Золоті правила застосування груп, windows it pro

ІТ-інфраструктура для вашого підприємства

Про те, як змінювалися характеристики груп, розказано в урізанні "Еволюція груп в Windows". Я не буду торкатися локальних груп, що визначаються в базах даних системи безпеки автономних комп'ютерів, а також на робочих станціях і автономних серверах домена. Ці локальні групи можуть використовуватися тільки на локальних комп'ютерах для призначення дозволів на звернення до локальних ресурсів. Групи, які ми будемо обговорювати в цій статті, можуть бути використані для призначення дозволів на звернення до ресурсів в масштабі домену, а в окремих випадках - в масштабі лісу доменів.

Екран 1: Властивості групи в вікні оснащення Active Directory Users and Computers

Як списків розсилки електронної пошти можна використовувати і групи безпеки. Але що ще більш важливо, групи безпеки можна задіяти для виконання пов'язаних із захистом даних адміністративних завдань, таких як призначення дозволів на звернення до ресурсів, тому що ідентифікатор SID групи безпеки додається до маркера доступу користувача Windows в ході процесу аутентифікації. SID групи розсилки не додають до маркера доступу користувача Windows, тому групи розсилки можна використовувати для виконання адміністративних завдань, пов'язаних із захистом даних. Оскільки для призначення дозволів на звернення до ресурсів можна застосовувати тільки групи безпеки, в подальшому я зупинюся на групах цього типу.

Екран 2: Попередження, що відображається при перетворенні групи безпеки в групу розсилки

Діапазон групи визначає, яким чином можна використовувати дану групу в багатодоменному середовищі. Зокрема, діапазон групи визначає, чи може група містити користувачів і групи з іншого домену. Крім того, діапазон групи визначає, чи припустимо за допомогою даної групи встановлювати дозволу на звернення до ресурсів іншого домену.

У Таблиці 3 показано, які учасники безпеки (тобто користувачі, комп'ютери або групи) можуть бути членами універсальної групи, глобальної групи і локальної групи домену. Крім того, тут ми бачимо, в яких випадках учасники безпеки повинні бути розташовані в тому домені, де група визначається (такі домени в Таблиці 3 позначені як SD), або їх можна розміщувати в іншому домені, що входить до складу того ж лісу (OD- INT), або в іншому зовнішньому домені (OD-EXT).

Тепер, коли ви знаєте, які учасники безпеки можуть бути членами тієї чи іншої групи, пора поставити питання про те, де можна використовувати ці групи для установки дозволів на звернення до ресурсів. В Таблиці 4 показано, які групи забезпечують можливість установки дозволів на звернення до ресурсів тільки свого домену, де відповідна група була визначена, а які дозволяють ще встановлювати дозволу на звернення до ресурсів інших доменів. Як видно з Таблиці 4, локальні групи доменів є єдиний тип груп, який не дає можливості встановлювати дозволу на роботу з ресурсами інших доменів.

• Глобальна група може бути членом іншої глобальної групи, універсальної групи або локальної групи домену.
• Універсальна група може бути членом іншої універсальної групи або локальної групи домену, але не може бути членом глобальної групи.
• Локальна група домену може бути членом тільки інший локальної групи домену.

• Локальну групу домену можна перетворити в універсальну групу лише в тому випадку, якщо ця локальна група домену не містить інших членів локальної групи домену. Локальна група домену не може бути членом універсальної групи.
• Глобальну групу можна перетворити в універсальну лише в тому випадку, якщо ця глобальна група не входить до складу іншої глобальної групи. Універсальна група не може бути членом глобальної групи.
• У багатодоменному середовищі перетворення універсальної групи в глобальну допускається лише тоді, коли всі члени універсальної групи визначені в домені цієї універсальної групи. Глобальна група може містити лише об'єкти, визначені в її домені.

Так, у багатьох організаціях користувачі регулярно змінюють одну організаційну роль на іншу. Як правило, кожна роль передбачає наявність конкретних дозволів на звернення до тих чи інших ресурсів Windows. Служба AD передбачає можливість створення груп для організаційних ролей (скажімо, оператори центрів обробки викликів, розробники) і призначення дозволів на роботу з ресурсами для цих груп. Якщо роль користувача змінюється, адміністратору достатньо включити обліковий запис цього користувача до складу відповідної групи. Такий підхід набагато ефективніше, ніж проста перевстановлення дозволів облікового запису для того, щоб забезпечити користувачеві доступ до ресурсів, необхідних для виконання нової ролі.

Ось ще кілька "золотих правил", яким необхідно слідувати при управлінні доступом груп до ресурсів:

Вибір тих чи інших вкладених структур може також залежати від двох чинників. Перший - кому належать і яку важливість мають захищаються дані. Коли розголошення даних особливо небезпечно, відповідальний за їх захист адміністратор повинен мати повний контроль над тим, кому надається доступ. Таким чином, найкраща політика в цьому випадку - взагалі не використовувати вкладені структури. Замість цього слід задіяти одну групу для управління членством і ту ж групу - для надання дозволів на звернення до ресурсу. Однак такий підхід не є оптимальним, коли багатьом користувачам потрібен доступ до того чи іншого ресурсу, і його власник не хоче або не може контролювати членство кожного користувача у відповідній групі. У таких випадках має сенс організувати кілька груп і надати іншим адміністраторам можливість управляти своїми користувачами у відповідних групах, після чого вкласти ці групи в іншу групу, через яку і будуть надаватися дозволи на доступ до ресурсу.

Другий фактор, здатний вплинути на рішення адміністратора щодо формування вкладеної структури груп, - це можливість відновлення членства в групах AD після ненавмисного видалення об'єктів AD. Найважче відновлюється членство в локальних групах доменів, якщо члени цих груп розміщуються в іншому домені.

Відзначимо одну важливу виключення з цього правила; мова йде про великих мережах AD, які передбачають наявність численних локальних груп. На відміну від груп AD, локальні системні групи користувачів не передбачають можливості розширення членства при реєстрації в системі і не впливають на розмір облікових даних Kerberos. Інакше кажучи, в цій ситуації доцільніше використовувати не локальні групи доменів, а системні локальні групи.

• Для надання користувачам доступу до ресурсів, розподіленим по декільком доменів, слід використовувати універсальні групи. Для цього розміщуйте глобальні групи в універсальні групи, універсальні групи - в локальні групи доменів і потім використовуйте локальні групи доменів для встановлення дозволів на звернення до ресурсів.
• Застосовуйте універсальні групи в тих випадках, коли членство в групі близько до статичного. Коли ж членство в групі схильне до частих змін, використовуйте групу-посередника: додавайте користувачів в глобальну групу, а потім введіть цю глобальну групу до складу універсальної групи. Універсальні групи генерують більш значні обсяги мережевого трафіку в багатодоменному мережах, оскільки відомості про членство в універсальних групах зберігаються в глобальному каталозі, який реплікується в масштабах лісу.

Отже, дотримуйтесь викладених вище "золотих правил". Крім того, я рекомендую Новомосковсктелям дотримуватися наступного принципу: намагайтеся створювати якомога менше груп і обмежувати число рівнів їх вкладення. Адже чим менше буде груп і рівнів вкладення, тим простіше система дозволів та тим легше знаходити причини неполадок в разі виникнення проблем.

Отже, ми розглянули основні характеристики груп AD і з'ясували, як з їх допомогою організувати ефективне управління дозволами на використання ресурсів. Без цих знань не обійтися жодному адміністратору AD.

Жан Де Клерк ([email protected]) - член Security Office корпорації Hewlett-Packard. У коло його інтересів входять питання управління ідентичністю і забезпечення безпеки при використанні продуктів Microsoft.

ЕВОЛЮЦІЯ ГРУП В WINDOWS

Таблиця 1: Функціональні рівні доменів

Функціональний рівень домену

Операційні системи, використовувані на контролерах доменів