2014-02-24
4102
Планирование учетных записей пользователей
Учетные записи пользователей позволяют идентифицировать пользователей, входящих в сеть, задавать, к каким ресурсам они вправе обращаться, и указывать о них всевозможную информацию. Администраторы — тоже пользователи, но с более широкими правами доступа к ресурсам, связанным с управлением сетью. Группы служат для того, чтобы формировать наборы пользователей, для которых нужно задать одни и те же требования к безопасности или права доступа.
Учетные записи пользователей предоставляют пользователям возможность входить в домен или на локальный компьютер и обращаться к ресурсам. Объекты учетных записей пользователей содержат информацию о пользователях и связывают с ними определенные привилегии или ограничения. Каждый объект Active Directory связан со списком управления доступом (Access Control List, ACL), который представляет собой список разрешений на доступ к объекту, заданных для пользователей и групп.
В Windows Server 2003 существует два основных типа учетных записей пользователей [3]:
|
|
|
- Локальные учетные записи пользователей. Создаются в базе данных защиты локального компьютера и управляют доступом к ресурсам этого компьютера. Локальные учетные записи пользователей предназначены для управления доступом к изолированным компьютерам или к компьютерам, входящим в рабочую группу.
- Доменные учетные записи пользователей. Создаются в Active Directory и дают возможность пользователям входить в домен и обращаться к любым ресурсам сети. Такие учетные записи пользователей реплицируются на все контроллеры в домене, поэтому после репликации любой контроллер домена сможет аутентифицировать пользователя.
Помимо этих учетных записей, Windows автоматически создает несколько таких учетных записей пользователей, которые называются встроенными. И на локальных компьютерах, и в доменах создается две ключевые учетные записи [3]:
- Администратор (Administrator). Данная учетная запись обладает наибольшими возможностями, поскольку она автоматически включается в группу «Администраторы» (Administrators). Члены этой группы имеют высший уровень прав по управлению компьютером, им предоставляются почти все пользовательские права. Учетная запись «Администратор уровня домена» дает максимум возможностей по управлению доменом в целом; по умолчанию она включается в группу «Администраторы домена» (Domain Admins) (а администратор корневого домена леса, кроме того, входит в группы «Администраторы предприятия» (Enterprise Admins) и «Администраторы схемы» (Schema Admins)]. Учетную запись «Администратор» нельзя удалить, но ее можно переименовать (и это следует сделать для большей безопасности). Также следует задать для этой учетной записи непустой пароль и не передавать его другим пользователям.
- Гость (Guest). Данная учетная запись предназначена для того, чтобы администратор мог задать единый набор разрешений для любых пользователей, которые иногда входят в сеть, но не имеют обычной учетной записи. Учетная запись «Гость» позволяет это сделать, так как автоматически включается в локальную группу «Гости» (Guests). В среде, где есть домен, эта учетная запись также включается в группу «Гости домена» (Domain Guests). По умолчанию учетная запись «Гость» отключена. И действительно, ее следует использовать только в сетях, не требующих особой защиты. Эту учетную запись нельзя удалить, но можно отключить и/или переименовать.
|
|
|
