Группы уровня доступа

Ограничение прав локального входа в систему на сервере

Если мы имеем несколько уровней безопасности, то это не значит, что они определяются совершенно независимо. Очевидно, что, получив доступ к локальной системе сервера, можно нарушить работу целого домена намеренно деструктивными или неумелыми действиями. Отсюда вывод — доступ к серверу в локальном режиме необходимо запретить пользователям, которым он не требуется. Для реализации такого запрета достаточно создать группу пользователей и определить для нее политику Отклонить локальный вход (см. рис. 4.1). Значение параметров политики показано в двух полях— Локальный параметр и Действующий параметр. Второе поле может свидетельствовать о том, что политика задана на более высоком уровне и будет определяться им.

Рис. 4.2. Настройка параметра безопасности

Любая учетная запись пользователя или группа, помещенная в эту группу, потеряет возможность локального входа на сервер, но вход по сети будет разрешен, если он был разрешен ранее для этих пользователей и групп.

Группы, создаваемые в домене, должны определять вполне конкретные права пользователей, входящих в них, и права эти не должны противоречить друг другу. В этом случае есть возможность определить структуру групп в соответствии с требованиями вашей организации. Часть групп создана по умолчанию и может быть применена к отдельным пользователям. Наивысшими правами как на компьютере, так и в домене пользуется учетная запись администратора домена, далее следуют участники группы администраторов домена, завершают список группа гостей и встроенная учетная запись гостя. Встроенные учетные записи и группы удалять не стоит. При необходимости вы можете просто отключить отдельные учетные записи. Создавая новые группы, их можно помещать друг в друга и в группы, созданные по умолчанию. Существуют и могут быть созданы как локальные группы компьютера (сервера), так и локальные и глобальные группы домена. Обычно на уровне домена применяют глобальные доменные группы. Для каждой группы определяется свой набор политик и уровней доступа к ресурсам, к которым предполагается доступ пользователей, входящих в эти группы. В результате создается иерархия групп, отличающихся своими правами, а пользователи — члены этих групп получают права в диапазоне от полного доступа ко всем ресурсам и во всех режимах до полного отсутствия доступа к чему бы то ни было. Обычно такими крайними точками являются учетная запись администратора домена и гостя.

Следует отметить тот факт, что на компьютере — контроллере домена не существуют локальные учетные записи пользователей (рис. 4.3).

Следовательно, каждая действующая учетная запись на контроллере домена имеет некоторые права в домене. Отсюда можно сделать такой вывод: если вы решили организовать Web-сервис или почтовый сервис, доступный извне, то это следует делать на отдельном компьютере, поскольку "Береженого Бог бережет". В сети, которая здесь рассматривается, таким компьютером является второй сервер, исполняющий эти и другие вспомогательные роли. Средства, имеющиеся в распоряжении хакеров и прочих "доброжелателей", могут быть достаточно совершенными, чтобы прослушать вашу сеть и перехватить пароли, или проникнуть в нее другим путем. Отдельно стоящий компьютер, не имеющий никаких прав в домене, будет дополнительным препятствием для проникновения в вашу сеть. В то же время пользователи Web- и почтового сервиса не должны иметь прав на вход в систему не только локально, но и по локальной сети. Конечно, вариантов организации структуры сети множество, мы же рассмотрим примеры, которые помогут сориентироваться при определении варианта настройки своей сети.

Рис. 4.3. Отсутствие локальных учетных записей на контроллере доменг