Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.
Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.
В следующей таблице перечислены и описаны предоставляемые пользователю привилегии.
Привилегия
Описание
Значение по умолчанию
Функционирование в виде части операционной системы
Позволяет процессу олицетворять любого пользователя без проверки подлинности. Таким образом, процесс может получить доступ к тем же локальным ресурсам, что и пользователь.
Процессы, требующие эту привилегию, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию. Эта привилегия назначается пользователям, только если на серверах организации запущены Windows 2000 или Windows NT 4.0 и используются приложения с паролями в виде обычного текста.
Добавление рабочих станций в домен
Определяет группы или пользователей, которые могут добавлять рабочие станции в домен.
Это право пользователя используется только для контроллеров доменов. По умолчанию это право имеет любой прошедший проверки подлинности пользователь; он также может создавать до 10 учетных записей компьютера в домене.
Благодаря добавлению учетной записи в домен, компьютер распознает учетные записи и группы, существующие в доменной службе Active Directory (AD DS).
Контроллеры домена. «Прошедшие проверку»
Настройка квот памяти для процесса
Определяет пользователей, которые могут изменять максимальный объем памяти, используемый процессом.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
Архивирование файлов и каталогов
Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при резервном копировании системы.
«Администраторы» и «Операторы архива»
Обход перекрестной проверки
Определяет, какие пользователи могут производить обзор деревьев каталога, даже если у этих пользователей отсутствуют разрешения на каталог. Эта привилегия не позволяет пользователям просматривать содержимое каталога, а позволяет только выполнять обзор.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
Рабочие станции и серверы. «Администраторы», «Операторы архива», «Опытные пользователи», «Пользователи», «Все»
Контроллеры домена. «Администраторы» и «Прошедшие проверку»
Изменение системного времени
Определяет пользователей и группы, которые могут изменять время и дату на внутренних часах компьютера. Пользователи, имеющие данное право, могут изменять внешний вид журналов событий. При изменении системного времени регистрируемые события будут отображать новое время, а не фактическое время возникновения события.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
Рабочие станции и серверы. «Администраторы« и «Опытные пользователи»
Контроллеры домена. «Администраторы» и «Операторы сервера»
Создание файла подкачки
Позволяет создавать файл подкачки и изменять его размер. Для этого в группе Параметры быстродействия на вкладке Дополнительно диалогового окнаСвойства системы следует указать размер файла подкачки для определенного диска.
Создание объекта типа токен
Позволяет процессу создавать токен, который затем может использоваться для доступа к любому локальному ресурсу при применении NtCreateToken() или других API, создающих токен.
Процессы, требующие эту учетную запись, вместо использования отдельной учетной записи пользователя со специально назначенной привилегией должны применять учетную запись «Локальная система», которая уже содержит эту привилегию.
Создание глобальных объектов
Определяет учетные записи, которые могут создавать глобальные объекты в сеансе служб терминалов или служб удаленного рабочего стола.
«Администраторы» и «Локальная система»
Создание постоянных общих объектов
Позволяет процессу создавать объект каталога в диспетчере объектов операционной системы. Эта привилегия полезна для работающих в режиме ядра компонентов, расширяющих пространство имен объекта. Компоненты, работающие в режиме ядра, уже имеют эту привилегию, поэтому назначать ее не нужно.
Определяет пользователей, которые могут прикреплять отладчик к любому процессу или ядру. Разработчикам, выполняющим отладку собственных приложений, это право назначать не нужно. Это право следует назначить разработчикам, выполняющим отладку новых системных компонентов. Это право предоставляет полный доступ к важным компонентам операционной системы.
«Администраторы» и «Локальная система»
Разрешение доверия к учетным записям компьютеров и пользователей при делегировании
Определяет пользователей, которые могут устанавливать параметр Делегирование разрешено в объекте пользователя или компьютера.
Пользователь или объект, получившие это право, должны иметь доступ на запись к управляющим флагам учетной записи объекта пользователя или компьютера. Серверный процесс, выполняемый на компьютере (или в пользовательском контексте), которому разрешено делегирование, может получить доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, пока в учетной записи клиента не будет установлен управляющий флаг Учетная запись не может быть делегирована.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
Контроллеры домена. «Администраторы»
Принудительное удаленное завершение работы
Определяет, кому из пользователей разрешено удаленное завершение работы компьютера. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
Рабочие станции и серверы. «Администраторы»
Контроллеры домена. «Администраторы» и «Операторы сервера»
Создание аудитов безопасности
Определяет, какие учетные записи могут быть использованы процессом для добавления записей в журнал безопасности. Журнал безопасности используется для отслеживания несанкционированного доступа в систему. Неправильное применение этого права пользователя может стать причиной формирования множества событий аудита, которые могут скрыть свидетельства атаки или вызвать отказ в обслуживании, если включен параметр безопасности Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности. Дополнительные сведения см. в разделе Аудит: немедленное отключение системы, если невозможно внести в журнал записи об аудите безопасности (страница может быть на английском языке)(http://go.microsoft.com/fwlink/?LinkId=136299).
Олицетворение клиента после проверки подлинности
Определяет учетные записи, разрешенные для олицетворения других учетных записей.
«Администраторы» и «Служба»
Увеличение приоритета выполнения
Определяет, какие учетные записи могут использовать процесс, имеющий право доступа «Запись свойства» для другого процесса, для увеличения приоритета выполнения, назначенного другому процессу. Пользователь, имеющий данную привилегию, может изменять приоритет выполнения процесса через пользовательский интерфейс диспетчера задач.
Загрузка и выгрузка драйверов устройств
Определяет, кто из пользователей может динамически загружать и выгружать драйверы устройств или другой код в режиме ядра. Данное пользовательское право не применяется к драйверам устройств Plug and Play. Поскольку драйверы устройств выполняются как доверенные (или с высокими привилегиями) программы, не назначайте эту привилегию другим пользователям. Вместо этого используйте API StartService().
Блокировка страниц в памяти
Определяет, какие учетные записи могут использовать процессы для сохранения данных в физической памяти для предотвращения сброса этих данных в виртуальную память на диске. Применение этой привилегии может существенно повлиять на производительность системы, снижая объем доступной оперативной памяти (ОЗУ).
Нет; некоторые системные процессы имеют эту привилегию изначально
Управление аудитом и журналом безопасности
Определяет, кто из пользователей может указывать параметры аудита доступа к объектам для отдельных ресурсов, таких как файлы, объекты Active Directory и разделы реестра.
Данный параметр безопасности не позволяет пользователю включить аудит доступа к файлам и объектам в целом. Для включения такого аудита нужно настроить параметр доступа к объекту «Аудит» в пути «Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Политики аудита». Дополнительные сведения см. в статье Доступ к объекту «Аудит» (страница может быть на английском языке) http://go.microsoft.com/fwlink/?LinkId=136283.
События аудита можно просмотреть в журнале безопасности средства просмотра событий. Пользователь с данной привилегией может также просматривать и очищать журнал безопасности.
Изменение значения параметров аппаратной среды
«Администраторы» и «Локальная система»
Профилирование одного процесса
Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности несистемных процессов.
«Администраторы», «Опытные пользователи» и «Локальная система»
Профилирование производительности системы
Определяет пользователей, которые могут использовать средства мониторинга производительности для отслеживания производительности системных процессов.
«Администраторы» и «Локальная система»
Отключение компьютера от стыковочного узла
Определяет, может ли пользователь отстыковать портативный компьютер от стыковочного узла без входа в систему.
Если данная политика включена, пользователь перед отключением портативного компьютера от стыковочного узла должен войти в систему. Если данная политика отключена, пользователь может отключить портативный компьютер от стыковочного узла, не входя в систему.
Замена токена уровня процесса
Определяет, какие учетные записи пользователей могут инициализировать процесс замены токена по умолчанию, связанного с запущенным подпроцессом.
Это право пользователя определено в объекте групповой политики «Контроллер домена по умолчанию» и локальной политике безопасности рабочих станций и серверов.
«Локальная служба» и «Сетевая служба»
Восстановление файлов и каталогов
Определяет пользователей, которые могут обойти разрешения на файлы, каталоги, реестр и другие постоянные объекты при восстановлении резервных копий файлов и каталогов, а также пользователей, которые могут назначить любого действительного субъекта безопасности владельцем объекта.
В частности, это право пользователя подобно предоставлению следующих разрешений пользователю или группе для всех папок и файлов в системе:
Рабочие станции и серверы. «Администраторы» и «Операторы архива»
Контроллеры домена. «Администраторы», «Операторы архива» и «Операторы сервера»
Завершение работы системы
Определяет пользователей, которые после локального входа в систему могут завершить работу операционной системы при помощи команды Завершить работу. Неправильное применение этого права пользователя может стать причиной отказа в обслуживании.
Определяет пользователей и группы, которые имеют право синхронизировать все данные службы каталогов. Это также называется синхронизацией Active Directory.
Смена владельцев файлов или иных объектов
Определяет пользователей, которые могут стать владельцем любого защищаемого объекта системы, в том числе: объектов Active Directory, файлов и папок, принтеров, разделов реестра, процессов и потоков.
Примечание
Чтобы просмотреть свои привилегии, в командной строке введите whoami /priv.
Безопасность в операционных системах базируется на понятиях учетной записи и предоставляемых ей прав.
Понятие учетной записи
Программа, которая выполняется на компьютере с установленной операционной системой Windows, всегда запущена от имени какого-либо пользователя и обладает данными ему правами. Если вы начали работу на компьютере, введя свое имя и пароль, то любая задача: графический редактор или почтовый клиент, дефрагментация диска или установка новой игры — будет выполняться от этого имени. Если запущенная программа вызывает в свою очередь новую задачу, то она также будет выполняться в контексте вашего имени. Даже программы, являющиеся частью операционной системы, например служба, обеспечивающая печать на принтер, или сама программа, которая запрашивает имя и пароль у пользователя, желающего начать работу на компьютере, выполняются от имени определенной учетной записи (Система). И так же, как программы, запускаемые обычным пользователем, эти службы имеют права и ограничения, которые накладываются используемой учетной записью.
Операционная система «различает» пользователей не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности — Security Identifier — SID), который формируется в момент создания новой учетной записи.
Примечание
Существуют многочисленные утилиты, которые позволяют по имени входа пользователя определить его SID и наоборот. Например, getsid. В статье KB276208 базы знаний Microsoft приведен код на Visual Basic, который позволяет выполнить запросы SID/имя в обычном сценарии. Код хорошо комментирован и легко может быть применен без поиска специализированных утилит. Можно также установить на компьютер утилиты Account Lockout and Management Tools (см. рис. 4.8), которые добавляют к оснастке управления пользователями в домене еще одну вкладку свойств, на которой в том числе отображается и SID пользователя.
Поэтому учетные записи можно легко переименовывать, менять любые иные их параметры. Для операционной системы после этих манипуляций ничего не изменится, поскольку такие операции не затрагивают идентификатор пользователя.
Примечание
При создании новой учетной записи обычно определяются только имя пользователя и его пароль. Но учетным записям пользователей — особенно при работе в компьютерных сетях — можно сопоставить большое количество различных дополнительных параметров: сокращенное и полное имя, номера служебного и домашнего телефонов, адрес электронной почты и право удаленного подключения к системе и т. п. Такие параметры являются дополнительными, их определение и использование на практике зависит от особенностей построения конкретной компьютерной сети. Эти параметры могут быть использованы программным обеспечением, например, для поиска определенных групп пользователей (см., например, группы по запросу).
Стандартные учетные записи имеют идентичные SID (перечень Well Known Security Identifiers приведен, например, в документе KB243330). Например, S-1-5-18 — это SID учетной записи Local System; s-1-5-19 — учетной записи NT Authority\Local Service; SID s-1-5-20 «принадлежит» учетной записи NT Authority\Network Service и т. д. Учетные записи пользователя домена «построены» по такой же структуре, но обычно еще более «нечитаемы». Вот пример реального доменного SID:
Если при изменении имени входа пользователя в систему ничего «существенного» для системы не происходит — пользователь для нее не изменился, то операцию удаления учетной записи и последующего создания пользователя точно с таким же именем входа операционная система будет оценивать как появление нового пользователя. Алгоритм формирования идентификатора безопасности пользователя таков, что практически исключается создание двух учетных записей с одинаковым номером. В результате новый пользователь не сможет, например, получить доступ к почтовому ящику, которым пользовался удаленный сотрудник с таким же именем, и не прочтет зашифрованные им файлы и т. п.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локальные учетные записи создаются на данном компьютере. Информация о них хранится локально (в локальной базе безопасности компьютера) и локально же выполняется аутентификация такой учетной записи (пользователя).
Доменные учетные записи создаются на контроллерах домена. И именно контроллеры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы, при включении компьютера в состав домена Windows производится добавление группы пользователей домена в группу локальных пользователей, а группы администраторов домена — в группу локальных администраторов компьютера. Таким образом, пользователь, аутентифицированный контроллером домена, приобретает права пользователя локального компьютера. А администратор домена получает права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компьютеров — это совершенно различные пользователи. Например, учетная запись, созданная на локальном компьютере с именем входа Иванов, и доменная учетная запись Иванов — это два пользователя. И если установить, что файл доступен для чтения «локальному Иванову», то «доменный Иванов» не сможет получить к нему доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпадает с паролем локального Иванова. Поэтому если на компьютерах одноранговой сети завести одноименных пользователей с одинаковыми паролями, то они смогут получить доступ к совместно используемым ресурсам автономных систем. Но после изменения одного из паролей такой доступ прекратится.
Рис. 4.8. Дополнительные параметры учетной записи
После установки пакета Account Lockout and Management Tools в свойствах учетной записи отображается вкладка, на которой администратор может увидеть в том числе и количество неудачных попыток входа в систему (Bad Password Count) (рис. 4.8). Данную информацию можно получить и выполнив непосредственный запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
При необходимости вы можете создать такой запрос, сохранить его в оснастке управления AD и получать сведения о результатах подключения к домену без установки упомянутого пакета.
Группы пользователей
Разные пользователи должны иметь разные права по отношению к компьютерной системе. Если в организации всего несколько сотрудников, то администратору не представляет особого труда индивидуально распределить нужные разрешения и запреты. Хотя и в этом случае возникают проблемы, например, при переходе сотрудника на другую должность администратор должен вспомнить, какие права были даны ранее, «снять» их и назначить новые, но принципиальной необходимости использования каких-либо объединений, групп пользователей не возникает.
Иная ситуация в средней организации. Назначить права доступа к папке для нескольких десятков сотрудников — достаточно трудоемкая работа. В этом случае удобно распределять права не индивидуально, а по группам пользователей, в результате чего управление системой существенно облегчается. При смене должности пользователя достаточно переместить его в другую группу. При создании новых проектов права доступа к ним будут назначаться на основе существующих групп и т. п. Поскольку книга посвящена, в первую очередь, работе в составе компьютерной сети, уделим особое внимание именно группам, создаваемым в доменах Windows.
Исторически сложилось так, что существует несколько типов групп. Связано это в основном с необходимостью совместимости различных версий операционных систем.
Во-первых, есть группы, которым, как и пользователям, присваивается идентификатор безопасности. Это означает, что вы можете назначать права доступа, основываясь не на индивидуальном членстве, а сразу всей группе пользователей. И есть группы, которые не имеют такого SID. Например, Distribution Group. Объясняется это наличием групповых операций, для которых не нужно контролировать параметры безопасности. Например, создание группы пользователей для распространения программного обеспечения или группы для централизованной рассылки почты. Отсутствие SID не мешает в этом случае правильному функционированию программ, но существенно снижает нагрузку операционной системы.
Во-вторых, группы могут различаться по области действия. Например, существуют локальные группы, глобальные и универсальные.
В-третьих, группы могут иметь постоянных членов (каждый пользователь назначается в соответствующую группу администратором) или основываться на выборке пользователей по каким-либо правилам. Например, можно создать группу, в которую будут включаться пользователи с записью в их свойствах, что они работают в «отделе 22». Изменилось соответствующее поле в свойствах пользователя — и при очередных операциях с данной группой система проведет выборку пользователей, «увидит» новых членов группы и выполнит необходимые действия. Обратите внимание, что такие группы с динамическим членством не имеют SID, т. е. не могут быть использованы для контроля прав доступа.
Примечание
В Windows пользователь «получает» список групп, в которых он состоит, при входе в систему. Поэтому если администратор сменил у пользователя членство в группах, то это изменение начнет действовать только после нового входа в систему. Если пользователь должен быстро получить доступ к ресурсам, ему следует завершить работу в системе (log off) и сразу же вновь войти в нее (log on).
Возможные члены групп. Области применения групп
Универсальные группы появились с выходом ОС Windows 2000. В смешанном режиме допустимы были только группы Distribution Group, при переходе в основной режим стало возможным создавать и универсальные группы безопасности.
Универсальные группы могут включать учетные записи (и другие группы) из любого домена предприятия и могут быть использованы для назначения прав также в любом домене предприятия.
Глобальные группы могут включать другие группы и учетные записи только из того домена, в котором они были созданы. Но группа может быть использована при назначении прав доступа в любом домене.
Локальные группы могут включать объекты как из текущего домена, так и из других доменов. Но они могут быть использованы для назначения прав только в текущем домене.
В группы можно включать как учетные записи пользователей и компьютеров, так и другие группы. Однако возможность вложения зависит от типа группы и области ее действия (табл. 4.3).
Понятие администрирования. Задачи администратора сети
Основной целью администрирования является приведение сети в соответствие с целями и задачами, для которых она предназначена. Администрирование заключается в контроле за работой сетевого оборудования и управление функционированием сети в целом. Администрирование выполняет администратор сети – специалист, отвечающий за нормальное функционирование и использование ресурсов сети. Если более детально, то администрирование информационных систем включает следующие цели:
Вот выписка должностных обязанностей администратора сети:
Если в сети много рабочих станций, которые находятся в разных помещениях и принадлежат разным отделам или лабораториям, имеет смысл создать группу администраторов сети. Права нескольких администраторов сети определяются системным администратором. Не следует предоставлять администраторам сети всех прав системного администратора. Вполне достаточно, если в каждом отделе или лаборатории будет Один-два администратора, которые обладают правами управления, только работающими в данном отделе или лаборатории пользователями. Если в отделе или лаборатории имеется сетевой принтер или какие-либо другие сетевые ресурсы, у администратора должны быть права на управление этими устройствами. Однако вовсе ни к чему, чтобы администратор одной лаборатории мог управлять сетевым принтером, принадлежащим другой лаборатории. При этом пользователи должны иметь минимально необходимые им для нормальной работы права доступа к дискам сервера.
Таким образом, очевидно, что создание групп пользователей актуально только в больших компьютерных сетях. Если сеть небольшая, то и один человек справится с такими вопросами, как добавление новых пользователей, разграничение доступа к дискам сервера, сетевым принтерам и другим сетевым ресурсам и в создании групп администраторов и обычных пользователей смысла нет.
Создание группы пользователей
Теперь в AD щелкните правой кнопкой мыши и выполните команду Создать-Группа ( рис. 55.2 и ( рис. 55.3).
Группа безопасности назначает права доступа к ресурсам сети (администрирует). Группа распространения не может заниматься администрированием, она занимается рассылкой сообщений. Локальная в домене может содержать в себе пользователя любого домена в лесу, но администрировать эта группа может только в том домене, в котором группа создавалась. Глобальная может содержать в себе пользователей из того домена, в котором она была создана, но администрировать они могут любой домен в лесу (если эти домены доверяют друг другу). Универсальная может содержать пользователей из любого домена леса, и эта группа может администрировать любой домен в лесу.
Группа Admin создана ( рис. 55.4. Теперь нужно добавить в нее пользователей.
Щелкнем дважды мышкой на этой группе и на вкладке Член групп нажмем на кнопку Добавить ( рис. 55.5.
Теперь нажмите на кнопку Дополнительно и Поиск ( рис. 55.6.
Теперь если мы щелкнем мышкой на Виктора Шумского в консоли, то мы увидим в его свойствах, что он является членом сразу двух групп ( рис. 55.7.
