Детальное назначение прав доступа

В списках ACL хранятся разрешения или запреты на определенные виды доступа для отдельных лиц или групп. Права доступа могут быть предоставлены или запрещены в различной степени. Существуют уровни прав доступа, которые различаются применением:

1) Разрешение или запрет применяется к объекту в целом, при этом настройки касаются всех свойств объектов.

2) Применяется к группе свойств, определенной наборами свойств внутри объекта

3) Применяется разрешение только к отдельному свойству.

По умолчанию доступ для чтения и записи ко всем свойствам объекта получает создатель объекта.

Наследование прав доступа

Это распространение информации об управлении доступом определенной в высших слоях контейнера в каталоге на вложенные контейнеры и объекты листья. Существуют 2 модели наследования прав доступа:

1. Динамическая. Наследование прав определяется путем оценки разрешений на доступ назначенных непосредственно для объекта, а также для всех родительских объектов в каталоге. Это дает возможность эффективно управлять доступам к части дерева каталога, внося в контейнер влияющие на все вложенные контейнеры и объекты листья. Это преимущество. Но отрицательная сторона этой модели – это невысокая производительность из-за потери времени на определение эффективных прав при запросе пользователя.

2. Статическая (Наследование в момент создания). При создании нового объекта информация об управлении доступом к контейнеру распространяется на все вложенные объекты контейнера и наследуемые права сливаются с правами доступа назначенными по умолчанию. При этом любые изменения, выполняемые в дальнейшем на высших уровнях дерева, должны распространяться специальной командой на все дочерние объекты. Это усложняет администрирование. Положительный момент этой модели – увеличение производительности.

Элементы безопасности системы

Учетные записи пользователей и групп. Учетные записи бывают 3 типов:

1) Учетная запись, созданная администратором.

2) Встроенная учетная запись «Гость» (по умолчанию отключена).

3) Встроенная учетная запись администратора, которая предоставляет максимум прав в системе. (не может быть удалена с компьютера).

Учетные записи делятся по способу создания на локальные и глобальные. Локальная учетная запись создается внутри рабочей группы и позволяет определять доступ к ресурсам только на том компьютере, на котором она была создана. Глобальная учетная запись создается в домене, ранится на контролере домена и может быть использована для настройки доступа на любом компьютере в составе домена. Потому что именно контролер проверяет подлинность во время аутентификации.

После заполнения имени и пароля нужно прописать определенные параметры:

1. Потребовать смену пароля. Пароль будет знать только владелец учетной записи. Именно этот вариант авторы системы рекомендуют использовать.

2. Запретить смену пароля пользователем. Используется если несколько человек работают с одной учетной записью. Это полный контроль администратора над паролем.

3. Срок действия пароля не ограничен. Используется для учетных записей программами и службами.

4. Отключить учетную запись. Прямой способ лишить пользователя доступа к компьютеру.

Учетные записи пользователей чаще всего используются для ограничения прав.

Группы

Это набор учетных записей пользователя и других групп. Группа позволяет задавать разрешения всем участникам. Группы бывают встроенные и группы созданные администратором.

По типу группы делят на группы безопасности и группы распространения. Группы безопасности используются при выполнении задач администрирования, а группы распространения используют приложения в качестве списков пользователей для осуществления функций не связанных с защитой информации.

По способу распространения группы делятся на:

1. Локальную

2. Глобальную

3. Универсальную

Локальная группа может быть создана на любом компьютере и при этом учетные записи из этой базы будут сохранены на локальном компьютере в его локальной базе данных безопасности. Главные особенности локальной группы это открытое членство. Это означает, что в состав локальной группы могут входить представители из любых доменов. Локальная группа позволяет предоставить пользователям доступ к ресурсам только в одном домене, в котором она была создана. Доступ к ресурсам в домене локальная группа может предоставить только в случае, если она реализована на контролере домена, а на обычном компьютере локальная группа позволяет предоставить доступ только к ресурсам этого компьютера. При включении нового компьютера в состав домена администратор автоматически добавляется в состав локальной группы, за счет чего появляется возможность администрировать любые ресурсы на любых компьютерах входящих в состав домена.

Глобальная группа организует пользователей с одинаковыми требованиями доступа к сети. Особенности глобальных групп:

А. Ограниченное членство – в состав можно добавить только пользователей из домена в котором создана группа.

Б. Доступ к ресурсам любого домена. Чтобы администратор из другого домена смог администрировать ресурсы находящиеся в составе домена он должен быть включен в группу администраторы на контролере домена.

Универсальные группы применяются обычно для назначения доступа к связанным ресурсам из нескольких доменов.

Особенности универсальной группы:

А. Открыто членство

Б. Доступ к ресурсам в любом домене

В. Создавать глобальные и универсальные группы можно только на контролере домена.

Стратегия создания групп. Добавление одних групп в другие (вложенность) позволяет уменьшить число операций по назначению разрешений, но при больших уровнях вложенности контроль разрешений усложняется.

1. На первом этапе пользователей со схожими обязанностями объединяют в одну группу (глобальную или универсальную) в зависимости от расположения ресурсов которые необходимы пользователям. Например это может быть бухгалтерия или группа отдел кадров или группа менеджеры и т.д.

2. Определение, к каким ресурсом будут обращаться сотрудники и создание для отдельных ресурсов или для групп ресурсов локальных групп на контролере домена.

3. Выявить все локальные группы, которые будут обращаться к этому ресурсу и включить их в состав локальной группы.

4. Назначить локальной группе соответствующие разрешения:

А. Печать документов

Б. Управление документами

В. Управление принтером (возможность свойства и доступ к принтеру)

Встроенных групп 3 варианта:

1. Локальные – предоставляют привилегии для решения различных системных задач. Абсолютно на всех компьютерах есть встроенные локальные группы:

1) Пользователи/Users – это группа в составе которой по умолчанию все учетные записи из локальной базы. На контролере домена в состав этой группы входит группа пользователей домена, группа «прошедшие проверку» и группа интерактивных пользователей.

2) Администраторы\Administrators – в составе группы по умолчанию запись администратора.

3) Гости\Guest – пользователи которые не имеющие прав на изменение рабочей среды компьютера.

4) Операторы архива – группа с правами на архивирование и восстановление файлов локального компьютера с помощью стандартной программы backup встроенной в систему.

5) Опытные пользователи – существует только на рабочих станциях и серверах, не существует на контролере (по умолчанию пустая). Дает возможность создавать и изменять учетные записи на локальном компьютере и предоставлять ресурсы в общее пользование. Ее применяют для решения задач с администрированием.

На контролере есть дополнительные локальные группы:

1) Account Operators – создание, изменение и удаление пользователей и групп за исключением Server Operators и Print Operators.

2) Server Operators – предоставляют дисковые ресурсы в общее пользование на контролере и архивируют и восстанавливают файлы на сервере.

3) Print Operators – установка и настройка сетевых принтеров.

2. Глобальные – по умолчанию не обладают никакими привилегиями, но приобретают привилегии после включения в состав локальных групп или после присваивания им прав и привилегий администратора.

Глобальная группа	Автоматически включается в состав
Domain Admins и Админ-ры предприятия	В локальную группу Administrators, после чего приобретает локальные административные полномочия
Domain Users	В локальную группу Users, причем администратор входит в состав группы Users по умолчанию и каждая новая учетная запись в домене автоматически включается в состав локальной группы Users
Domain Guest	В локальную группу Guest.

3. Системные. Состав встроенных системных групп менять нельзя. Членство в этих группах определяется системными, в том числе и сетевыми действиями пользователей. Основные встроенные системные группы, которые используются при администрировании.

1) Все\Everyone – все локальные и удаленные пользователи, подключившиеся к компьютеру. В том числе и пользователи, учетные записи которых система не идентифицировала. В системе будут распознаны в качестве гостей, если эта учетная запись активны.

2) Создатель владелец\Creator Owner – включает пользователя который создал ресурс или стал его владельцем при смене такого. Если администратор становится владельцем ресурс, фактически ресурсом завладеет вся группа администраторов.

3) Прошедшие проверку\Authenticated Users – включает пользователей с действительными учетными записями. Рекомендуется к использованию вместо группы Everyone.

4) Сеть\Network – объединяет всех пользователей находящихся за другими компьютерами, которые подключились к общему ресурсу на компьютере на котором размещена группа.

5) Интерактивные\Interactive – пользователи которые зарегистрировались в системе.

6) Анонимный вход\Anonymous Login – все учетные записи которые не аутифенцированны.

7) Удаленный доступ\Dial up – все пользователи подключившиеся в настоящий момент по удаленному подключению.

Права и привилегии

Права доступа и привилегии можно присваивать отдельным учетным записям и группам, права доступа определяют правомочность пользователей при выполнении различных действий с ресурсами, то есть с папками, файлами и принтерами. Привилегии регулируют права пользователей при выполнении системных операций на конкретном компьютере. Например создание новых учетных записей, регистрацию в системе, возможность завершения работы системы и так далее. Привилегии возникают у пользователя за счет включения в состав локальных групп. Только локальные группы обладают привилегиями. Глобальные получают привилегии за счет включения в состав локальных групп. Встроенные системные группы обладают только правами. Привилегии можно настраивать для различных учетных записей и групп пользователей в разделе «Политика безопасности».