Учетные записи пользователей и групп Windows Server

1. Учетные записи пользователей и групп Windows Server

Тема № 4

2. Учебные вопросы

1.
2.
3.
4.
Учетные записи пользователей
Администрирование учетных записей
Active Directory
Политики безопасности учетных записей
2

3. Учебный вопрос 1. Учетные записи пользователей. Планирование и создание

Пользовательская учетная запись содержит
пользовательское имя и пароль, которые используются
человеком для входа на локальный компьютер или в
домен
3

4. Учетные записи

Пользовательские учетные записи используются также
как:
• средство предоставления полномочий пользователю
• применения скриптов (сценариев) входа
• назначения профилей и домашних папок
• привязки других свойств рабочей среды для данного
пользователя
4

5. Типы учетных записей

Локальные учетные
записи
Доменные учетные
записи
• создаются и
сохраняются в базе
данных безопасности
компьютера
• используются в среде
рабочей группы
• авторизоваться
можно только
локально
• хранятся на
контроллерах домена
• позволяют
авторизоваться на
любом, входящем в
домен компьютере
Группы
• пользователь может
принадлежать
нескольким группам
• группы могут быть
вложенными
5

6. Учебный вопрос 2. Администрирование учетных записей

• Добавление учетной записи пользователя
• Удаление учетной записи пользователя
• Просмотр учетных записей пользователей
• Изменение атрибутов учетной записи
• Активация/отключение учетной записи пользователя
6

7. Добавление учетной записи

• указывать имя и пароль для учетной записи пользователя
• определять учетную запись с правами администратора или
обычного пользователя
• выбирать общие папки, к которым учетная запись
пользователя может получать доступ
• указывать, имеет ли учетная запись пользователя
удаленный доступ к сети
• выбирать параметры электронной почты, если это
применимо
7

8. Удаление учетной записи

• Осуществляется с помощью мастера
• В качестве альтернативы одновременно с удалением
учетной записи пользователя также можно удалить
файлы для этой записи
8

9. Просмотр учетных записей

Осуществляется с помощью консоли mmc и оснастки
«Локальные пользователи и группы
9

10. Изменение атрибутов учетной записи

• Каждая учетная запись имеет одинаковый набор
атрибутов, но с разными значениями
• Наиболее важные атрибуты:
• Имя пользователя
• Пароль
• Состояние учетной записи
10

11. Свойства учетной записи

11

12. Свойства учетной записи

12

13. Активация/отключение учетной записи пользователя

Учетная запись «Администратор» активна
Учетная запись «Гость» отключена
13

14. Локальные учетные записи по-умолчанию

По-умолчанию присутствуют учетные записи:
• Администратор
• Гость (Отключена по-умолчанию)
• Help Assistant
14

15. Учетная запись «Администратор»

• Является первой учетной записи, которая создается во
время установки для всех операционных систем
Windows Server, а также для клиентских операционных
систем Windows
• Ее нельзя удалить, но рекомендуется ее отключать
• Для работы всегда требуется создать отдельную
учетную запись с необходимыми правами
15

16. Учетная запись «Гость»

• По умолчанию при установке отключена гостевая
учетная запись
• Учетная запись гостя позволяет случайные или
однократное, не имеющие учетную запись на
компьютере, временно входа пользователей в
локальный сервер или клиентский компьютер с
ограниченными правами
• По умолчанию гостевая учетная запись имеет пустой
пароль
16

17. Учетная запись HelpAssistant

• Учетная запись "Помощник" по умолчанию включена
при запуске сеанса удаленного помощника Windows
• Сеанс удаленного помощника Windows можно
использовать для соединения с сервера на другой
компьютер под управлением операционной системы
Windows
17

18. Группы по-умолчанию

18

19. Защита локальной учетной записи «Администратор»

• Для входа на компьютер с учетной записью обычного
пользователя
• Использовать элемент управления учетных записей (UAC)
для ввода разрешение или пароль администратора перед
выполнением задачи
• Запретить доступ по удаленному рабочему столу (RDP)
• Запретить вход в сеть для всех локальных учетных записей
администратора
• Создать уникальные пароли локальных учетных записей с
правами администратора
19

20. Учебный вопрос 3

• Active Directory — LDAP-совместимая реализация службы
каталогов корпорации Microsoft для операционных систем
семейства Windows Server
• Позволяет администраторам использовать групповые политики
для обеспечения единообразия настройки пользовательской
рабочей среды, разворачивать программное обеспечение на
множестве компьютеров через групповые политики или
посредством System Center Configuration Manager
• Хранит данные и настройки среды в централизованной базе
данных
• Сети Active Directory могут быть различного размера: от
нескольких десятков до нескольких миллионов объектов
20

21. Устройство Active Directory

• Active Directory имеет иерархическую структуру,
состоящую из объектов
• Объекты разделяются на три основные категории:
• ресурсы (например, принтеры)
• службы (например, электронная почта)
• учётные записи пользователей и компьютеров
21

22.

22

23. Структура Active Directory

• Верхним уровнем структуры является лес — совокупность
всех объектов, атрибутов и правил в Active Directory
• Лес содержит одно или несколько деревьев, связанных
транзитивными отношениями доверия
• Дерево содержит один или несколько доменов, также
связанных в иерархию транзитивными отношениями
доверия
• Домены идентифицируются своими структурами имён DNS
— пространствами имён
23

24. Пример структуры Active Directory

24

25. Физическая структура

• Физически информация хранится на одном или нескольких
равнозначных контроллерах доменов
• Каждый контроллер домена хранит копию данных,
предназначенную для чтения и записи
• Изменения, сделанные на одном контроллере,
синхронизируются на все контроллеры домена при
репликации
• Серверы, на которых сама служба Active Directory не
установлена, но которые при этом входят в домен Active
Directory, называются рядовыми серверами
25

26. Репликация

• Репликация — это есть механизм
синхронизации или скажем по
другому - механизм устранения
различий между двумя копиями
данных а в нашем случае базы
данных Active Directory
• Репликация — это процесс, под
которым понимается копирование
данных из одного источника на
множество других и наоборот
26

27. Сведения об учетных записях Active Directory

• Учетные записи пользователей Active Directory
представляют физические объекты, например людей. Их
можно также использовать в качестве выделенных учетных
записей служб для некоторых приложений
• Учетные записи пользователей также называются
субъектами безопасности. Субъекты безопасности — это
объекты службы каталогов, которым автоматически
назначаются идентификаторы безопасности (SID); их
можно использовать для доступа к доменным ресурсам.
Учетная запись пользователя:
• Удостоверяет личность пользователя
• Разрешает или запрещает доступ к ресурсам домена
27

28. Шаблоны учетных записей

• Используются для того чтобы не
задавать по нескольку раз одни и
те-же свойства атрибутов учетной
записи
• В качестве шаблона может
использовать любая учетная
запись
• Рекомендуется выставлять
атрибут «Отключена» у
шаблонной учетной записи,
чтобы активировать их вручную
28

29. Настройки по-умолчанию

Аналогично локальным учетным записям и группам
• Предустановленные учетные записи (Администратор, Гость,
Помощник и т.д.)
• Предустановленные группы
+
• Учетная запись KRBTGT. является локальной по умолчанию
учетной записью, которая выступает в качестве учетной
записи службы для службы центра распространения ключей
(KDC)
29

30. Рекомендации по безопасности доменных учетных записей

• Строго ограничьте членство в группе администраторов
домена, администраторов и администраторов
предприятия
• Жестко контролировать, где и как используются
учетные записи домена
30

31. Консоль управления Active Directory (dsa.mmc)

31

32. Типы учетных записей в Active Directory

Компьютер
Пользователь
Группа
InetOrgPerson
Контакт
Псевдоним очереди
MSMQ
• Принтер
• Общая папка
32

33. Учетная запись компьютера в Active Directory

• Когда в домен добавляется компьютер под
управлением Microsoft для него создается учетная
запись компьютера
• Учетные записи компьютеров служат для
аутентификации компьютеров, которые обращаются к
сети и ресурсам домена
33

34. Учетная запись пользователя в Active Directory

• Учетная запись пользователя - это
набор атрибутов для пользователя
• Объект-пользователь хранится в
Active Directory и позволяет
пользователю входить в сеть
• Пользователь должен указать
удостоверения (имя и пароль)
только один раз, затем ему
предоставляются соответствующие
разрешения на доступ к сетевым
ресурсам
34

35. Учетная запись группы в Active Directory

• Это набор пользователей,
компьютеров или других групп,
для которого можно задать
разрешения
• Задавая разрешения группам и
добавляя члены в эти группы,
можно сэкономить время,
поскольку не приходится
назначать разрешения каждому
отдельно взятому члену группы
35

36. Типы групп

• Локальные группы хранятся в базе данных защиты локального
компьютера и предназначены для управления доступом к ресурсам
этого компьютера
• Группы уровня домена хранятся в Active Directory и позволяют
помещать в них пользователей и управлять доступом к ресурсам
домена и его контроллеров
• Группы безопасности:
• используются для объединения в одну административную единицу;
• используются ОС.
• Группы распространения:
• используются приложениями (не ОС) для задач, не связанных с защитой.
36

37. Области действия групп

• Глобальные группы:
• содержат учетные записи пользователей и компьютеров только того домена, в
котором создана эта группа;
• им можно назначать разрешения или добавлять в локальные группы любого
домена в данном лесу.
• Локальные группы домена:
• существуют на контроллерах домена и используются для управления доступом
к ресурсам локального домена;
• могут включать пользователей и глобальные группы в пределах леса.
• Универсальные группы:
• используются для назначения разрешений доступа к ресурсам нескольких
доменов;
• существуют вне границ доменов;
• могут включать пользователей, глобальные группы и другие универсальные
группы в пределах леса.
37

38. Учетная запись InetOrgPerson в Active Directory

• Учетная запись InetOrgPerson
работает во многом аналогично
учетной записи пользователя за
исключением того, что учетные
записи InetOrgPerson совместимы с
другими службами каталогов,
основанными на LDAP
• Это обеспечивает совместимость
между Active Directory и другими
системами
38

39. Учетная запись контакта в Active Directory

• Этот объект хранится в
Active Directory, но для
него не задаются
разрешения
• Часто контакты связывают
с пользователями,
работающими вне сети,
которым отправляет
сообщения почтовая
система
39

40. Учетная запись псевдонима очереди MSMQ в Active Directory

• Служба очереди сообщений (также
известная как MSMQ) предоставляет
приложениям, выполняющимся в
разное время, возможность
обмениваться информацией, не
принимая во внимание
гетерогенность сетей и
операционных систем, которые
могут быть временно вне сети
• Приложения отправляют сообщения
в очереди и получают сообщения из
очередей
40

41. Учетная запись принтера в Active Directory

• Active Directory облегчает
пользователям поиск и установку
принтеров
• Необходимые принтеры будут
подключены пользователям
автоматические
41

42. Учетная запись общей папки в Active Directory

• Представляет общую папку.
• Объект является ссылкой на
общий сетевой ресурс и не
содержит никаких данных
42

43. Планирование учетных записей

• Учетные записи компьютеров можно помещать в OU и
назначать им групповую политику
• Можно установить разные политики для компьютеров
в различных OU
• Можно определять пользователей, которые вправе
добавлять компьютеры в домен, создавая их учетные
записи
• Необходимо продумать соглашение об именовании
компьютеров
43

44. Планирование политики сетевой безопасности

• Контроллеры домена должны проверять идентификацию
пользователя или компьютера, прежде чем предоставить
доступ к системным и сетевым ресурсам
• Правила:
• Политика блокировки учетных записей (рекомендуемое
значение для пользователя - 5 попыток).
• Ограничение времени, в которое разрешен вход.
• Политика истечения сроков билетов (tickets) (значение по
умолчанию - 10 часов).
• Не использовать административные учетные записи для
обычной работы.
• Переименовать или отключить встроенные учетные записи.
44

45. Планирование групп

• Избегать выдачи разрешений учетным записям
• Создавать локальные группы домена
• Для упорядочивания пользователей использовать
глобальные группы
• Помещать глобальные группы в локальные группы
домена
• Не включать пользователей в универсальные группы
45

46. Azure Active Directory

• Azure Active Directory - инструмент для создания и
управления учетными записями пользователей,
применыемых в различных облачных службах
Microsoft
• Azure представляет собой комплексный набор
облачных служб, которые разработчики и ИТспециалисты используют для создания и
развертывания приложений, а также управления ими
через глобальную сеть центров обработки данных
https://azure.microsoft.com/ru-ru/free/
46

47. Azure AD и AD

• как и локальная Active Directory, Azure Active Directory
аутентифицирует пользователей и предоставляет им
доступ к приложениям.
• Однако, Azure Active Directory предназначена для
работы пользователь не в локальной инфраструктуре,
а при работе со сторонними облачными
приложениями, такими как Office365 и Windows Intune
47

48. Синхронизация Active Directory и Azure Active Directory

• Сценарий синхронизации каталога
• Синхронизация Active Directory с помощью сценария
синхронизации паролей
• Синхронизация Active Directory с помощью сценария
единого входа
48

49. Сценарий синхронизации каталога

• позволяет автоматически синхронизировать с
облаком новые учетные записи пользователей и групп
• обновления к существующим учетным записям в
локальной Active Directory
• настроить клиент для работы в комбинированных
сценариях с использованием Office 365
• включить решения многофакторной проверки
подлинности в облаке
49

50. Синхронизация Active Directory с помощью сценария синхронизации паролей

• Предыдущее +
• дает возможность пользователям задействовать
пароль от локальной учетной записи для доступа к
облачным приложениям и службам
50

51. Синхронизация Active Directory с помощью сценария единого входа

• не поддерживает возможность включения решения
многофакторной аутентификации в облаке
• обеспечивает проверку подлинности пользователей в
локальном каталоге Active Directory
• позволяет реализовать сценарии единого входа с
использованием корпоративных учетных данных
• настроить страницу для единого входа и ограничить доступ
к облачным службам и приложениям по местоположению,
типу клиента или конечной точке Exchange клиента
51

52. Учебный вопрос 4. Политики безопасности учетных записей

• Параметры безопасности — это правила, которые
администраторы задают на компьютере или нескольких
компьютерах с целью защиты ресурсов на компьютере или в
сети
• Объекты групповой политики связаны с контейнерами Active
Directory, такими как сайты, домены или подразделения, и
позволяют администраторам управлять параметрами
безопасности множества компьютеров с любого компьютера,
присоединенного к тому же домену
• Параметры безопасности выступают как составная часть
общей реализации системы безопасности и помогают
защитить контроллеры доменов, клиенты и другие ресурсы
организации
52

53. Практическое применение политики безопасности

Параметры безопасности позволяют управлять:
• проверкой подлинности пользователя в сети или на
компьютере
• кругом ресурсов, к которым разрешен доступ
пользователю
• регистрацией действий пользователя или группы в
журнале событий
• членством в группе
53

54. Виды политик безопасности

Локальная политика
безопасности
• Создается на
локальном компьютере
• Действительна только
для локального
компьютера
Групповая политика
безопасности
• Создается на
контроллере домена
• Действует для всех
компьютеров домена
54

55. Локальная политика безопасности

55

56. Особенность локальной групповой политки

• Локальная групповая политика – это групповая
политика, воздействующая только на локальный
компьютер
• Локальные политики можно применять при
отсутствии домена, например для настройки
отдельных компьютеров или в небольших
одноранговых сетях
56

57. Локальная групповая политика (gpedit.msc)

Конфигурация компьютера
Конфигурация пользователя
57

58. Политика паролей

Политика паролей — это набор правил, которые
определяют, каким образом создаются и используются
пароли.
Характеристики паролей:
• Длина пароля
• Сложность пароля. Сложные пароли содержат строчные и
прописные буквы (a–z, A–Z), цифры (0–9) и неалфавитные
символы (например, !, @, #, _,-)
• Срок действия пароля. В Windows Server требуется, чтобы
пользователи меняли свои пароли, по крайней мере, один
раз в 180 дней
58

59. Предустановленные политики паролей

• Слабый. Можно указать любой непустой пароль.
• Средний. Эти пароли должны содержать, по крайней
мере, 5 символов. Сложный пароль не требуется.
• Средний или Высокий. Эти пароли должны содержать, по
крайней мере, 5 символов и включать в себя буквы, цифры
и символы.
• Высокий. Эти пароли должны содержать по крайней мере
7 символов и включать в себя буквы, цифры и символы.
Эти пароли являются более надежными, но могут
оказаться более сложными для запоминания.
59

60. Групповая политика

• Групповая политика — это набор правил или настроек, в
соответствии с которыми производится настройка рабочей
среды приёма/передачи
• Групповые политики создаются в домене и реплицируются в
рамках домена
• Объект групповой политики (GPO) состоит из двух физически
раздельных составляющих:
• контейнера групповой политики
• шаблона групповой политики
• Эти два компонента содержат в себе все данные о параметрах
рабочей среды, которая включается в состав объекта
групповой политики
60

61. Типы групповой политики

• Конфигурация компьютера. Используется для
задания групповых политик, применяемых к
определенным компьютерам
• Конфигурация пользователя. Используется для
задания групповых политик, применяемых к
определенным пользователям
61

62. Категории групповой политики

• Параметры программ. Категория содержит параметры для
установки программного обеспечения на клиентских
компьютерах, к которым применяется групповая политика
• Параметры Windows. Категория предназначена для
изменения ряда параметров конфигурации, связанных со
средой Windows
• Административные шаблоны. Категория содержит все
параметры групповой политики, хранящиеся в реестре,
которые можно использовать для конфигураций
компьютеров и пользователей.
62

63. Обработка нескольких GPO

GPO обрабатываются в следующем порядке:
• локальный GPO
• GPO сайта
• GPO домена
• GPO OU
63