Локальная директория арм пользователя что это
Перейти к содержимому

Локальная директория арм пользователя что это

  • автор:

2.1. Управление встроенными учетными записями

Встроенными учетными записями являются учетные записи гостя и администратора. В этом примере мы переименуем гостевую учетную запись. Для этого выполните следующие действия:

  1. Откройте оснастку «Локальные политики безопасности»;
  2. Перейдите в узел «Локальные политики», а затем «Параметры безопасности»;
  3. Откройте параметр «Учетные записи: Переименование учетной записи гостя» дважды щелкнув на нем или нажав на клавишу Enter;
  4. В текстовом поле введите Гостевая запись и нажмите на кнопку «ОК»;
  5. Перезагрузите компьютер.

После перезагрузки компьютера для того чтобы проверить, применилась ли политика безопасности к вашему компьютеру, вам нужно открыть в панели управления компонент «Учетные записи пользователей» и перейти по ссылке «Управление другой учетной записью». В открывшемся окне вы увидите все учетные записи, созданные на вашем локальном компьютере, в том числе переименованную учетную запись гостя.

Также можно изменять состояния встроенных учетных записей через параметры «Учетные записи: Состояние учетной записи «Гость» и «Учетные записи: Состояние учетной записи «Администратор», устанавливая значения «Включен» или «Выключен». По умолчанию гостевая учетная запись выключена. Учетную запись администратора выключать не рекомендуется! Однако хорошей практикой cчитается переименование встроенной учетной записи администратора.

2.2. Управление политиками паролей

  1. Откройте оснастку «Локальные политики безопасности»;
  2. Перейдите в узел «Политики учетных записей» и откройте параметр «Политики паролей».

Вы можете использовать до шести политик безопасности, при помощи которых можно указать наиболее важные параметры безопасности, применяемые для управления паролями учетных записей. Настоятельно рекомендуется не игнорировать данные политики. Даже если вы уговорите пользователей использовать сложные пароли, не факт, что они действительно будут это делать. Если вы правильно настроите все шесть политик безопасности, расположенных в этом узле, безопасность паролей пользователей вашей организации значительно повысится. Применив все политики, пользователям действительно придется создавать безопасные пароли, в отличие от тех, которые они считают «сложными». Список политик:

Максимальные срок действия пароля. Эта политика указывает период времени, в течение которого пользователь может использовать свой пароль до последующего изменения. По окончанию установленного срока пользователь обязан изменить свой пароль, так как без изменения пароля войти в систему ему не удастся. Доступные значения могут быть установлены в промежутке от 0 до 999 дней. Если установлено значения равное 0, срок действия пароля неограничен. В связи с мерами безопасности желательно отказаться от такого выбора. Если значения максимального срока действия пароля варьируется от 1 до 999 дней, значение минимального срока должно быть меньше максимального. Лучше всего использовать значения от 30 до 45 дней.

Минимальная длина пароля. При помощи этой политики вы можете указать минимальное количество знаков, которое должно содержаться в пароле. Если активировать этот параметр, то при вводе нового пароля количество знаков будет сравниваться с тем, которое установлено в этой политике. Если количество знаков будет меньше указанного, то придется изменить пароль в соответствии с политикой безопасности. Можно указать значение политики от 1 до 14 знаков. Оптимальным значением для количества знаков для пароля пользователей является 8, а для серверов от 10 до 12.

Минимальные срок действия пароля. Многие пользователи не захотят утруждать себя запоминанием нового сложного пароля и могут попробовать сразу при вводе изменить такое количество новых паролей, чтобы использовать свой хорошо известный первоначальный пароль. Для предотвращения подобных действий была разработана текущая политика безопасности. Вы можете указать минимальное количество дней, в течение которого пользователь должен использовать свой новый пароль. Доступные значения этой политики устанавливаются в промежутке от 0 до 998 дней. Установив значение равное 0 дней, пользователь сможет изменить пароль сразу после создания нового. Необходимо обратить внимание на то, что минимальный срок действия нового пароля не должен превышать значение максимального срока действия.

Пароль должен отвечать требованиям сложности. Это одна из самых важных политик паролей, которая отвечает за то, должен ли пароль соответствовать требованиям сложности при создании или изменении пароля. В связи с этими требованиями, пароли должны:

  • содержать буквы верхнего и нижнего регистра одновременно;
  • содержать цифры от 0 до 9;
  • содержать символы, которые отличаются от букв и цифр (например, !, @, #, $, *);
  • Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков.

Требовать неповторяемости паролей. Указывается количество предыдущих паролей пользователя, с которыми будет сравниваться новый пароль.

Хранить пароли, используя обратимое шифрование. Для того чтобы пароли невозможно было перехватить при помощи приложений, Active Directory хранит только хэш-код. Но если перед вами встанет необходимость поддержки приложений, использующих протоколы, требующие знание пароля пользователя для проверки подлинности, вы можете использовать текущую политику. Обратимое шифрование по умолчанию отключено, так как, используя эту политику, уровень безопасности паролей и всего домена в частности значительно понижается. Использование этой функции аналогично хранению пароля в открытом виде.

7.2.Сетевое, локальное и внемашинное обеспечение арм

Если считать, что реально ИС является множеством взаимосвязанных АРМ, то по отношению к каждому из них все информационное обеспечение (ИО) следует разделить на локальное и сетевое (рис.7.1).

Локальное ИО — это исходные и результирующие данные и знания, непосредственно находящиеся в АРМ; сетевое ИО — это данные и знания, поступающие в АРМ из локальной сети, другого АРМ, сети Интернет или сетей сторонних организаций.

Сетевое ИО функционирует на основе корпоративных, коммерческих и других порталов, обеспечивающих единообразный доступ к корпоративным информационным ресурсам, а также ресурсам сторонних организаций и сети Интернет. Типовой состав корпоративного портала следующий:

  • поисковый механизм с единым механизмом доставки информации;
  • системы управления данными;
  • средства организации совместной работы пользователей с одними и теми же данными;
  • обеспечение безопасности.

Сетевое ИО содержит данные, которые могут быть затребованы для решения задач в различных узлах сети. Его поддержка в рабочем состоянии осуществляется специально создаваемой централизованной службой, в функции которой входит замена устаревших данных, их корректировка или удаление. Как правило, сетевое ИО содержит нормативно-справочные данные, являющиеся едиными для всех подразделений предприятия, а также информацию из сети Интернет и информацию, поступившую от сторонних организаций (рис.7.2). Рис. 7.1. Сетевое и локальное ИО АРМ Рис. 7.2. Структура сетевого ИО предприятия В свою очередь, локальное ИО АРМ делится на внемашинное и внутримашинное. Внемашинное ИО — это множество бумажных и других управленческих документов, воспринимаемых человеком, а также методов их построения. Рассмотрим структуру внемашинного ИО, представленную на рис.7.3. Рис. 7.3. Структура внемашинного ИО АРМ Экономические показатели относятся к фундаментальным понятиям экономической информатики, так как на их основе создается любая информационная система экономического профиля. Экономический показатель — это неделимая совокупность реквизитов-признаков и одного реквизита-основания, образующих экономический смысл. Например: план поставок материала «Бронза» для поставщика ОАО «Горизонт» в первом квартале 2005 года равен 200 тонн. Реквизиты-признаки, указанные курсивом, предназначены для выполнения логических операций. Будучи закодированными, они используются вначале для написания расчётных формул, а затем для выполнения в процессе решения задачи логических операций (поиск, группировка, сортировка). Реквизит-основание («план поставок») используется для выполнения арифметических операций. Если реквизиты-признаки характеризуют качественные стороны объекта (коды, наименования, единицы измерения, время действия и т.д.), то реквизит — основание даёт его количественную характеристику (план, факт, процент, коэффициент, объём и т.д.). Экономические показатели составляют содержание большинства управленческих документов. Под бумажным (ручным) документом понимается информационное сообщение на естественном языке, зафиксированное ручным или печатным способом на бланке. Бумажные документы, созданные на базе стандартов, называются унифицированными. В состав унифицированной документации входят финансовая, банковская, расчётно-платежная и др. Все управленческие документы делятся на три группы:

  • входные оперативные;
  • нормативно-справочные (условно-постоянные) и
  • результирующие.

Во входных оперативных документах фиксируются факты финансово-хозяйственно-производственного характера. Наиболее объёмная нормативная документация — та, которая содержит материальные и трудовые нормы на изготовление продукции. Меньше по объёму конструкторско-технологическая документация, содержащая состав изделий, технологию их изготовления, маршруты изготовления продукции и т.д. Справочная документация содержит расшифровки кодов материалов, табельных и инвентарных номеров и т.д. Плановые документы предназначены для фиксации плановых показателей выпуска и реализации продукции, её поставок и продаж. Результирующие документы предназначены для конечного пользователя. Это ведомости, отчёты, таблицы, диаграммы, графики, используемые для формирования отчётности и принятия решений.

Администрирование аттестованных объектов информатизации — автоматизированных рабочих мест. Практика

В рамках предыдущей статьи мы в теории разобрали, что необходимо делать администратору. В этой же изучим вопрос на практике.

Администрирование аттестованного АРМ

Администрирование аттестованного АРМ сводится к следующим шагам:

  • Знакомство с Актом классификации.
  • Знакомство с Разрешительной системой доступа.
  • Настройка системы и администрирование СЗИ от НСД.
  • Поддержание АРМ в актуальном состоянии, в соответствии с разрешительной системой доступа.

Знакомство с Актом классификации

Шаблонов в интернете много, поэтому не будем его детально расписывать, подчеркнем суть из него. В Акте классификации указано, что объект информатизации – автоматизированная система «АРМ-1» классифицирована по классу 1В в соответствии с РД АС. Ссылка на РД АС.

Знакомство с Разрешительной системой доступа

Я придумал нечто следующее (пример РСД), на основе её будем настраивать систему и СЗИ от НСД. Из документа мы получаем всё необходимое:

  • Наименование всех учётных записей, которые должны быть на ПК, а также их роли.
  • Перечень информационных ресурсов, их расположение, их гриф.
  • Перечень разрешенного оборудования, участвующего в обработке информации.
  • Матрицу доступа, содержащую подробную информацию, какой пользователь, к какому информационному ресурсу/оборудованию, под каким грифом имеет доступ.

Настройка системы и администрирование СЗИ от НСД

Пришло время настроить нашу систему согласно исходным данным. Рекомендованный порядок настройки СЗИ от НСД такой:

  1. Настройка самого СЗИ от НСД
  2. Настройка пользователей
  3. Настройка ресурсов
  4. Настройка приложений

Начнём с СЗИ от НСД Secret Net Studio. Вот рекомендации по настройке.

Secret Net Studio — C

Настройка самого СЗИ от НСД

Заходим в «Локальный центр управления»

  • Если горит зеленый квадратик, то всё работает хорошо.
  • Если серый, то модуль отключен.
  • Если красный, произошли изменения которые необходимо подтвердить администратору. Или же произошёл сбой.

В меню «Настройки» можно задать нужные параметры с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД» Dallas Lock. Это руководство от другой СЗИ, но основные параметры одинаковые, так что заострять внимание на этом не будем, упомянем только основное.

В «Базовая защита» это:

В других СЗИ от НСД, требования парольной политики по содержанию символов настраивается более гибко, тут же, только вот этим параметром.

В «Локальная защита» это:

Создадим необходимый перечень мандатных уровней:

В данной СЗИ от НСД менее трёх быть не может. Вы же поняли, почему?

Не включайте сразу параметр «Контроль потоков включен» он включается в самый последний момент, когда уже всё настроено.

В «Контроль устройств» рекомендуется отключить все, что не используется в обработке информации. USB-устройства — разрешаете подключение для конкретных, и потом для родительского объекта запрещаете подключение, чтобы кроме разрешенного пользователи ничего подключить не смогли.

В «Контроль печати» нужно добавить принтер, МФУ, на котором будете печатать, и с помощью шестеренки разрешить доступ «Все», после чего выбрать «Настройка по умолчанию» и для него уже запретить «Все».

Настройка пользователей

В Secret Net Studio есть свой аналог меню по созданию учетных записей – «Управление параметрами безопасности пользователей». Создаём учетные записи в соответствии с разрешительной системой доступа:

Важно помнить, что колонку «Имя» изменить уже не получится. А всё остальное можно. В меню «Параметры безопасности» выставляем уровень допуска и выбираем то, что он может делать с грифованными данными. «Управление категориями конфиденциальности» должен быть только у администратора.

Настройка ресурсов

Следующий шаг – создать информационные ресурсы. В разрешительной системе доступа указываются и их наименования и их расположение. Делаем как в документе.

Ресурсы мы создали, а теперь нужно настроить дискреционные и мандатные полномочия пользователей на этих каталогах, как в матрице доступа, находящейся в РСД. Заходим в «Свойства» каталога Документы, далее во вкладку «Secret Net Studio» и настраиваем мандатный уровень для папки. Суть этого разделения в том, что мы можем контролировать, под каким уровнем мандатной сессии пользователи смогут открыть её. Так как у нас в папке «Документы» находятся папки разных грифов, то на самой папке мы ставим самый меньший уровень. А вот на папке «Конфиденциально» и «Не_конфиденциально» ставим нужные уровни.

Дискреционное разграничение определяет права доступа пользователей к каталогам, то есть кто и куда может зайти. Если оставить галку «Наследовать настройки доступа от родительского объекта», то папка примет настройки от родительского объекта.

Важно, в данной СЗИ от НСД при настройке каждого каталога необходимо добавлять администратора, иначе он не сможет настраивать эту папку.

Для папки «Документы» это диск C:\, а для других, что внутри этой папки – сама папка «Документы». Снимаем галку, и ставим всё как матрице доступа разрешительной системы доступа. По правам для пользователей для родительского объекта ставим разрешить «Чтение» «Запись» «Выполнение», запрещаем «Удаление» и «Изменение прав доступа». Правами на изменение прав доступа обладает только администратор.

По поводу удаления: так как у нас регламентированы папки, которые должны быть в папке «Документы» («Конфиденциально» и «Не_конфиденциально») то удалять их нельзя, но в самих уже этих папках можно свободно действовать.

В каталогах на USB-устройствах настроить в большинстве случаев можно только дискреционное разграничение, так как для мандатного разграничения может не соответствовать файловая система.

Настройка приложений

Самый трудоёмкий пункт. Для настройки работы приложений в ненулевой сессии администратору необходимо настроить «Подсистема полномочного управления доступом». Для этого выполните во вкладке «Автоматически» процесс настройки «По умолчанию» После чего можно настроить все приложения.

Суть в том, что для каждого приложения, чтобы оно работало в ненулевых мандатных сессиях (например, «Конфиденциально») необходимо сделать разделяемой папку, содержащую временные файлы этого приложения. Для большинства популярных приложений есть шаблоны программ, доступные на вкладке «Программы».

Если там нет, добавьте вручную. Для этого в вкладке «Вручную» -> «Общие» -> «Перенаправления» необходимо добавить пути до этих каталогов. Для этого в папке пользователя «AppData» -> Local, Roaming, LocalLow необходимо скопировать адрес до папки приложения.

И вставить в новое правило. Чтобы правило работало для ещё не существующих пользователей, удалите ту часть, которая указывает на папку конкретного пользователя:

После того, как настроите все необходимые приложения, вернитесь в «Локальный центр управления» и включите

После чего нужно перезагрузиться.

После перезагрузки при попытке войти под пользователем после ввода логина и пароля система спросит, под какой сессией вы хотите зайти. Зайдите под пользователем, чтобы проверить, что все приложения работают как надо, все папки открываются.

FAQ

Если система зависает на этом моменте и бесконечно грузится, жмите Ctrl+Shift+Esc. Вы пропустите проверку системы, компьютер будет заблокирован для всех, кроме администраторов. После исправления ошибок в локальном центре проведите проверку функционального контроля/

Dallas Lock 8.0-C

Настройка самого СЗИ от НСД

В меню «Параметры безопасности» можно задать нужные настройки с помощью шаблонов или ручками. Если вы не знаете, какие параметры выставлять, рекомендую изучить «Рекомендации по настройке СЗИ от НСД Dallas Lock». Заострять внимание на этом документе не будем, упомянем только основное.

Во вкладке «Мандатный доступ» установим всё как в нашем примере РСД

Во вкладке «Контроль целостности «Программно-аппаратной среды»» выставляются алгоритмы и рассчитываются контрольные суммы в самом конце.

Контроль устройств находится в «Контроль ресурсов» «Устройства». Оставляем не запрещённым только то, что участвует в обработке данных.

Настройка пользователей

Добавляются пользователи во вкладке «Учетные записи», если учетная запись уже создана в системе, можно нажать на лупу и выбрать её. Поля заполнятся автоматически.

У каждой учетной записи не забывайте выставить «Мандатный доступ» в соответствии с РСД .

Важно! У обычных пользователей должна стоять галка «Запретить работу при нарушении целостности», у администратора этой галки стоять не должно. О том, что означает этот функционал, поговорим позже. Также не забывайте, что поле “Логин” изменить нельзя, а все остальные поля можно.

Настройка ресурсов

Настраиваются с помощью вкладки «Права доступа». Всё делается так же, как и с предыдущей СЗИ от НСД. Настраивается «Дискреционное разграничение» (какая учетная запись имеет доступ в какую папку) и «Мандатное разграничение» (под какой сессией пользователи смогут зайти в папку).

У пользователей выставляется стандартное «чтение», «запись», «выполнение», остальное в запрет на родительский объект. На дочерние, которые находятся внутри папки «Документы», выставляется в соответствии с РСД, то есть разрешается ещё удаление.

Важное различие между предыдущей СЗИ от НСД в плане дискреционного доступа заключается в том, что если в Secret Net Studio мы задаём, какие учетные записи будут иметь доступ и обязательно добавляем администратора, то в этой программе добавлять администратора не нужно, а все остальные пользователи по умолчанию контролируются сущностью «Все».

Каталоги на USB носителях настраиваются как обычные папки на компьютере.

Настройка приложений

Вот тут дела обстоят абсолютно по-другому, если сравнивать с предыдущей СЗИ от НСД.

Чтобы настроить приложения, которые будут запускаться под уровнем сессии выше нулевой, администратору необходимо сначала зайти под каждым пользователем по разу (а лучше по два) и запустить каждое используемое в обработке информации программное обеспечение. После чего зайти под администратором, и выполнить настройку шаблоном мандатного доступа (для тех, у которых имеется).

Находится во вкладке «Конфигурация»

А для тех, у которых этого нет, необходимо зайти в папку AppData каждого пользователя. После запуска приложения создадут в папке свои каталоги для временных файлов, ищем их. Когда нашли, делаем эти каталоги разделяемыми:

После настройки, зайдите под пользователем и проверьте, что всё работает.

Если всё хорошо, заходим под администратором и настраиваем контрольные суммы

После выбора алгоритма для расчета, нажмите кнопку “Пересчитать”. Система рассчитает уникальные значения для всего, для чего установлен алгоритм, и будет проверять их на моменте ввода логина и пароля. Если эти суммы на момент ввода логина и пароля не совпадут с теми, что были на момент пересчёта, то компьютер будет заблокирован, и вход будет разрешен только тем учетным записям, у которых не стоит галка «Запретить работу при нарушении целостности».

Пример: на момент нажатия кнопки «пересчитать» у вас был подключен принтер. Смотрим по параметрам, «Контроль целостности прогр. апп.среды (Принтеры)», для параметра рассчитаны суммы. После перезагрузки компьютера принтер сгорает и после ввода логина/пароля от учетной записи, когда система начнёт сравнивать текущие значения в эталонными, они не совпадут, так как на момент расчёта принтер был. Компьютер заблокирован.

Возможные неисправности после настройки

Не печатает принтер – удалите из контроля папку «spool\PRINTERS», данная ошибка возникает из за неправильного шаблона Adobe Reader, разработчики никак починить не могут этот баг

Нарушение контроля программно-аппаратной среды (чего-то конкретно) – Зайти под администратором и пересчитать. Описано в настройках приложений.

Спасибо за внимание! Ваш Cloud4Y.

Администрирование учетных записей в домене Active Directory

В конечном итоге вы сможете применить эти материалы для построения рабочей инфраструктуры либо доработки существующей, которая будет отвечать вашим требованиям.

Забегая вперед, скажу, что тема тесно связана с применением групповых политик для административных целей. Но вследствие обширности материала, посвященного им, она будет раскрыта в рамках следующей статьи.

Знакомство с Active Directory – Users and Computers

После того как вы установили свой первый контроллер в домене (тем самым вы собственно и организовали домен), в разделе «Администрирование» появляется пять новых элементов (см. рис. 1).

Рисунок 1. Новые элементы для администрирования домена

Для управления объектами AD используется Active Directory – Пользователи и компьютеры (ADUC – AD Users and Computers, см. рис. 2), которая также может быть вызвана через меню «Выполнить» посредством DSA.MSC.

Рисунок 2. Active Directory — Users and Computers

С помощью ADUC можно создавать и удалять пользователей, назначать сценарии входа для учетной записи, управлять членством в группах и групповыми политиками.

Существует также возможность для управления объектами AD без обращения к серверу напрямую. Ее обеспечивает пакет ADMINPAK.MSI, расположенный в директории «%SYSTEM_DRIVE%\Windows\system32». Развернув его на своей машине и наделив себя правами администратора домена (если таковых не было), вы сможете администрировать домен.

При открытии ADUC мы увидим ветку нашего домена, содержащую пять контейнеров и организационных единиц.

  • Builtin. Здесь содержатся встроенные локальные группы, которые есть на любой серверной машине, включая и контроллеры домена.
  • Users и Computers. Это контейнеры, в которые по умолчанию размещаются пользователи, группы и учетные записи компьютеров при установке системы поверх Windows NT. Но для создания и хранения новых учетных записей нет необходимости пользоваться только этими контейнерами, пользователя можно создать даже в контейнере домена. При включении компьютера в домен он появляется именно в контейнере Computers.
  • Domain Controllers. Это организационная единица (OU, Organizational Unit), содержащая по умолчанию контроллеры домена. При создании нового контроллера он появляется здесь.
  • ForeignSecurityPrincipals. Это контейнер по умолчанию для объектов из внешних доверяемых доменов.

Важно помнить, что объекты групповых политик привязываются исключительно к домену, OU или сайту. Это нужно учитывать при создании административной иерархии вашего домена.

Вводим компьютер в домен

Процедура выполняется непосредственно на локальной машине, которую мы хотим подключить.

Выбираем «Мой компьютер -> Свойства -> Имя компьютера», нажимаем кнопку «Изменить» и в меню «Является членом» выбираем «домена». Вводим имя домена, в который мы хотим добавить наш компьютер, и далее доказываем, что у нас есть права на добавление рабочих станций к домену, введя аутентификационные данные администратора домена.

Создаем пользователя домена

Для создания пользователя нужно выбрать любой контейнер, в котором он будет располагаться, нажать на нем правой кнопкой мыши и выбрать «Создать -> Пользователь». Откроется мастер создания пользователя. Здесь вы сможете указать множество его атрибутов, начиная с имени пользователя и временными рамками входа в домен и заканчивая настройками для терминальных служб и удаленного доступа. По завершении работы мастера вы получите нового пользователя домена.

Нужно заметить, что в процессе создания пользователя система может «ругаться» на недостаточную сложность пароля или его краткость. Смягчить требования можно, открыв «Политику безопасности домена» (Default Domain Security Settings) и далее «Параметры безопасности -> Политики учетных записей -> Политика паролей».

Пусть мы создали пользователя Иван Иванов в контейнере Users (User Logon Name: ivanov@HQ.local). Если в системах NT 4 это имя играло лишь роль украшения, то в AD оно является частью имени в формате LDAP, которое целиком выглядит так:

cn=»Иван Иванов», cn=»Users», dc=»hq», dc=»local»

Здесь cn – container name, dc – domain component. Описания объектов в формате LDAP используются для выполнения сценариев WSH (Windows Script Hosts) либо для программ, использующих протокол LDAP для связи с Active Directory.

Для входа в домен Иван Иванов должен будет использовать имя в формате UPN (Universal Principal Name): ivanov@hq.local. Также в доменах AD будет понятно написание имени в старом формате NT 4 (пред Win2000), в нашем случае HQ\Ivanov.

При создании учетной записи пользователя ей автоматически присваивается идентификатор защиты (SID, Security Identifier) – уникальный номер, по которому система и определяет пользователей. Это очень важно понимать, так как при удалении учетной записи удаляется и ее SID и никогда не используется повторно. А каждая новая учетная запись будет иметь свой новый SID, именно поэтому она не сможет получить права и привилегии старой.

Учетную запись можно переместить в другой контейнер или OU, отключить или, наоборот, включить, копировать или поменять пароль. Копирование часто применяется для создания нескольких пользователей с одинаковыми параметрами.

Рабочая среда пользователя

Учетные данные, хранящиеся централизованно на сервере, позволяют пользователям однозначно идентифицировать себя в домене и получать соответствующие права и доступ к рабочей среде. Все операционные системы семейства Windows NT используют для создания рабочего окружения на клиентской машине профиль пользователя.

Рассмотрим основные составляющие профиля пользователя:

  • Раздел реестра, соответствующий определенному пользователю («улей» или «hive»). Фактически данные этой ветки реестра хранятся в файле NTUSER.DAT. Он располагается в папке %SYSTEMDRIVE%\Documents and Settings\User_name, которая содержит профиль пользователя. Таким образом, при входе конкретного пользователя в систему в раздел реестра HKEY_CURRENT_USER загружается «улей» NTUSER.DAT из папки, содержащей его профиль. И все изменения настроек пользовательской среды за сеанс будут сохраняться именно в этот «улей». Файл NTUSER.DAT.LOG – это журнал транзакций, который существует для защиты файла NTUSER.DAT. Однако для пользователя Default User вы вряд ли его найдете, поскольку он является шаблоном. Об этом далее. Администратор имеет возможность редактировать «улей» определенного пользователя прямо из своей рабочей среды. Для этого с помощью редактора реестра REGEDIT32 он должен загрузить «улей» в раздел HKEY_USERS, а затем после внесения изменений выгрузить его.
  • Папки файловой системы, содержащие файлы пользовательских настроек. Они располагаются в специальном каталоге %SYSTEMDRIVE%\Documents and Settings\User_name, где User_name – имя пользователя, вошедшего в систему. Здесь хранятся элементы рабочего стола, элементы автозагрузки, документы и др.

Если пользователь впервые входит в систему, происходит следующее:

  1. Система проверяет, существует ли локальный профиль этого пользователя.
  2. Не найдя его, система обращается к контроллеру домена в поиске доменного профиля по умолчанию, который должен располагаться в папке Default User на общем ресурсе NETLOGON; если система обнаружила этот профиль, он копируется локально на машину в папку %SYSTEMDRIVE%\Documents and Settings с именем пользователя, в противном случае он копируется из локальной папки %SYSTEMDRIVE%\Documents and Settings\Default User.
  3. В раздел реестра HKEY_CURRENT_USER загружается пользовательский «улей».
  4. При выходе из системы все изменения сохраняются локально.

В конечном итоге рабочее окружение пользователя – это объединение его рабочего профиля и профиля All Users, в котором находятся общие для всех пользователей данной машины настройки.

Теперь несколько слов о создании профиля по умолчанию для домена. Создайте фиктивный профиль на своей машине, настройте его в соответствии с вашими нуждами либо с требованиями корпоративной политики. Затем выйдите из системы и снова зайдите как администратор домена. На общем ресурсе NETLOGON-сервера создайте папку Default User. Далее при помощи вкладки User Profiles в апплете System (см. рис. 3) скопируйте ваш профиль в эту папку и предоставьте права на ее использование группе Domain Users или какой-либо другой подходящей группе безопасности. Все, профиль по умолчанию для вашего домена создан.

Рисунок 3. Вкладка «User Profiles» апплета System

Active Directory как гибкая и масштабируемая технология позволяет работать в среде вашего предприятия с перемещаемыми профилями, которые мы рассмотрим далее.

Одновременно с этим будет уместным рассказать о перенаправлении папок как одной из возможностей технологии IntelliMirror для обеспечения отказоустойчивости и централизованного хранения пользовательских данных.

Перемещаемые профили хранятся на сервере. Путь к ним указывается в настройках пользователя домена (см. рис. 4).

Рисунок 4. Здесь указывается путь к перемещаемому профилю

При желании можно указать перемещаемые профили для нескольких пользователей одновременно, выделив нескольких пользователей, и в свойствах во вкладке «Профиль» указать %USERNAME% вместо папки с именем пользователя (см. рис. 5).

Рисунок 5. Путь к перемещаемым профилям нескольких пользователей

Процесс первого входа в систему пользователя, обладающего перемещаемым профилем, сродни описанному выше для локального, за некоторым исключением.

Во-первых, раз путь к профилю в объекте пользователя указан, система проверяет наличие кэшированной локальной копии профиля на машине, далее все, как было описано.

Во-вторых, по завершении работы все изменения копируются на сервер, и если групповыми политиками не указано удалять локальную копию, сохраняются на данной машине. Если же пользователь уже имел локальную копию профиля, то серверная и локальная копии профиля сравниваются, и происходит их объединение.

Технология IntelliMirror в системах Windows последних версий позволяет осуществлять перенаправление определенных папок пользователей, таких как «Мои документы», «Мои рисунки» и др., на сетевой ресурс.

Таким образом, для пользователя все проведенные изменения будут абсолютно прозрачны. Сохраняя документы в папку «Мои документы», которая заведомо будет перенаправлена на сетевой ресурс, он даже и не будет подозревать о том, что все сохраняется на сервер.

Настроить перенаправление можно как вручную для каждого пользователя, так и при помощи групповых политик.

В первом случае нужно кликнуть на иконке «Мои документы» на рабочем столе либо в меню «Пуск» правой кнопкой мыши и выбрать свойства. Дальше все предельно просто.

Во-втором случае нужно открыть групповую политику OU или домена, для которых мы хотим применить перенаправление, и раскрыть иерархию «Конфигурация пользователя ‑> Конфигурация Windows» (см. рис. 6). Далее перенаправление настраивается либо для всех пользователей, либо для определенных групп безопасности OU или домена, к которым эта групповая политика будет применяться.

Рисунок 6. Настройка перенаправления папок при помощи групповых политик

Используя перенаправление папок к работе с перемещаемыми профилями пользователей, можно добиться, например, уменьшения времени загрузки профиля. Это при условии того, что перемещаемый профиль загружается всегда с сервера без использования локальной копии.

Рассказ о технологии перенаправления папок был бы неполон без упоминания об автономных файлах. Они позволяют пользователям работать с документами даже при отсутствии подключения к сети. Синхронизация с серверными копиями документов происходит при следующем подключении компьютера к сети. Такая схема организации будет полезна, например, пользователям ноутбуков, работающих как в рамках локальной сети, так и дома.

К недостаткам перемещаемых профилей можно отнести следующее:

  • может возникнуть ситуация, когда, например, на рабочем столе пользователя будут существовать ярлыки некоторых программ, а на другой машине, где захочет поработать обладатель перемещаемого профиля таких программ не установлено, соответственно часть ярлыков не будет работать;
  • многие пользователи имеют привычку хранить документы, а также фотографии и даже видео на рабочем столе, в результате при загрузке перемещаемого профиля с сервера каждый раз создается дополнительный трафик в сети, а сам профиль загружается очень долго; для решения проблемы используйте разрешения NTFS, чтобы ограничить сохранение «мусора» на рабочем столе;
  • каждый раз, когда пользователь входит в систему, для него создается локальный профиль (точнее, профиль с сервера копируется локально), и если меняет рабочие машины, то на каждой из них остается такой «мусор»; этого можно избежать, настроив определенным образом групповые политики («Конфигурация компьютера -> Административные шаблоны -> System -> User Profiles», политика «Delete cached copies of roaming profiles»).

Введение уже существующего пользователя в домен

Зачастую при внедрении службы каталогов в уже существующей сети на базе рабочих групп возникает вопрос о введении пользователя в домен без потери настроек его рабочей среды. Этого можно добиться, используя перемещаемые профили.

Создайте на общем сетевом ресурсе (например, Profiles) на сервере папку с именем пользователя и задайте для нее разрешения на запись для группы Everyone. Пусть она называется HQUser, а полный путь к ней выглядит так: \\Server\Profiles\HQUser.

Создайте пользователя домена, который будет соответствовать пользователю вашей локальной сети, и в качестве пути к профилю укажите \\Server\Profiles\HQUser.

На компьютере, содержащем локальный профиль нашего пользователя, нужно войти под учетной записью администратора и при помощи вкладки User Profiles апплета System скопировать его в папку \\Server\Profiles\HQUser.

Нетрудно понять, что при следующем входе в систему под новой доменной учетной записью наш пользователь загрузит свой рабочий профиль с сервера, и администратору останется лишь решить, оставить этот профиль перемещаемым либо сделать локальным.

Очень часто пользователи загружают ненужной информацией сетевые диски. Чтобы избежать постоянных просьб почистить свои личные папки от ненужного мусора (почему-то он всегда оказывается нужным), можно использовать механизм квотирования. Начиная с Windows 2000 это можно делать стандартными средствами на томах NTFS.

Для включения механизма квотирования и его настройки нужно зайти в свойства локального тома и открыть вкладку «Квота» (Quota) (см. рис. 7).

Рисунок 7. Включение дисковых квот

Далее помечаем «Включить управление квотами» и настраиваем дисковые квоты по умолчанию для всех пользователей, записывающих информацию на этот том.

Также можно посмотреть данные о занимаемом пространстве на диске и настроить квоты отдельно для каждого пользователя (см. рис. 8). Система подсчитывает занимаемое место на диске, основываясь на данных о владельце объектов, суммируя объем принадлежащих ему файлов и папок.

Рисунок 8. Управление дисковыми квотами для отдельных пользователей домена

Группы пользователей в AD

Управление пользователями в рамках домена – задача несложная. Но когда нужно настроить доступ к определенным ресурсам для нескольких десятков (а то и сотен) пользователей, на раздачу прав доступа может уйти уйма времени.

А если возникает необходимость тонко разграничить права участникам нескольких доменов в рамках дерева или леса, перед администратором встает задача сродни задачам из теории множеств. На помощь здесь приходит использование групп.

Основная характеристика групп, встречающихся в рамках домена, была дана в прошлой статье [1], посвященной архитектуре службы каталогов.

Напомню, что локальные группы домена могут включать пользователей своего домена и других доменов в лесу, но область ее действия ограничивается доменом, которому она принадлежит.

Глобальные группы могут включать в себя только пользователей своего домена, но есть возможность их использования для предоставления доступа к ресурсам как в рамках своего, так и другого домена в лесу.

Универсальные группы, соответствуя своему названию, могут содержать пользователей из любого домена и использоваться также для предоставления доступа в рамках всего леса. Не важно, в рамках какого домена универсальная группа будет создана, единственное, стоит учитывать, что при ее перемещении права доступа будут теряться и их необходимо будет переназначить заново.

Чтобы понять описанное выше и основные принципы вложенности групп, рассмотрим пример. Пусть у нас есть лес, содержащий два домена HQ.local и SD.local (какой из них корневой в данном случае, не важно). Каждый из доменов содержит ресурсы, к которым нужно предоставить доступ, и пользователей (см. рис. 9).

Рисунок 9. Предоставление доступа на основе групп

Из рис. 9 видно, что к ресурсам Docs и Distrib должны иметь доступ все пользователи в лесу (зеленые и красные линии), поэтому мы можем создать универсальную группу, содержащую пользователей из обоих доменов, и использовать ее при указании разрешений на доступ к обоим ресурсам. Либо мы можем создать две глобальные группы в каждом домене, которые будут содержать пользователей только своего домена, и включить их в универсальную группу. Любую из этих глобальных групп также можно использовать для назначения прав.

Доступ к каталогу Base должны иметь пользователи только из домена HQ.local (синие линии), поэтому мы включим их в локальную доменную группу, и этой группе предоставим доступ.

Каталогом Distrib будут иметь право пользоваться как члены домена HQ.local, так и члены домена SD.local (оранжевые линии на рис. 9). Поэтому пользователей Manager и Salary мы можем добавить в глобальную группу домена HQ.local, а затем эту группу добавить в локальную группу домена SD.local вместе с пользователем IT. Затем этой локальной группе и предоставить доступ к ресурсу Distrib.

Сейчас мы рассмотрим вложенность этих групп подробнее и рассмотрим еще один тип групп – встроенные локальные доменные группы.

В таблице показано, какие группы в какие могут быть вложены. Здесь по горизонтали расположены группы, в которые вкладываются группы, расположенные по вертикали. Плюс означает, что один вид групп может быть вложен в другой, минус – нет.

На каком-то ресурсе в Интернете, посвященном сертификационным экзаменам Microsoft, я увидел упоминание о такой формуле – AGUDLP, что значит: учетные записи (Account) помещаются в глобальные группы (Global), которые помещаются в универсальные (Universal), которые помещаются в локальные доменные группы (Domain Local), к которым и применяются разрешения (Permissions). Эта формула в полной мере описывает возможность вложенности. Следует добавить, что все эти виды могут быть вложены в локальные группы отдельно взятой машины (локальные доменные исключительно в рамках своего домена).

Вложенность доменных групп

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *