Разрешения на доступ к общему ресурсу

Администрирование Microsoft Windows Server: пользователи, локальные и глобальные группы, права, привилегии и аудит

Учетные записи пользователей (user accounts)

 

Учетная запись пользователя – основа защиты Windows NT. Это уникальный личный код, предоставляющий право на доступ к ресурсам. Каждый пользователь, работающий в домене должен иметь учетную запись. Учетная запись позволяет контролировать доступ пользователей к ресурсам домена.

Учетные записи бывают трех видов. Два из них встроенные, они создаются автоматически при установке Windows NT, третий вы создаете сами.

Встроенные учетные записи: Guest (гость) (предназначена для доступа К ресурсам компьютера случайных пользователей). Administrator (применяется при выполнении административных задач).

Учетные записи могут быть глобальными и локальными. Глобальная учетная запись содержит сведения о пользователе домена.

Она позволяет с помощью одного и того же имени и пароля зарегистрироваться в домене с любого компьютера сети и работать с ресурсами домена.

Локальная учетная запись содержит информацию о пользователе только данного компьютера. С ее помощью пользователь может получить доступ к ресурсам этого компьютера.

Учетные записи создаются и управляются программой User Manager for Domains.

Группы

Группа – это набор учетных записей пользователей с похожими служебными обязанностями или потребностями в ресурсах. Принадлежность к конкретной группе определяет значительную часть возможности пользователя, так как при этом он получает все права и разрешения группы.

Группы - очень удобный метод присвоения прав и разрешений сразу нескольким пользователям. Например, если нескольким пользователям необходим доступ к какому-то файлу, можно добавить их учетные записи в группу и присвоить право доступа к этому файлу группе, а не каждому пользователю в отдельности. Пользователь может быть членом нескольких групп одновременно. При этом он приобретает права и разрешения всех групп, в которых он состоит.

Группы бывают двух видов: глобальные и локальные. Локальные группы применяются для предоставления пользователям доступа к ресурсам локального компьютера. Обычно права доступа к ресурсу присваиваются локальной группе,а затем в эту группу включают учетные записи пользователей и глобальных групп. Глобальные группы организуют учетные; -записи пользователей домена по служебным обязанностям или географическому положению. В состав Windows NT Server входят несколько встроенных глобальных групп.

Разрешения и права

Разрешения определяют правомочность выполнения конкретными пользователями различных действий с ресурсами: папками, файлами и принтерами. Права регулируют возможности пользователей на выполнение системных операций, как-то: создание учетных записей, регистрацию на локальном компьютере или выключение сервера.

 

Разрешения NTFS

Разрешения NTFS - набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам.

Они доступны только на томах, где установлена файловая система NTFS.

Говоря о разрешениях NTFS, следует различать понятия индивидуальных, стандартных и специальных разрешений. Под индивидуальными разрешениями понимают набор прав, позволяющий предоставлять пользователю доступ того или иного вида.

Этих разрешений всего шесть: Read (Прочитать), Write (Записать), Execute (Выполнить), Delete (Удалить),Change Permissions (Изменить разрешения) и Take Ownership (Стать владельцем).

Индивидуальные разрешения по отдельности имеют весьма ограниченные возможности доступа и управления файлами и папками на NTFS-разделах.

 

 

Обычно для выполнения над файлами или папками действий

определенного уровня требуются наборы индивидуальных разрешений. Такие наборы называются стандартными разрешениями. Для файлов стандартных разрешений всего четыре.

    В скобках показано, из каких индивидуальных разрешений состоят стандартные разрешения. Для папок набор стандартных разрешений несколько шире. В первой паре скобок указаны индивидуальные разрешения на доступ к самой папке, во второй -на доступ к файлам, создаваемых в этой папке. Некоторые разрешения на папку не устанавливают разрешения для файлов (No Specified).

    При этом пользователь не сможет обращаться к файлам в этой папке, если только разрешения на доступ для него не заданы как-нибудь иначе (например, через разрешения, устанавливаемы на отдельные файлы).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.

Специальные разрешения это комбинация индивидуальных разрешений R, W, X, D, Р, О, не совпадающих ни с одним стандартным набором. Установить специальное разрешения NTFS в диалоговом окне File Permissions или Directory Permissions можно только правкой существующих разрешения для пользователей или группы. Иными словами, чтобы установить для кого-нибудь специальное разрешение NTFS, надо установить сначала какое либо из стандартных разрешений,   а           потом преобразовать его в специальное. При этом для папок можно отдельно регулировать доступ как к самой папке (Special Directory Access), так и находящимся в ней файлам (Special File Access).

Таким образом, удается дифференцированию управлять доступом пользователей к файлам и папкам на разделах с файловой системой NTFS.

Разрешения на доступ к общему ресурсу

Разрешение на доступ к общему ресурсу предназначено для разграничения доступа к общему ресурсу сетевых пользователей. Если ресурс находится на томе с файловой системой NTFS, то разрешения на доступ к общему ресурсу устанавливают максимальный уровень доступа к общему каталогу. Разрешения, назначаемые с помощью вкладки Security общего каталога (или файлов в этом каталоге), можно сделать более жесткими, чем разрешения на доступ к общему ресурсу, но расширить их нельзя. Разрешения на доступ к общему ресурсу можно назначить отдельным пользователям, группам и специальным категориям:

Аудит - одно из средств защиты сети Windows NT. С его помощью вы можете отслеживать действия пользователей и другие системные события в сети.

 Фиксируются параметры:

- выполненное действие;

- имя пользователя, выполнившего действие;

- дата и время выполнения действия.

Просмотреть события можно в программе Event Viewer. Windows NT записывает события в три журнала:

Системный журнал (system log) содержит информацию о событияхотносящихся к компонентам Windows NT. Например сообщение о сбое драйвера или службы при загрузке

В журнал безопасности(security log) заносятся сведения о входе в систему, доступе к объектам и другая информация, связанная с безопасностью. При просмотре событий аудита вы будите просматривать именно этот журнал.

Журнал приложений (application log) содержит события, записываемые приложениями.

Ход выполнения работы:

1 Создайте пользователя и настройте его окружение.

1.1 Запуститепрограмму User Manager for Domains.

1.2  Из меню User выберите команду New User.

1.3 Заполните поля Username, Full Name, Description, Password, ConfirmPassword (что означают эти поля можно узнать, вызвав помощь).

1.4 Выберите параметры пароля в окне New User (по вашему усмотрению, выбор аргументировать):

     – User Must Change Password at Next Logon (требовать смены пароля приследующей регистрации), задана по умолчанию.

– User Cannon Change Password (запретить смену пароля пользователю).

     – Password Never Express (Срок действия пароля не ограничен).

– Account Disabled (учетная запись отключена).

Доступ к настройкам пользователя можно получить и после его создания, для этого необходимо выделить данного пользователя и выбрать из меню Users команду Properties. Внизу окна New User или User Properties (если пользователь уже создан) есть несколько кнопок: Groups, Profile, Hours,Logon To, Account, Dialin. С помощью этих кнопок производится настройкасвойств пользователей. Groups предназначается для задания списка групп, ккоторым принадлежит пользователей. Profile для настройки рабочей среды пользователя. Hours для задания часов, в которые пользователь сможет работать. Login To для задания списка компьютеров, с которых пользователь может зарегистрироваться в сети. Account для ограничения времени действия бюджета. Dialin для настройки удаленного доступа.

2 Задайте домашний каталог для созданного пользователя.

2.1 Создайте на сервере папку Users, в ней разместятся каталоги пользователей. Сделайте каталог общим ресурсом.

2.2 Выделите пользователя и выберите команду Properties в меню User».

2.3 В окне User Properties нажмите кнопку Profile.

2.4 В появившемся окне User Environment Profile щелкните переключатель Connect (Подключить).Справа от переключателя появится строка Z: - это обозначение диска, который будет использоваться для подключения основной папки при регистрации пользователя (имя диска можно изменить). В окне наберите \\имя_компьютера\users\%username% (имя_компьютера - имя сервера). %usemame% - переменная.

Windows NT %username% на учетное имя пользователя (можно просто задать имя пользователя).

2.5 Если вы все сделали правильно, то по указанному пути была создана папка с именем, совпадающему с именем создаваемого пользователя.

3 Задайте права пользователей.

3.1 В меню Policies выберите пункт User Right

3.2 Впоявившемся окне вы увидите перечень прав и список пользователей (групп), кому эти права предоставлены

3.3 Установите право Log on as service для Admin.

4 Создайте пользователя, который бы смог входить локально на компьютер с Windows NT Server и в тоже время не мог входить в сеть с другого компьютера в сети.

5 Удалите пользователя (из меню User выберите Delete.)

6 Разграничьте права пользователей для доступа по сети к общему ресурсу.

6.1 Создайте четыре пользователя, как описано в п. 1.

6.2 Сделайте какой-нибудь каталог общим ресурсом.

6.2.1 Выделите каталог в Explorer и нажмите правую кнопку мыши.

6.2.2 В появившемся контекстном меню выберите Sharing.

6.2.3 Выберите кнопку Shared As, заполните поля Share Name (имя под которым ресурс виден в сети) и Comment (комментарий к общему ресурсу). Установите, сколько пользователей одновременно смогут подключить этот ресурс.

6.3 Установите для общего ресурса различные разрешения для разных пользователей: для первого - Read, для второго - Change, для третьего Full Control,   для четвертого- No Access.Нажмите кнопку Permissions и в появившемся окне выберите нужных пользователей и установите нужное для них разрешение.

6.4 Зарегистрируйтесь на клиентской машине в сети под разными пользователями и подключите этот общий ресурс. Попробуйте создать файл или каталог, прочитать и выполнить другие действия на диске, которым вы подключили общий ресурс.

7 Создайте группу пользователей и внесите туда всех созданных вами пользователей.

7.1 Запустите программу User Manager for Domains.

7.2 Из меню User выберите команду New Group, в появившемся окне введите имя группы.

7.3 В появившемся окне выберите пользователей, которые будут входить в группу.

      8 Установите разрешение на подкаталог в каталоге, выступающем в роли общего ресурса (файловая система должна быть NTFS).Установить разрешения можно программой Explorer. Для этого выделите каталог или файл и нажмите правую кнопку мыши.

        В появившемся меню выберите Security, в появившемся окне выберите вкладку Permissions. Добавьте нужное вам разрешения для группы. Поэкспериментируйте с разрешениями.

    Зарегистрируйтесь на клиентской машине под именем какого-нибудь пользователя, входящего в эту группу и проверьте, что он может сделать с этим каталогом (и файлами, входящими в каталог).

9 Установите разрешение для каталога TEMP.

9.1 Сделайте так, чтобы пользователи не имели право удалить каталог TEMP (подкаталоги и файлы в нем), но в то же время могли создать каталоги (файлы) в каталоге TEMP и при этом получали разрешение Change на созданные ими каталоги (файлы). При этом другие пользователи не имели доступа к этим файлам.

10 Войдите от имени другого пользователя и сделайте его владельцем файла (файл выберите сами).

11 Установите и настройте аудит.

11.1     Установите правила аудита.

11.1.1 Для этого в программе User Manager for Domains выберите команду Audit в меню Policies.

11.1.2 В окне Audit Policy установите переключатель в положение Audit These Events и выберите события, которые вы хотите отслеживать в системе. Если вы хотите отследить отказ в доступе к файлам и каталогам нужно отметить File and Object Access, а тип регистрируемого события Failure (отказ)

11.2 Укажите пользователя, действия которого, по отношению к какому-то файлу, вы хотите отследить.

11.2.1 Выделите файл в Explorer и щелкните на нем правой кнопкой, в появившемся контекстном меню выберите Properties, выберите вкладку Security, на вкладке сделайте щелчок на кнопке Auditing.

     11.2.2 Выберите пользователя, для которого вы хотите проводить аудит.

Нажмите кнопку Add и введите пользователя.

11.2.3 Выберите, аудит каких событий проводить (отметьте в нижней части окна). Отметьте Delete (Failure) для отслеживания попыток удаления файла.

11.3 Войдите в сеть с клиентского компьютера от имени пользователя, действия которого вы хотите проследить.

Попробуйте удалить файл (выберите такой файл, который пользователь не имеет права удалить) для которого вы установили аудит.

11.4 Запустите Event Viewer и просмотрите запись в журнале безопасности.

Службы Интернета