Ноу Інти, лекція, служба каталогів active directory

6.3 Управління користувачами і групами. Управління організаційними підрозділами, делегування повноважень. групові політики

Управління користувачами і групами

Облікові записи (accounts) користувачів, комп'ютерів і груп - один з головних елементів управління доступом до мережевих ресурсів, а значить, і всієї системи безпеки мережі в цілому.

Зосередимо свою увагу на облікові записи користувачів домену. Ці облікові записи зберігаються на контролерах домену, що зберігають копію бази даних Active Directory.

Також можна створювати додаткові доменні суфікси (та частина імені, яка стоїть після знака @), які будуть з'являтися в випадаючому списку і можуть бути використані при утворенні UPN, якщо ви їх виберете (це робиться за допомогою консолі "Active Directory - домени і довіра" ( "Active Directory Domain and Trusts").

Локальні облікові записи
Управління доменними обліковими записами користувачів

Доменні облікові записи користувачів (а також комп'ютерів і груп) зберігаються в спеціальних контейнерах AD. Це можуть бути або стандартні контейнери Users для користувачів і Computers для комп'ютерів, або створене адміністратором Організаційний підрозділ (ОП). Виняток становлять облікові записи контролерів домену, вони завжди зберігаються в ОП з назвою Domain Controllers.

Розглянемо на прикладах процес створення облікових записів користувачів в БД Active Directory і розберемо основні властивості доменних облікових записів. Облікові записи для комп'ютерів створюються в процесі включення комп'ютера в домен.

Створення доменної облікового запису
  • Вводимо пароль користувача (два рази, для підтвердження).
  • Зазначимо початкові вимоги до паролю:
    • Вимагати зміну пароля при наступному вході в систему (корисно в разі, коли адміністратор призначає користувачеві початковий пароль, а потім користувач сам вибирає пароль, відомий тільки йому);
    • Заборонити зміну пароля користувачем (корисно і навіть необхідно для облікових записів різних системних служб);
    • Термін дії пароля не обмежений (теж використовується для паролів облікових записів служб, щоб політики домену не вплинули на функціонування цих служб, даний параметр має більш високий пріоритет у порівнянні з політиками безпеки);
    • Відключити обліковий запис.
  • Отримуємо підсумкову зведення для створюваного об'єкта і натискаємо кнопку "Готово".

    • Увага. У вправах лабораторних робіт дається завдання налаштувати політики, які сильно знижують рівень вимог до паролів і повноважень користувачів:

    • відключається вимога складності паролів,
    • встановлюється мінімальна довжина пароля, що дорівнює 0 (тобто пароль може бути порожнім),
    • встановлюється мінімальний термін дії паролів 0 днів (тобто користувач може в будь-який момент змінити пароль),
    • встановлюється історія зберігання паролів, що дорівнює 0 (тобто при зміні пароля система не перевіряє історію раніше використовуваних паролів),
    • групі "Користувачі" дається право локального входу на контролери домену.

    Дані політики встановлюються виключно для зручності виконання вправ, які необхідно виконувати з правами простих користувачів на серверах-контролерах домену. У реальній практиці адміністрування такі слабкі параметри безпеки ні в якому разі встановлювати не можна, вимоги до паролів і прав користувачів повинні бути дуже жорсткими (політики безпеки обговорюються далі в цьому розділі).

    Правила вибору символів для створення пароля:

    І ще одне правило безпеки - регулярна зміна пароля (частота зміни залежить від вимог безпеки в кожній конкретній компанії або організації). У доменах Windows існує політика, яка визначає термін дії паролів користувачів.

    Огляд властивостей облікових записів користувачів

    Розглянемо найбільш важливі з точки зору адміністрування властивості.

    Відкриємо консоль "Active Directory - користувачі і комп'ютери" і подивимося властивості щойно створеного нами користувача.

    Закладка "Загальні". На даній закладці містяться в основному довідкові дані, які можуть бути дуже корисні при пошуку користувачів в лісі AD. Найцікавіші з них:

    Параметр "Сценарій входу" визначає виконуваний файл, який при вході користувача в систему завантажується на комп'ютер і виконується. Виконуваним файлом може бути пакетний файл (.bat. Cmd), що виконується програма (.exe. Com), файл сценарію (.vbs, js).

    Закладка "Член груп" - дозволяє управляти списком груп, в які входить даний користувач.

    Закладка "Вхідні дзвінки".

    Закладки "Профіль служб терміналів", "Середовище", "Сеанси", "Віддалене управління" - дані закладки управляють параметрами роботи користувача на сервері терміналів:

    • управління дозволом користувача працювати на сервері терміналів;
    • розміщення профілю при роботі в термінальній сесії,
    • настройка середовища користувача в термінальній сесії (запуск певної програми або режим робочого столу, підключення локальних дисків і принтерів користувача в термінальну сесію);
    • управління сеансом користувача на сервері терміналів (тривалість сесії, тайм-аут бездіяльності сесії, параметри повторного підключення до відключеною сесії);
    • дозвіл адміністратору підключатися до термінальної сесії користувача.