6.3 utilizator și Management Group. Gestionarea unităților organizatorice și delegarea autorității. Politica de grup
Utilizator și Management Group
Conturi (conturi) de utilizatori, computere și grupuri - unul dintre elementele principale ale controlului de acces a resurselor de rețea, și, astfel, întregul sistem de securitate a rețelei în ansamblu.
Se va concentra pe conturile de utilizator de domeniu. Aceste conturi sunt stocate pe controlerele de domeniu care dețin o copie a bazei de date Active Directory.
Puteți crea, de asemenea, sufixe de domenii suplimentare (partea din nume care vine după semnul @), care va apărea în lista verticală și pot fi utilizate în formarea UPN, în cazul în care alegeți (acest lucru se face folosind consola „Active Directory - Domenii si Trusturi“ ( "Directory Domain Active și trusturi").
conturile locale
Gestionați conturile de utilizator de domeniu
conturi de utilizator de domeniu (precum și calculatoare și grupuri) sunt stocate în containere speciale AD. Acestea pot fi fie în containere standard pentru utilizatori și computere pentru utilizatorii de calculatoare, sau de o unitate de administrator organizațională (OU). Excepțiile sunt conturi de controlere de domeniu, acestea sunt întotdeauna stocate în PO cu numele de controlere de domeniu.
Luați în considerare exemplul procesului de creare a conturilor de utilizator în baza de date Active Directory și să analizeze proprietățile de bază ale conturilor de domeniu. Conturile de calculator sunt create în procesul de a porni computerul în domeniu.
Crearea unui cont de domeniu
- Utilizatorul trebuie să schimbe parola la următorul log on (util atunci când administratorul atribuie utilizatorului o parolă inițială, și apoi utilizatorul alege o parolă cunoscută doar de el);
- Utilizatorul nu poate schimba parola (utilă și chiar necesară pentru conturile diferitelor servicii de sistem);
- Parola nu expiră niciodată (același utilizat pentru contul de serviciu parola de la politica de domeniu nu afectează funcționarea acestor servicii, acest parametru are o prioritate mai mare decât politicile de securitate);
- Dezactivați contul.
Avertizare. În exercițiile, munca de laborator este dată sarcina de a crea politici care reduc foarte mult nivelul de cerințe pentru parole și permisiuni de utilizatori:
- dezactivată cerință complexitatea parolei,
- setați o lungime minimă a parolei de la 0 (adică, parola poate fi lăsat necompletat)
- Aceasta stabilește o perioadă minimă de 0 zile parole (de exemplu, utilizatorul poate schimba în orice moment parola)
- setați stocarea istoricul parolei egal cu 0 (adică, atunci când modificați sistemul parola nu verifică istoria de parole utilizate anterior)
- grup „Utilizatorii“ se acordă dreptul de a vă conecta la nivel local pentru controlerele de domeniu.
Aceste politici sunt stabilite numai pentru comoditatea de exerciții care urmează să fie efectuate cu drepturile utilizatorilor obișnuiți de pe serverele de controlere de domeniu. În practica actuală, în astfel de setările de securitate slabe de administrare, în orice caz, nu poate fi instalat, cerințe parola și drepturile utilizatorilor ar trebui să fie foarte greu (politica de securitate sunt discutate mai târziu în această secțiune).
Condiții de selecție de caractere pentru a crea o parolă:
Și o altă regulă de siguranță - o schimbare a parolei obișnuită (frecvența schimbării depinde de cerințele de securitate ale fiecărei companii special sau organizație). Într-un domeniu Windows are o politică care determină valabilitatea parolele utilizatorilor.
Prezentare generală a proprietăților de conturi de utilizator
Luați în considerare cele mai importante din punct de vedere al proprietăților Administrației.
Deschideți consola „Active Directory - Utilizatori și Calculatoare“ și a vedea proprietățile de contact ale utilizatorului nou creat.
În fila "General". Această filă conține referințe în principal de date, care pot fi foarte utile pentru utilizatorii care caută în pădure AD. Cele mai interesante dintre ele:
„Script“ definește un fișier executabil care este descărcat pe computer și se execută atunci când utilizatorul se conectează în sistem. Un fișier executabil ar putea fi un fișier batch (.bat. Cmd), executabil (.exe. Com), un fișier script (vbs, js).
Bookmark „grupuri membre“ - vă permite să gestionați lista de grupuri la care utilizatorul este un membru.
fila „Apeluri primite“.
Semne de carte „Terminal Services Profile“, „miercuri“, „Conversatii“, „Remote Control“ - parametrii de control fila de date ale experienței utilizatorului de pe serverul terminal:
- controla permisiunea utilizatorului de a lucra pe un server terminal;
- Locul de amplasare a profilului atunci când se lucrează într-o sesiune de terminale,
- Configurare mediu utilizator într-o sesiune de terminale (lansarea unui program specific sau modul desktop, conectați unitățile locale și imprimante la sesiunea terminalul utilizatorului);
- managementul sesiunilor de utilizator de pe un server terminal (durata sesiunii timeout sesiune de inactivitate, reconectarea la parametrii sesiuni deconectate);
- permite administratorului să se conecteze la sesiunea utilizatorului final.