На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

ДОМЕНЫ и РАБОЧИЕ группы

В литературе о Windows NT (и эта глава не является исключе­нием) можно часто встретить термины автономный, рабочая группа и домен. Каждая рабочая станция Windows NT входит в состав некоторой рабочей группы или домена. Большинство компаний использует домены, так как они облегчают обязан­ности администраторов.
Домен состоит из одного или более серверов Windows NT, причем все они должны функционировать как единая система. Кроме серверов в домен могут входить и рабочие станции, а также машины, управляемые операционной системой Windows для рабочих групп, рабочие станции Windows 95 и даже ма­шины под управлением LAN Manager 2.x. Расположенная на сервере Windows NT база данных пользователей и групп содержит информацию обо всех ресурсах домена. Благодаря этому сервер может проверять права доступа пользователя рабочей станции Windows 95 точно так же, как права доступа пользователя рабочей станции Windows NT.
С помощью надежных доменов можно объединить несколько доменов вместе. Надежными доменами называются независимые домены, совместно использу­ющие ресурсы и информацию о правах доступа (например, учетные записи пароли). Преимуществом надежных доменов является тот факт, что длядосту-па к ресурсам всех доменов пользователю только одна учетная запись и
пароль. Кроме того, использовать центральное
ресурсами всех доменов.
Рабочая группа — это совокупность рабочих станций, не принадлежащих к какому-то домену. Автономная рабочая станция - это отдельный вид рабо- . чей группы.
Среды домена и рабочей группы по-разному воспринимают учетные записи пользователей и групп. В этой главе мы остановимся на средах доменов. Дело в том, что среды рабочей группы не предоставляют практически никаких средств обеспечения безопасности и поэтому становятся все менее распро­страненными. Внутри домена можно определить учетную запись пользователя на локальном уровне или уровне всего домена. Локальная учетная запись позволяет ее пользователю входить в систему только на одной машине. Если же учетная запись пользователя определена на уровне домена, то он зарегистрироваться    системе на любой рабочей станции домена.
В Windows NT можно определить учетные уровня домена для глобальной группы (например, учетная запись группы Все). Учетная запись гло­бальной группы дает вам возможность предоставить права доступа некоторому подмножеству пользователей домена.
Учетная запись группы связана с группой пользователей, совместно исполь-:. зующих некоторые свойства безопасности (например, работники некоторого отдела компании). В Windows NT имеется возможность определить привиле­гии доступа для целой группы пользователей, а также включать в группу отдельных пользователей. При этом каждый новый участник группы будет обладать такими правами доступа, как и все остальные ее участники. В дополнение можно назначить индивидуальные привилегии каждому участни-группы. Как правило, где можно объединить нескольких пользова­телей в одну группу, так и делается. Это облегчает управление пользовате­лями уменьшает количество времени, на изменение приви­легий каждого отдельного пользователя. Кроме         снижается вероятность
совершения ошибки.
Чтобы получше разобраться с концепцией групп, давайте рассмотрим неко­торый административный центр. У каждого помещения в здании есть свой собственный замок и ключ (права доступа) к нему. Представьте теперь, что вы — администратор этого здания. Чтобы облегчить свою работу, вы, ко­нечно       раздадите ключи от офиса всем людям, работающим в этом офисе
(рабочая группа). Кроме того, можно предоставить ключ от входной двери
. здания некоторым своим сотрудникам. Таким образом вы избавляете себя от необходимости регистрации всех работников: достаточно зарегистрировать один и тот же ключ для целой группы людей. Согласитесь, все достаточно просто и понятно.
Кроме того, в Windows NT можно определить учетные записи для локальных групп. Такая запись будет содержать информацию об учетных записях гло­бальной группы И учетных записях пользователей.
В пределах домена все серверы совместно используют базу данных, храня­щую информацию обо всех пользователях и группах. Входящие в домен ра­. бочие станции Windows NT не содержат подобной базы данных, однако они могут получить к ней доступ. Если же говорить о рабочей группе, то там каждая обладает такой данных, но        не предоставляет ее другим машинам.
ПАКЕТЫ ДОПОЛНЕНИЙ
Наверняка читателю, знакомому с Windows NT, уже встречал­ся термин «Service Pack». Это — термин" введенный компанией Microsoft. Service Раек представляет собой набор программ-дополнений (patch), поставляемых на одном компакт-диске или в одном архивном файле. Компания Microsoft хранит диалоговую базу данных, в которой содержится огромное количество дополне­ний к операционным системам и приложениям компании. Когда количество таких приложений вырастает до определенного предела, компания помещает их в один файл и распространяет его как очередную версию пакета дополне­нии. Например, вышли NT 4.0Service Pack 3 к NT 3.51 Service Pack 5, В та­ких файлах хранится множество важных дополнений и исправлений некото­рых ошибок. Чтобы загрузить последние пакеты дополнений, посетите Web-сайт компании Microsoft, расположенный по адресу http://www.microsoft.com.
БОЛЕЕ ПОДРОБНАЯ ИНФОРМАЦИЯ о ГРУППАХ и РАЗРЕШЕНИЯХ
Как уже говорилось, в модели безопасности Windows NT использована концеп­ция пользователей и групп, а также предоставляемых им прав. Для создания новых учетных записей нужно воспользоваться утилитой Диспетчер пользовате­лей для доменов (8).
Каждой из групп по умолчанию присваиваются свои собственные (отличные от других) права. Например, Администраторы обладают полным доступом ко всем файлам и каталогам домена. Пользователи-администраторы должны быть заре­гистрированы в группах Администраторы и Опытные пользователи. Кроме того, они должны обладать неэлектронными средствами просмотра регистрации дру­гих администраторов в системе. В таблице 15.2 приведены права всех стандарт­ных групп Windows NT.
Глобальная группа        Права доступа_
Администраторы Обладают полным доступом к каждому файлу
и каталогу сервера или домена.
Операторы резервного   Могут игнорировать некоторые средства защиты, копирования используемые при создании резервных копий. Права
этой группы подвергают сеть достаточно серьезному риску. Дело в том, что во время создания резервной копии хакер может получить доступ
к файлам.
Гости Могут регистрироваться в системе и видеть
большинство файлов домена. Однако им нельзя открывать их или проводить иные операции над этими файлами.
Опытные пользователи Участники этой группы обладают всеми правами
пользователей. Кроме того, они могут совместно использовать каталоги и а также
обладают расширенными правами доступа к каталогам с данными.
Репликаторы Могут копировать файлы, расположенные в одной
части (машине) домена, в другую. Однако они не могут открывать или просматривать копируемые файлы без специального разрешения.
Пользователи Обладают доступом к своему домашнему каталогу
(home directory), приложениям и совместно
используемому (пользователями) каталогу
с данными. Для большинства операций этих прав
_более чем достаточно._
Группы домена в сервере Window. NT.
СТАНДАРТНЫЕ ЛОКАЛЬНЫЕ ГРУППЫ   WINDOWS NT
Как уже отмечалось, при установке операционная система создает несколько стандартных групп домена, с помощью которых можно управлять привилегиями пользователей домена. Кроме того, Windows NT создает несколько стандартных локальных групп, которые могут проводить некоторые операции на сервере. Часть этих операций лучше всего предоставить только администраторам. Как уже говорилось, администраторы могут производить любые операции в сети. Однако участники некоторых групп могут обладать даже большими правами, чем администраторы. Далее приводится список этих групп (3).
Локальная группа.
Операторы сервера
„Права безопасности.
Операторы резервного копирования
Операторы учетных записей Операторы печати_
Могут производить выключение сервера (даже удаленное), переустанавливать системное время сервера, а также создавать резервные копии или восстанавливать файлы.
Могут производить выключение сервера, а также создавать резервные копии или восста­навливать файлы.
Могут производить выключение сервера. _Могут производить выключение сервера._
Стандартные локальные группы  Window. NT.
Кроме того, участники всех этих групп могут регистрироваться в системе с по­мощью консоли. Тщательно следите за правами доступа и привилегиями без­опасности групп, перечисленных в таблице 15.3. Если хакер сможет получить права оператора сервера, то он легко разместит на сервере троянского коня, который будет активизироваться после удаленного выключения сервера или предоставит хакеру права администратора.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика