Сделай Сам Свою Работу на 5

Предоставление привилегий

Тема: Управление учетными записями

Создание учетных записей пользователей

Каждому, кто работает в сети, необходимо выделить учетную запись (account) пользователя. Учетная запись состоит из имени пользователя и назначенных ему параметров входа в систему. Эта информация вводится администратором и сохраняется сетевой операционной системой. При попытке пользователя войти в сеть его имя служит для проверки учетной записи.

Все сети имеют утилиты, которые помогают администраторам добавить в базу данных безопасности сети новые учетные записи. Этот процесс иногда называют «созданием пользователя».

Ввод данных о пользователе

Учетная запись содержит информацию, которая помогает идентифицировать пользователя в системе безопасности сети. Она включает:

Ø имя и пароль пользователя;

Ø права пользователя на доступ к ресурсам системы;

Ø группы, к которым относится учетная запись.

Эти данные необходимы администратору для создания новой учетной записи.

Поясним назначение некоторых полей, заполняемых при создании новой учетной записи:

Username — идентифицирует учетную запись пользователя. Имя пользователя не должно совладать с именем другого пользователя, именами групп администрируемого домена или компьютера. Оно может содержать до 20 любых символов произвольного регистра, исключая следующие: " / \:; | =, + *?<>

Full Name— содержит полное имя пользователя.

Description— содержит текст, описывающий учетную запись.

Passwordи Confirm Password— содержат пароль, максимальная длина которого 14 символов. Регистр символов в данном случае значим: нужно ввести одинаковые пароли в оба поля.

Windows NT Server реализует возможность, свойственную большинству утилит управления пользователями, — копирование учетных записей. С ее помощью администратор создает «шаблон» пользователя, отдельные параметры и характеристики которого могут потребоваться при создании других учетных записей. Для создания новой учетной записи с этими характеристиками администратор просто копирует шаблон и дает ему новое имя.



Установка параметров пользователя

Большинство сетей позволяет администраторам присваивать пользователям некоторые дополнительные параметры, в том числе:

ü время регистрации — чтобы ограничить время, в течение которого пользователь

ü домашний каталог — чтобы предоставить пользователю место для хранения его личных файлов;

ü продолжительность действия учетной записи — чтобы ограничить «пребывание» некоторых пользователей в сети.

Профили

Администратор в своей работе реализует и другую возможность — создает для некоторых пользователей сетевое окружение. Это необходимо, например, для поддержки определенного уровня безопасности, или для поддержки пользователей, не овладевших компьютерами и сетями в такой степени, чтобы самостоятельно работать с этой технологией. Администратор может создать профили для управления средой пользователей, в которой они оказываются после входа в систему. К среде относятся:

ü сетевые подключения:

ü доступные программы:

ü подключения к принтерам;

ü настройки языков и стандартов;

ü настройки звуков;

ü настройки мыши;

ü настройки экрана.

К параметрам профилей, кроме того, иногда относятся специальные условия входа в систему и информация о том, где пользователь может хранить свои файлы.

Ключевые (встроенные) учетные записи пользователей

Сетевые операционные системы поставляются с заранее созданными пользовательскими учетными записями, которые автоматически активизируются при установке системы. Известно несколько типов таких учетных записей.

Администратор - начальная учетная запись

При установке сетевой операционной системы автоматически создастся учетная запись пользователя, обладающего полной «властью» в сети - администратора. Именно на него возлагаются следующие функции:

ü установка начальных параметров защиты;

ü создание учетных записей других пользователей.

В сетевой среде Microsoft этот пользователь носит имя Администратор. В среде Novell он известен как Супервизор.

Обычно тот, кто установил сетевую операционную систему, первым входит в сеть. Войдя в сеть с учетной записью администратора, он имеет полный контроль над всеми сетевыми функциями.

Учетная запись гостя

Другой стандартный пользователь, создаваемый программой установки, называется Гость. Эта учетная запись предназначена для людей, которые не являются полноправными пользователями сети, однако нуждаются во временном доступе к ней. Некоторые сетевые операционные системы, например Microsoft Windows NT Server, после установки оставляют учетную запись гостя отключенной. Администратор сети может ее активизировать.

Пароли

Пароли обеспечивают защиту сетевой среды. Поэтому первая задача администратора при установке параметров своей учетной записи — изменить пароль. Тем самым он предотвратит и несанкционированный вход в сеть пользователей с правами администратора, и создание ими учетных записей.

Каждый пользователь должен придумать себе уникальный пароль и хранить его в тайне. В особо важных случаях надо обязать пользователей периодически менять свои пароли. Многие сетевые операционные системы предлагают средства, которые автоматически вынуждают пользователей делать это через заданный администратором промежуток времени.

В ситуациях, когда безопасность не столь существенна, или когда права доступа ограниченны (как в учетной записи гостя), можно модифицировать учетную запись так, чтобы для входа в сеть какого-то конкретного пользователя пароль не требовался.

Администратор, наконец, должен учесть и такой вариант: в систему может попытаться войти пользователь, уже не работающий в компании. Единственный способ избежать этого — сразу же заблокировать учетную запись увольняемого сотрудника.

Вот некоторые самые простые советы:

ü не используйте очевидные пароли, такие, как дату своего рождения, имя супруги (супруга) или ребенка, кличку собаки и т. п.;

ü лучшее место для хранения пароля — Ваша память, а не бумажка, приклеенная к монитору;

ü не забывайте про срок действия пароля (если конечная дата установлена), чтобы изменить пароль до того, как он перестанет действовать и учетная запись будет заблокирована.

Как только пользователи, которым при операциях с паролями помогал администратор, приобретут некоторый опыт, администратор вправе определить приемлемую для них политику защиты паролями.

Учетные записи групп

Сети могут поддерживать тысячи учетных записей. Возникают ситуации, когда администратор должен произвести одни и те же действия над каждой из этих записей или, по крайней мере, над значительной их частью.

Иногда администратор вынужден посылать одно и то же сообщение большому количеству пользователей (извещая их о каком-либо событии), или разрешать доступ к определенным ресурсам только известной группе пользователей. Для этого администратору необходимо модифицировать каждую учетную запись конкретного пользователя, изменяя в ней его права доступа. Если 100 человек нуждаются в разрешении на использование какого-нибудь ресурса, администратор должен по очереди предоставить это право каждому из ста.

Большинство сетей решает эту проблему автоматически, предлагая объединить отдельные пользовательские учетные записи в одну учетную запись специального типа, называемую группой. Группа — это учетная запись, которая содержит другие учетные записи. Основная цель создания групп — упростить администрирование. Благодаря группам администраторы могут оперировать большим числом пользователей так, как будто они работают с одним сетевым пользователем.

Если 100 учетных записей объединены в группу, администратор может послать группе одно сообщение, и оно дойдет до каждого члена этой группы. Аналогично право на доступ к ресурсу можно присвоить группе, и все ее члены получат его.

Планирование групп

Поскольку группы — очень мощный инструмент администрирования, при планировании сети им необходимо уделять особое внимание. Опытные администраторы знают, что практически не должно быть индивидуальных пользователей сети. Каждый пользователь будет разделять с другими определенные привилегии и обязанности. Привилегии разрешают пользователю выполнять в системе некоторые действия, например проводить ее резервное копирование. Привилегии относятся к системе в целом и этим отличаются от прав. Права и привилегии должны быть присвоены группам так, чтобы администратор мог обращаться с ними, как с одиночными пользователями.

Группы помогают осуществить следующие действия:

ü Предоставить доступ к ресурсам (таким, как файлы, каталоги и принтеры). Права, предоставленные группе, автоматически предоставляются ее членам.

ü Предоставить привилегии для выполнения системных задач таких, как резервное копирование, восстановление файлов (с резервных копий) или изменение системного времени. По умолчанию ни одному из пользователей ни одна из привилегий не присваивается. Пользователи, как правило, получают привилегии через членство в группах.

ü Упростить связь за счет сокращении числа подготавливаемых и передаваемых сообщений.

Создание групп

Создание групп подобно созданию учетной записи пользователя. Большинство сетей имеет утилиты, с помощью которых администратор может формировать новые группы. В Microsoft Windows NT Server эта программа называется User Manager for Domains и находится в группе программ Administrative Tools (Common).

Поясним назначение полей, заполняемых при создании новых групп:

Group Name— идентифицирует локальную группу. Имя группы недолжно совпадать с именем какой-либо другой группы (или пользователя) в администрируемом домене или компьютере. Оно может содержать любые символы произвольного регистра, исключая следующие: " / \:; | =, + *?<>

Description (Описание)— содержит текст, описывающий группу или пользователей этой группы.

Основное различие между созданием группы и созданием индивидуального пользователя состоит в том, что группа должна «знать», какие пользователи являются ее членами. Поэтому задача администратора — выбрать соответствующих пользова­телей и включить их в группу.

Типы групп

Microsoft Windows NT Server использует группы четырех типов:

ü Локальные (local) группы. Группы этого типа реализуются в базе данных учетных записей отдельного компьютера. Локальные группы состоят из учетных записей пользователей, которые имеют права и привилегии на локальном компьютере, и учетных записей глобальных групп.

ü Глобальные (global) группы. Группы этого типа используются в границах всего домена. Глобальные группы регистрируются на главном контроллере домена (PDC) и могут содержать только тех пользователей, чьи учетные записи находятся в базе данных этого домена.

ü Системные (system) группы. Группы этого типа обычно используются Windows NT Server для внутрисистемных нужд. Администратору не надо включать в них пользователей, так как это делается автоматически.

ü Встроенные (built-in) группы. Некоторые функции групп этого типа общие для всех сетей. К ним относится большинство задач администрирования и обслуживания. Чтобы выполнять некоторые стандартные операции, администраторы должны создавать учетные записи пользователей и группы с соответствующими привилегиями, однако многие поставщики сетей избавляют администраторов от этой работы, предлагая им встроенные локальные или глобальные группы. Встроенные группы делятся на три категории:

· администраторы — пользователи этих групп имеют максимально возможные привилегии;

· операторы — пользователи этих групп имеют ограниченные административные возможности для выполнения специфических задач;

· другие — пользователи этих групп выполняют ограниченный круг задач.

Предоставление привилегий

Простейший способ предоставить одинаковые права большому количеству пользователей — присвоить эти права группе, а затем добавить в группу выбранных пользователей. Аналогично добавляются пользователи во встроенную группу. Например, если администратор хочет, чтобы какой-то пользователь выполнял в сети административные задачи, он сделает этого пользователя членом группы Administrators.



©2015- 2019 stydopedia.ru Все материалы защищены законодательством РФ.