о в а н и и п о д р а з д е л е н и я
для управления предприятием. Например, всем п о л ь з о в а т е л я м п о д р а з д е л е н и я
может понадобиться доступ к папке и л и у н и к а л ь н а я п о л и т и к а паролей. Эти
параметры нельзя назначить непосредственно, о д н а к о т а к у ю з а д а ч у м о ж н о
выполнить, создав так называемую теневую группу. Т е н е в а я г р у п п а состоит
из тех же пользователей, которые в к л ю ч е н ы в п о д р а з д е л е н и е . Е с л и точнее,
теневая группа состоит из пользователей, с о о т в е т с т в у ю щ и х о п р е д е л е н н о м у
критерию.
Самый простой способ создания теневой г р у п п ы – с о з д а т ь группу, а затем
нажать в подразделении с пользователями к о м б и н а ц и ю к л а в и ш C t r l + A , чтобы
выбрать всех пользователей. Щелкните правой к н о п к о й м ы ш и люб ог о выбран-
ного пользователя и примените команду Д о б а в и т ь в г р у п п у ( A d d То Group).
Введите имя созданной группы и щ е л к н и т е О К .
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене 70-640 необходимо знать понятие теневой группы.
Помните, что членами теневой группы будут пользователи подразделения.
Занятие 3
Администрирование групп на предприятии
1 7 5
К сожалению, в W i n d o w s пока нет способа динамической поддержки членс-
тва в теневой группе. П р и д о б а в л е н и и и л и удалении пользователя подраз-
деления н у ж н о т а к ж е д о б а в л я т ь и л и у д а л я т ь этого пользователя в теневой
группе.
Группы по умолчанию
На сервере W i n d o w s Server 2008 а в т о м а т и ч е с к и создается множество так на-
зываемых локальных групп по умолчанию, в к л ю ч а я группы Администраторы
(Administrators), О п е р а т о р ы а р х и в а ( B a c k u p Operators) и Пользователи уда-
ленного рабочего стола ( R e m o t e D e s k t o p Users). В контейнерах Builtin и Us-
ers домена с о з д а ю т с я д о п о л н и т е л ь н ы е группы, в том числе Администраторы
домена ( D o m a i n A d m i n s ) , А д м и н и с т р а т о р ы п р е д п р и я т и я (Enterprise Admins)
и А д м и н и с т р а т о р ы с х е м ы ( S c h e m a Admins). Д а л е е описаны возможности под-
набора групп по у м о л ч а н и ю , к о т о р ы м предоставлены разрешения и пользова-
тельские права, с в я з а н н ы е с у п р а в л е н и е м Active Directory.
• А д м и н и с т р а т о р ы п р е д п р и я т и я ( E n t e r p r i s e A d m i n s ) в контейнере Users
к о р н е в о г о д о м е н а л е с а Э т а г р у п п а – ч л е н г р у п п ы Администраторы
( A d m i n i s t r a t o r s ) в к а ж д о м д о м е н е леса; она предоставляет полный доступ
к к о н ф и г у р а ц и и всех к о н т р о л л е р о в домена. Д а н н а я группа также является
владельцем раздела К о н ф и г у р а ц и я (Configuration) каталога и имеет полный
доступ к с о д е р ж и м о м у и м е н о в а н и я домена во всех доменах леса.
• А д м и н и с т р а т о р ы с х е м ы ( S c h e m a A d m i n s ) в контейнере U s e r s корневого
д о м е н а л е с а Э т а г р у п п а и м е е т п о л н ы й доступ к схеме Active Directory.
• А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) в к о н т е й н е р е Builtin каждого домена
Эта г р у п п а и м е е т п о л н ы й д о с т у п ко всем контроллерам домена и данным
в к о н т е к с т е и м е н о в а н и я д о м е н а . О н а м о ж е т изменять членство во всех
а д м и н и с т р а т и в н ы х г р у п п а х домена, а группа Администраторы (Administra-
tors) в к о р н е в о м д о м е н е леса может изменять членство в группах Админис-
траторы п р е д п р и я т и я ( E n t e r p r i s e Admins), Администраторы схемы (Schema
Admins) и А д м и н и с т р а т о р ы д о м е н а ( Do ma in Admins). Группа Администра-
торы в к о р н е в о м д о м е н е леса имеет наибольшие полномочия среди групп
а д м и н и с т р и р о в а н и я в лесу.
• А д м и н и с т р а т о р ы д о м е н а ( D o m a i n A d m i n s ) в контейнере U s e r s к а ж д о г о
д о м е н а Эта г р у п п а в х о д и т в группу Администраторы своего домена. По-
этому она наследует все п о л н о м о ч и я группы Администраторы. Кроме того,
она по у м о л ч а н и ю входит в л о к а л ь н у ю группу Администраторы каждого
р я д о в о г о к о м п ь ю т е р а домена, в результате чего администраторы домена
получают в свое р а с п о р я ж е н и е все компьютеры домена.
• О п е р а т о р ы с е р в е р а ( S e r v e r O p e r a t o r s ) в к о н т е й н е р е Builtin к а ж д о г о д о -
мена Эта группа может решать задачи технической поддержки на контролле-
рах домена. О п е р а т о р ы сервера могут локально входить в систему, запускать
и о с т а н а в л и в а т ь с л у ж б ы , в ы п о л н я т ь резервное копирование и восстанов-
ление, ф о р м а т и р о в а т ь диски, создавать и удалять общие ресурсы, а т а к ж е
199 Группы t Глава 4
завершать работу контроллеров доменов. По умолчанию д а н н а я г р у п п а не
содержит членов.
• Операторы учета (Account Operators) в контейнере Builtin к а ж д о г о д о -
мена Эта группа может создавать, модифицировать и у д а л я т ь у ч е т н ы е
записи пользователей, групп и компьютеров в любом подразделении д о м е н а
(кроме подразделения Domain Controllers), а также в к о нт е й н е ра х Users и
Computers. Операторы учета не могут модифицировать у ч е т н ы е з а п и с и ,
включенные в группы Администраторы и Администраторы домена, а т а к -
же не могут модифицировать эти группы. Операторы учета т а к ж е могут
локально входить на контроллеры домена. По у м о л ч а н и ю эта г р у п п а не
содержит членов.
• Операторы архива (Backup Operators) в контейнере Builtin к а ж д о г о д о -
мена Эта группа может выполнять операции резервного к о п и р о в а н и я
и восстановления на контроллерах домена, а также л о к а л ь н о в х о д и т ь на
контроллеры домена и завершать их работу. По у м о л ч а н и ю эта г р у п п а не
содержит членов.
• Операторы печати (Print Operators) в контейнере Builtin к а ж д о г о д о -
мена Эта группа может обеспечивать поддержку очередей з а д а н и й печати
на контроллерах домена. Она также может локально входить на к о н т р о л -
леры домена и завершать их работу.
Следует осторожно управлять группами по умолчанию, п р е д о с т а в л я ю щ и -
ми административные привилегии, поскольку, как правило, они и м е ю т б о л е е
обширные полномочия, чем требуется для большинства д е л е г и р о в а н н ы х сред,
а также часто применяют защиту для своих членов. И д е а л ь н ы м п р и м е р о м мо-
жет служить группа Операторы учета (Account Operators). П р а в а этой г р у п п ы
довольно обширны. Она даже может локально входить на к о н т р о л л е р домена.
На маленьких предприятиях такие права вполне могут подходить д л я одного
или двух отдельных лиц, которые в любом случае станут а д м и н и с т р а т о р а м и
домена. Однако для большинства предприятий уровень прав и р а з р е ш е н и й
доступа операторов учета обычно слишком высок.
Кроме того, группа Операторы учета, как и другие ранее п е р е ч и с л е н н ы е
административные группы, – это защищенная группа. З а щ и щ е н н ы е г р у п п ы
определяются операционной системой, и снять их защиту невозможно. Ч л е н ы
защищенной группы также становятся защищенными. В результате п р и м е н е н и я
этой защиты модифицируются списки контроля доступа ACL членов, к о т о р ы е
больше не наследуют разрешения своих подразделений, а получают к о п и ю ACL
с достаточно ограниченными правами доступа. Например, если п о л ь з о в а т е л я
Джеффа Форда добавить в группу Операторы учета (Account O p e r a t o r s ) , его
учетная запись станет защищенной, и команда технической поддержки, которая
может менять пароли всех пользователей в подразделении Кадры, не с м о ж е т
изменить пароль пользователя Джеффа Форда.
К СВЕДЕНИЮ Защищенные учетные записи
Более подробную информацию о защищенных учетных записях можно найти в статье
817433 в базе знаний по адресу http://support.microsoft.com/7kbid-817433. Для поиска
соответствующих ресурсов в Интернете введите ключевое слово adminSDHolder.
Занятие 3
Администрирование групп на предприятии
1 7 7
Из-за такой п е р е з а п и с и п а р а м е т р о в д е л е г и р о в а н и я и применения защиты
рекомендуется не д о б а в л я т ь п о л ь з о в а т е л е й в группы, которые по умолчанию
не содержат членов: О п е р а т о р ы у ч е т а ( A c c o u n t Operators), Операторы архива
(Backup Operators), О п е р а т о р ы сервера (Server Operators) и Операторы печати
(Print Operators). Вместо этого с о з д а й т е настраиваемые группы и назначьте им
права и р а з р е ш е н и я д о с т у п а в с о о т в е т с т в и и с потребностями работы и админи-
стрирования. Н а п р и м е р , е с л и п о л ь з о в а т е л ь С к о т т М и т ч е л л должен выполнять
операции резервного к о п и р о в а н и я на к о н т р о л л е р е домена, но не операции вос-
становления, к о т о р ы е м о г у т п р и в е с т и к откату и л и повреждению базы данных,
и также не д о л ж е н з а в е р ш а т ь р а б о т у к о н т р о л л е р а домена, его учетную запись
нельзя помещать в г р у п п у О п е р а т о р ы а р х и в а ( B a c k u p Operators). Вместо этого
нужно создать г р у п п у и н а з н а ч и т ь ей л и ш ь р а з р е ш е н и е Архивировать файлы
и каталоги ( B a c k u p Files A n d D i r e c t o r i e s ) , а з а т е м добавить в эту группу поль-
зователя С к о т т а М и т ч е л л а .
К СВЕДЕНИЮ Данные о разрешениях групп по умолчанию
На сайте Microsoft TechNet есть ссылка на исчерпывающую информацию о груп-
пах домена и локальных группах по умолчанию. На сертификационном экзамене
потребуется знать разрешения этих групп. Информацию о группах домена по умол-
чанию можно найти по адресу http://technet2.microsoft.com/WindowsServer/en/library/
1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx, а сведения о локальных группах
по умолчанию находятся по адресу http://technet2.microsoft.com/WindowsSeiver/en/
Iibrary/f6e01e51-14ea-48f4-97fc-5288a9a4a9b 11033.mspx.
Особые объекты идентификации
В Windows и Active D i r e c t o r y т а к ж е п о д д е р ж и в а ю т с я особые объекты иден-
тификации, ч л е н с т в о м к о т о р ы х в г р у п п а х у п р а в л я е т операционная система.
Эти группы не о т о б р а ж а ю т с я в с п и с к а х оснастки Active Directory – пользо-
ватели и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And Computers). Вы не можете
просматривать и м о д и ф и ц и р о в а т ь п а р а м е т р ы членства этих особых объектов
и д е н т и ф и к а ц и и в г р у п п а х , а т а к ж е д о б а в л я т ь эт и объекты в другие группы.
Однако вы можете и с п о л ь з о в а т ь э т и г р у п п ы д л я назначения прав и разрешений
доступа. Д а л е е о п и с а н ы с а м ы е в а ж н ы е из особых объектов идентификации,
которые для у д о б с т в а часто н а з ы в а ю т с я г р у п п а м и .
• А Н О Н И М Н Ы Й В Х О Д ( A n o n y m o u s L o g o n ) Представляет подключения
к компьютеру и ресурсы, с о з д а н н ы е без предоставления пользовательского
имени и пароля. До в ы х о д а M i c r o s o f t W i n d o w s Server 2003 эта группа была
членом группы Все ( E v e r y o n e ) . Н а ч и н а я с версии Windows Server 2003, эта
группа по у м о л ч а н и ю б о л ь ш е не в х о д и т в группу Все (Everyone).
• Прошедшие п р о в е р к у ( A u t h e n t i c a t e d U s e r s ) Представляет объекты иден-
т и ф и к а ц и и , п р о ш е д ш и е п о в е р к у п о д л и н н о с т и . Эта группа н е включает
учетную запись Гость ( G u e s t ) , д а ж е если н а з н а ч и т ь гостю пароль.
• Все ( E v e r y o n e ) В к л ю ч а е т у ч е т н ы е з а п и с и П р о ш ед ш ие проверку и Гость.
На к о м п ь ю т е р а х с с и с т е м о й в е р с и и до W i n d o w s Server 2003 эта группа
включает группу А Н О Н И М Н Ы Й В Х О Д .
178 Группы t
Глава 4
» ИНТЕРАКТИВНЫЕ (Interactive) Представляет пользователей, получа-
ющих доступ к ресурсу п локально входящих па компьютер, содержащий
ресурс, вместо доступа к ресурсу по сети. Когда пользователь получает
доступ к любому ресурсу компьютера, на который вошел локально, такой
пользователь автоматически добавляется в группу И Н Т Е Р А К Т И В Н Ы Е
в разрешениях доступа к этому ресурсу. Группа И Н Т Е Р А К Т И В Н Ы Е так-
же включает пользователей, входящих на компьютер через подключение
удаленного рабочего стола.
• СЕТЬ (Network) Представляет пользователей, получающих доступ к ре-
сурсу по сети, в отличие от локально входящих на компьютер. Когда поль-
зователь получает доступ к любому ресурсу по сети, такой пользователь
автоматически добавляется в группу СЕТЬ в разрешениях доступа к этому
ресурсу.
Эти особые объекты идентификации играют важную роль, поскольку они
позволяют предоставлять доступ к ресурсам на основе типа проверки под-
линности или подключения, а не на основе учетной записи пользователя. На-
пример, вы можете создать в системе папку, позволяющую просматривать ее
содержимое пользователям, локально входящим в систему, но запрещающую
тем же пользователям читать содержимое с подключенного сетевого диска. Для
этого можно назначить разрешения доступа особому объекту идентификации
ИНТЕРАКТИВНЫЕ (Interactive)
Практические занятия. Администрирование групп на предприятии
В предложенных далее упражнениях вы займетесь администрированием групп
в домене contoso.com. Для выполнения этих упражнений в домене contoso.com
должны быть созданы следующие объекты:
• подразделение первого уровня Группы;
• глобальная группа безопасности Финансы в подразделении Группы;
• подразделение первого уровня Кадры;
• учетная запись пользователя Майка Дансеглио в подразделении Кадры. За-
полните эту учетную запись контактными данными, включая адрес, телефон
и электронную почту. Эта учетная запись не должна требовать изменения
пароля при следующем входе.
Кроме того, группа Пользователи домена (Domain Users) должна быть
членом группы Операторы печати (Print Operators), которая находится в кон-
тейнере Builtin. Тогда все пользователи в учебном домене смогут входить иа
контроллер домена SERVER01. Эту операцию нужно выполнить для практи-
ческих занятий данного руководства, а в производственной среде пользова-
телям нельзя разрешать входить на контроллеры доменов. Поэтому в произ-
водственной среде не включайте группу Пользователи домена (Domain Users)
в группу Операторы печати (Print Operators).
Упражнение 1. Создание группы с четкой документацией
В этом упражнении вы создадите группу для управления доступом к папке
Budget в соответствии с рекомендациями, представленными иа данном занятии.
Занятие 3
Администрирование групп на предприятии
1 7 9
1. Войдите на машину SERVER01 как администратор и откройте оснастку
Active Directory – пользователи и компьютеры (Active Directory Users And
Computers).
2. В дереве консоли выберите подразделение Группы.
3. Щелкните правой кнопкой мыши подразделение Группы, выберите опцию
Создать (New) и примените команду Группа (Group).
4. В поле И м я группы (Group Name) введите имя ACL_Budget_Edit.
5. В секции Область действия группы (Group Scope) выберите область Ло-
кальная в домене (Domain Local); в секции Тип группы (Group Туре) вы-
берите Безопасность (Security) и щелкните ОК.
6. Щелкните меню Вид (View) и установите флажок Дополнительные ком-
поненты (Advanced Features).
7. Щелкните правой кнопкой мыши группу ACL_Budget_Edit и примените
команду Свойства (Properties).
8. Перейдите на вкладку Объект (Object).
9. Установите ф л а ж о к З а щ и т и т ь объект от случайного удаления (Protect
Object From Accidental Deletion) и щелкните ОК.
10. Вновь откройте диалоговое окно Свойства (Properties) группы.
И. В поле Описание (Description) введите BUDGET (EDIT).
12. В поле Заметки (Notes) введите следующие пути, представляющие папки,
разрешения доступа к которым назначены этой группе:
• server23 data $finance budget;
• \server32data$financerevenue projections.
13. Щелкните ОК.
Упражнение 2. Делегирование задач управления членством в группе
В этом упражнении вы предоставите пользователю Майку Дансеглио право
