logo search
Otvety_na_bilety_po_vase_1

44. Учетные записи и группы пользователей

Учетные записи пользователей и учетные записи компьютеров Active Directory представляют собой такие же физические объекты, как компьютер или пользователь. Учетные записи пользователей также могут использоваться как записи выделенных служб для некоторых приложений.

Учетные записи пользователей и компьютеров (а также группы) называются участниками безопасности. Участники безопасности являются объектами каталогов, которым автоматически назначаются коды безопасности (SID) для доступа к ресурсам домена. Учетная запись пользователя или компьютера используется для следующих целей.

* Проверка подлинности пользователя или компьютера. Учетная запись пользователя дает право войти в компьютеры и в домен с подлинностью, проверяемой доменом. Сведения о проверке подлинности, см. в разделе Управление доступом в Active Directory. Каждый входящий в сеть пользователь должен иметь собственную учетную запись и пароль. Для обеспечения максимальной безопасности следует запретить пользователям использовать одну и ту же учетную запись.

* Разрешение или запрещение доступа к ресурсам домена.Как только проверка подлинности пользователя завершена, он получает или не получает доступ к ресурсам домена в соответствии с явными разрешениями, назначенными данному пользователю на ресурсе. Дополнительные сведения см. в разделе Сведения о безопасности для Active Directory.

* Администрирование других участников безопасности. Active Directory создает объект «Участник внешней безопасности» в локальном домене для представления каждого участника безопасности из внешнего доверенного домена. Дополнительные сведения о внешних участниках безопасности см. в разделе Когда следует создавать внешнее доверие.

* Аудит действий, выполняемых с использованием учетной записи пользователя или компьютера.

В Виндах:

Учетные записи пользователей

Контейнер Users, расположенный в оснастке «Active Directory — пользователи и компьютеры», отображает три встроенные учетные записи пользователей: «Администратор», «Гость» и «HelpAssistant». Эти три встроенные учетные записи пользователей создаются автоматически при создании домена.

Каждая встроенная учетная запись имеет разную комбинацию прав и разрешений. Учетная запись администратора имеет самые большие права и разрешения в домене, а учетная запись гостя — ограниченные права и разрешения.

Защита учетных записей пользователей

Если права и разрешения встроенной учетной записи не были изменены или отключены администратором сети, они могут использоваться злоумышленниками (или службой) для нелегального проникновения в домен с применением учетной записи администратора или гостя. Для обеспечения достаточной защиты эти учетные записи переименовывают или отключают. Поскольку коды безопасности (SID) учетных записей сохраняются, переименованная учетная запись сохраняет все остальные свойства, в том числе описание, пароль, принадлежность к группам, профиль пользователя, учетную информацию, а также любые разрешения и права пользователя.

Для обеспечения безопасности проверки подлинности пользователя следует создавать отдельные учетные записи для каждого пользователя сети, применяя для этого оснастку «Active Directory — пользователи и компьютеры». Каждая учетная запись пользователя (включая учетные записи администратора и гостя) может быть добавлена в группу для управления правами и разрешениями, назначенными этой учетной записи. Использование соответствующих этой сети учетных записей и групп позволяет проверить подлинность входящего в сеть пользователя и возможность предоставления ему разрешенных ресурсов.