Группы уровня доступа
Оглавление
Группы уровня доступа
Страница 2
Страница 2 из 2
Ограничение прав локального входа в систему на сервере
Если мы имеем несколько уровней безопасности, то это не значит, что они
определяются совершенно независимо. Очевидно, что, получив доступ к локальной
системе сервера, можно нарушить работу целого домена намеренно деструктивными
или неумелыми действиями. Отсюда вывод — доступ к серверу в локальном режиме
необходимо запретить пользователям, которым он не требуется. Для реализации
такого запрета достаточно создать группу пользователей и определить для нее
политику Отклонить локальный вход (см. рис. 4.1). Значение параметров политики
показано в двух полях— Локальный параметр и Действующий параметр. Второе поле
может свидетельствовать о том, что политика задана на более высоком уровне и
будет определяться им.
Рис. 4.2. Настройка параметра безопасности
Любая учетная запись пользователя или группа, помещенная в эту группу,
потеряет возможность локального входа на сервер, но вход по сети будет разрешен,
если он был разрешен ранее для этих пользователей и групп.
Группы, создаваемые в домене, должны определять вполне конкретные права
пользователей, входящих в них, и права эти не должны противоречить друг другу. В
этом случае есть возможность определить структуру групп в соответствии с
требованиями вашей организации. Часть групп создана по умолчанию и может быть
применена к отдельным пользователям. Наивысшими правами как на компьютере, так и
в домене пользуется учетная запись администратора домена, далее следуют
участники группы администраторов домена, завершают список группа гостей и
встроенная учетная запись гостя. Встроенные учетные записи и группы удалять не
стоит. При необходимости вы можете просто отключить отдельные учетные записи.
Создавая новые группы, их можно помещать друг в друга и в группы, созданные по
умолчанию. Существуют и могут быть созданы как локальные группы компьютера
(сервера), так и локальные и глобальные группы домена. Обычно на уровне домена
применяют глобальные доменные группы. Для каждой группы определяется свой набор
политик и уровней доступа к ресурсам, к которым предполагается доступ
пользователей, входящих в эти группы. В результате создается иерархия групп,
отличающихся своими правами, а пользователи — члены этих групп получают права в
диапазоне от полного доступа ко всем ресурсам и во всех режимах до полного
отсутствия доступа к чему бы то ни было. Обычно такими крайними точками являются
учетная запись администратора домена и гостя.
Следует отметить тот факт, что на компьютере — контроллере домена не
существуют локальные учетные записи пользователей (рис. 4.3).
Следовательно, каждая действующая учетная запись на контроллере домена имеет
некоторые права в домене. Отсюда можно сделать такой вывод: если вы решили
организовать Web-сервис или почтовый сервис, доступный извне, то это следует
делать на отдельном компьютере, поскольку "Береженого Бог бережет". В сети,
которая здесь рассматривается, таким компьютером является второй сервер,
исполняющий эти и другие вспомогательные роли. Средства, имеющиеся в
распоряжении хакеров и прочих "доброжелателей", могут быть достаточно
совершенными, чтобы прослушать вашу сеть и перехватить пароли, или проникнуть в
нее другим путем. Отдельно стоящий компьютер, не имеющий никаких прав в домене,
будет дополнительным препятствием для проникновения в вашу сеть. В то же время
пользователи Web- и почтового сервиса не должны иметь прав на вход в систему не
только локально, но и по локальной сети. Конечно, вариантов организации
структуры сети множество, мы же рассмотрим примеры, которые помогут
сориентироваться при определении варианта настройки своей сети.
Рис. 4.3. Отсутствие локальных учетных записей на контроллере доменг
« Пред. - След.