2014-02-24
1870
Правила имен участников системы безопасности
Объекты участников системы безопасности — это объекты Active Directory, которым назначены идентификаторы защиты и которые указываются при входе в сеть и предоставлении доступа к ресурсам домена.
Администратор должен давать объектам участников системы безопасности (учетным записям пользователей, компьютеров и групп) имена, уникальные в рамках домена. Следовательно, необходимо выработать стратегию именования, которая позволит это реализовать.
Добавляя в каталог учетную запись нового пользователя, администратор должен задать следующую информацию [3]:
- имя, которое пользователь должен указывать при входе в сеть;
- имя домена, содержащего учетную запись пользователя;
- прочие атрибуты (имя, фамилия, телефон и т. п.)
К создаваемым именам для участников системы безопасности предъявляются следующие требования [3]:
- имена могут содержать любые символы Unicode, за исключением следующих символов: #, +, «, \, <, >;
- длина имен учетных записей пользователей не должна превышать 20 символов;
- длина имен учетных записей компьютеров не должна превышать 15 символов;
- длина имен учетных записей групп не должна превышать 63 символов;
- имена участников системы безопасности не могут состоять только из точек, пробелов и знаков @;
- любые точки или пробелы в начале имени пользователя отбрасываются.
Допускается применение одного и того же имени участника системы безопасности в разных доменах. Так, можно создать пользователя wjglenn в доменах hr.kd.ru и sales.kd.ru. Это не приведет к проблемам, поскольку составное, относительное составное и каноническое имена каждого объекта автоматически генерируются Active Directory и все равно позволяют глобально идентифицировать этот объект.
|
|
|
Допускается изменение доменных имен после развертывания, но это может оказаться затруднительным. Лучше с самого начала выбрать правильные доменные имена, при выборе которых рекомендуется соблюдать следующие правила [3].
- Использовать только символы, разрешенные стандартами Интернета: а-z, 0-9 и дефис (-). Хотя реализация DNS в Windows Server 2003 поддерживает и другие символы, применение стандартных символов гарантирует возможность взаимодействия с другими реализациями DNS.
- Использовать короткие доменные имена, которые легко идентифицировать и которые соответствуют соглашению об именовании в NetBIOS.
- В качестве основы имени корневого домена применять только зарегистрированные доменные имена. Даже если в качестве имени корня леса не используется зарегистрированное DNS-имя, это поможет избежать путаницы. Например, у компании может быть зарегистрирован домен kd.ru. Если даже имя kd.ru и не задействовано в качестве имени корневого домена леса, то все равно целесообразно формировать имя, производное от kd.ru (скажем, sales.kd.ru).
- Не использовать дважды одно и то же доменное имя. Иное возможно только в сетях, которые не взаимодействуют между собой (например, можно создать домен microsoft.com в частной сети, не подключенной к Интернету). Но это плохой подход, который когда-нибудь обязательно приведет к путанице.
- Для большей безопасности создать отдельные внутреннее и внешнее пространства имен, чтобы предотвратить несанкционированный доступ к закрытым ресурсам. При этом рекомендуется создавать внутреннее имя на основе внешнего (например, kd.ru и local.kd.ru).
|
|
|
