Similar presentations:
Учетные записи пользователей и групп Windows Server
1. Учетные записи пользователей и групп Windows Server
Тема № 42. Учебные вопросы
1.2.
3.
4.
Учетные записи пользователей
Администрирование учетных записей
Active Directory
Политики безопасности учетных записей
2
3. Учебный вопрос 1. Учетные записи пользователей. Планирование и создание
Пользовательская учетная запись содержитпользовательское имя и пароль, которые используются
человеком для входа на локальный компьютер или в
домен
3
4. Учетные записи
Пользовательские учетные записи используются такжекак:
• средство предоставления полномочий пользователю
• применения скриптов (сценариев) входа
• назначения профилей и домашних папок
• привязки других свойств рабочей среды для данного
пользователя
4
5. Типы учетных записей
Локальные учетныезаписи
Доменные учетные
записи
• создаются и
сохраняются в базе
данных безопасности
компьютера
• используются в среде
рабочей группы
• авторизоваться
можно только
локально
• хранятся на
контроллерах домена
• позволяют
авторизоваться на
любом, входящем в
домен компьютере
Группы
• пользователь может
принадлежать
нескольким группам
• группы могут быть
вложенными
5
6. Учебный вопрос 2. Администрирование учетных записей
• Добавление учетной записи пользователя• Удаление учетной записи пользователя
• Просмотр учетных записей пользователей
• Изменение атрибутов учетной записи
• Активация/отключение учетной записи пользователя
6
7. Добавление учетной записи
• указывать имя и пароль для учетной записи пользователя• определять учетную запись с правами администратора или
обычного пользователя
• выбирать общие папки, к которым учетная запись
пользователя может получать доступ
• указывать, имеет ли учетная запись пользователя
удаленный доступ к сети
• выбирать параметры электронной почты, если это
применимо
7
8. Удаление учетной записи
• Осуществляется с помощью мастера• В качестве альтернативы одновременно с удалением
учетной записи пользователя также можно удалить
файлы для этой записи
8
9. Просмотр учетных записей
Осуществляется с помощью консоли mmc и оснастки«Локальные пользователи и группы
9
10. Изменение атрибутов учетной записи
• Каждая учетная запись имеет одинаковый наборатрибутов, но с разными значениями
• Наиболее важные атрибуты:
• Имя пользователя
• Пароль
• Состояние учетной записи
10
11. Свойства учетной записи
1112. Свойства учетной записи
1213. Активация/отключение учетной записи пользователя
Учетная запись «Администратор» активнаУчетная запись «Гость» отключена
13
14. Локальные учетные записи по-умолчанию
По-умолчанию присутствуют учетные записи:• Администратор
• Гость (Отключена по-умолчанию)
• Help Assistant
14
15. Учетная запись «Администратор»
• Является первой учетной записи, которая создается вовремя установки для всех операционных систем
Windows Server, а также для клиентских операционных
систем Windows
• Ее нельзя удалить, но рекомендуется ее отключать
• Для работы всегда требуется создать отдельную
учетную запись с необходимыми правами
15
16. Учетная запись «Гость»
• По умолчанию при установке отключена гостеваяучетная запись
• Учетная запись гостя позволяет случайные или
однократное, не имеющие учетную запись на
компьютере, временно входа пользователей в
локальный сервер или клиентский компьютер с
ограниченными правами
• По умолчанию гостевая учетная запись имеет пустой
пароль
16
17. Учетная запись HelpAssistant
• Учетная запись "Помощник" по умолчанию включенапри запуске сеанса удаленного помощника Windows
• Сеанс удаленного помощника Windows можно
использовать для соединения с сервера на другой
компьютер под управлением операционной системы
Windows
17
18. Группы по-умолчанию
1819. Защита локальной учетной записи «Администратор»
• Для входа на компьютер с учетной записью обычногопользователя
• Использовать элемент управления учетных записей (UAC)
для ввода разрешение или пароль администратора перед
выполнением задачи
• Запретить доступ по удаленному рабочему столу (RDP)
• Запретить вход в сеть для всех локальных учетных записей
администратора
• Создать уникальные пароли локальных учетных записей с
правами администратора
19
20. Учебный вопрос 3
• Active Directory — LDAP-совместимая реализация службыкаталогов корпорации Microsoft для операционных систем
семейства Windows Server
• Позволяет администраторам использовать групповые политики
для обеспечения единообразия настройки пользовательской
рабочей среды, разворачивать программное обеспечение на
множестве компьютеров через групповые политики или
посредством System Center Configuration Manager
• Хранит данные и настройки среды в централизованной базе
данных
• Сети Active Directory могут быть различного размера: от
нескольких десятков до нескольких миллионов объектов
20
21. Устройство Active Directory
• Active Directory имеет иерархическую структуру,состоящую из объектов
• Объекты разделяются на три основные категории:
• ресурсы (например, принтеры)
• службы (например, электронная почта)
• учётные записи пользователей и компьютеров
21
22.
2223. Структура Active Directory
• Верхним уровнем структуры является лес — совокупностьвсех объектов, атрибутов и правил в Active Directory
• Лес содержит одно или несколько деревьев, связанных
транзитивными отношениями доверия
• Дерево содержит один или несколько доменов, также
связанных в иерархию транзитивными отношениями
доверия
• Домены идентифицируются своими структурами имён DNS
— пространствами имён
23
24. Пример структуры Active Directory
2425. Физическая структура
• Физически информация хранится на одном или несколькихравнозначных контроллерах доменов
• Каждый контроллер домена хранит копию данных,
предназначенную для чтения и записи
• Изменения, сделанные на одном контроллере,
синхронизируются на все контроллеры домена при
репликации
• Серверы, на которых сама служба Active Directory не
установлена, но которые при этом входят в домен Active
Directory, называются рядовыми серверами
25
26. Репликация
• Репликация — это есть механизмсинхронизации или скажем по
другому - механизм устранения
различий между двумя копиями
данных а в нашем случае базы
данных Active Directory
• Репликация — это процесс, под
которым понимается копирование
данных из одного источника на
множество других и наоборот
26
27. Сведения об учетных записях Active Directory
• Учетные записи пользователей Active Directoryпредставляют физические объекты, например людей. Их
можно также использовать в качестве выделенных учетных
записей служб для некоторых приложений
• Учетные записи пользователей также называются
субъектами безопасности. Субъекты безопасности — это
объекты службы каталогов, которым автоматически
назначаются идентификаторы безопасности (SID); их
можно использовать для доступа к доменным ресурсам.
Учетная запись пользователя:
• Удостоверяет личность пользователя
• Разрешает или запрещает доступ к ресурсам домена
27
28. Шаблоны учетных записей
• Используются для того чтобы незадавать по нескольку раз одни и
те-же свойства атрибутов учетной
записи
• В качестве шаблона может
использовать любая учетная
запись
• Рекомендуется выставлять
атрибут «Отключена» у
шаблонной учетной записи,
чтобы активировать их вручную
28
29. Настройки по-умолчанию
Аналогично локальным учетным записям и группам• Предустановленные учетные записи (Администратор, Гость,
Помощник и т.д.)
• Предустановленные группы
+
• Учетная запись KRBTGT. является локальной по умолчанию
учетной записью, которая выступает в качестве учетной
записи службы для службы центра распространения ключей
(KDC)
29
30. Рекомендации по безопасности доменных учетных записей
• Строго ограничьте членство в группе администраторовдомена, администраторов и администраторов
предприятия
• Жестко контролировать, где и как используются
учетные записи домена
30
31. Консоль управления Active Directory (dsa.mmc)
3132. Типы учетных записей в Active Directory
Компьютер
Пользователь
Группа
InetOrgPerson
Контакт
Псевдоним очереди
MSMQ
• Принтер
• Общая папка
32
33. Учетная запись компьютера в Active Directory
• Когда в домен добавляется компьютер подуправлением Microsoft для него создается учетная
запись компьютера
• Учетные записи компьютеров служат для
аутентификации компьютеров, которые обращаются к
сети и ресурсам домена
33
34. Учетная запись пользователя в Active Directory
• Учетная запись пользователя - этонабор атрибутов для пользователя
• Объект-пользователь хранится в
Active Directory и позволяет
пользователю входить в сеть
• Пользователь должен указать
удостоверения (имя и пароль)
только один раз, затем ему
предоставляются соответствующие
разрешения на доступ к сетевым
ресурсам
34
35. Учетная запись группы в Active Directory
• Это набор пользователей,компьютеров или других групп,
для которого можно задать
разрешения
• Задавая разрешения группам и
добавляя члены в эти группы,
можно сэкономить время,
поскольку не приходится
назначать разрешения каждому
отдельно взятому члену группы
35
36. Типы групп
• Локальные группы хранятся в базе данных защиты локальногокомпьютера и предназначены для управления доступом к ресурсам
этого компьютера
• Группы уровня домена хранятся в Active Directory и позволяют
помещать в них пользователей и управлять доступом к ресурсам
домена и его контроллеров
• Группы безопасности:
• используются для объединения в одну административную единицу;
• используются ОС.
• Группы распространения:
• используются приложениями (не ОС) для задач, не связанных с защитой.
36
37. Области действия групп
• Глобальные группы:• содержат учетные записи пользователей и компьютеров только того домена, в
котором создана эта группа;
• им можно назначать разрешения или добавлять в локальные группы любого
домена в данном лесу.
• Локальные группы домена:
• существуют на контроллерах домена и используются для управления доступом
к ресурсам локального домена;
• могут включать пользователей и глобальные группы в пределах леса.
• Универсальные группы:
• используются для назначения разрешений доступа к ресурсам нескольких
доменов;
• существуют вне границ доменов;
• могут включать пользователей, глобальные группы и другие универсальные
группы в пределах леса.
37
38. Учетная запись InetOrgPerson в Active Directory
• Учетная запись InetOrgPersonработает во многом аналогично
учетной записи пользователя за
исключением того, что учетные
записи InetOrgPerson совместимы с
другими службами каталогов,
основанными на LDAP
• Это обеспечивает совместимость
между Active Directory и другими
системами
38
39. Учетная запись контакта в Active Directory
• Этот объект хранится вActive Directory, но для
него не задаются
разрешения
• Часто контакты связывают
с пользователями,
работающими вне сети,
которым отправляет
сообщения почтовая
система
39
40. Учетная запись псевдонима очереди MSMQ в Active Directory
• Служба очереди сообщений (такжеизвестная как MSMQ) предоставляет
приложениям, выполняющимся в
разное время, возможность
обмениваться информацией, не
принимая во внимание
гетерогенность сетей и
операционных систем, которые
могут быть временно вне сети
• Приложения отправляют сообщения
в очереди и получают сообщения из
очередей
40
41. Учетная запись принтера в Active Directory
• Active Directory облегчаетпользователям поиск и установку
принтеров
• Необходимые принтеры будут
подключены пользователям
автоматические
41
42. Учетная запись общей папки в Active Directory
• Представляет общую папку.• Объект является ссылкой на
общий сетевой ресурс и не
содержит никаких данных
42
43. Планирование учетных записей
• Учетные записи компьютеров можно помещать в OU иназначать им групповую политику
• Можно установить разные политики для компьютеров
в различных OU
• Можно определять пользователей, которые вправе
добавлять компьютеры в домен, создавая их учетные
записи
• Необходимо продумать соглашение об именовании
компьютеров
43
44. Планирование политики сетевой безопасности
• Контроллеры домена должны проверять идентификациюпользователя или компьютера, прежде чем предоставить
доступ к системным и сетевым ресурсам
• Правила:
• Политика блокировки учетных записей (рекомендуемое
значение для пользователя - 5 попыток).
• Ограничение времени, в которое разрешен вход.
• Политика истечения сроков билетов (tickets) (значение по
умолчанию - 10 часов).
• Не использовать административные учетные записи для
обычной работы.
• Переименовать или отключить встроенные учетные записи.
44
45. Планирование групп
• Избегать выдачи разрешений учетным записям• Создавать локальные группы домена
• Для упорядочивания пользователей использовать
глобальные группы
• Помещать глобальные группы в локальные группы
домена
• Не включать пользователей в универсальные группы
45
46. Azure Active Directory
• Azure Active Directory - инструмент для создания иуправления учетными записями пользователей,
применыемых в различных облачных службах
Microsoft
• Azure представляет собой комплексный набор
облачных служб, которые разработчики и ИТспециалисты используют для создания и
развертывания приложений, а также управления ими
через глобальную сеть центров обработки данных
https://azure.microsoft.com/ru-ru/free/
46
47. Azure AD и AD
• как и локальная Active Directory, Azure Active Directoryаутентифицирует пользователей и предоставляет им
доступ к приложениям.
• Однако, Azure Active Directory предназначена для
работы пользователь не в локальной инфраструктуре,
а при работе со сторонними облачными
приложениями, такими как Office365 и Windows Intune
47
48. Синхронизация Active Directory и Azure Active Directory
• Сценарий синхронизации каталога• Синхронизация Active Directory с помощью сценария
синхронизации паролей
• Синхронизация Active Directory с помощью сценария
единого входа
48
49. Сценарий синхронизации каталога
• позволяет автоматически синхронизировать соблаком новые учетные записи пользователей и групп
• обновления к существующим учетным записям в
локальной Active Directory
• настроить клиент для работы в комбинированных
сценариях с использованием Office 365
• включить решения многофакторной проверки
подлинности в облаке
49
50. Синхронизация Active Directory с помощью сценария синхронизации паролей
• Предыдущее +• дает возможность пользователям задействовать
пароль от локальной учетной записи для доступа к
облачным приложениям и службам
50
51. Синхронизация Active Directory с помощью сценария единого входа
• не поддерживает возможность включения решениямногофакторной аутентификации в облаке
• обеспечивает проверку подлинности пользователей в
локальном каталоге Active Directory
• позволяет реализовать сценарии единого входа с
использованием корпоративных учетных данных
• настроить страницу для единого входа и ограничить доступ
к облачным службам и приложениям по местоположению,
типу клиента или конечной точке Exchange клиента
51
52. Учебный вопрос 4. Политики безопасности учетных записей
• Параметры безопасности — это правила, которыеадминистраторы задают на компьютере или нескольких
компьютерах с целью защиты ресурсов на компьютере или в
сети
• Объекты групповой политики связаны с контейнерами Active
Directory, такими как сайты, домены или подразделения, и
позволяют администраторам управлять параметрами
безопасности множества компьютеров с любого компьютера,
присоединенного к тому же домену
• Параметры безопасности выступают как составная часть
общей реализации системы безопасности и помогают
защитить контроллеры доменов, клиенты и другие ресурсы
организации
52
53. Практическое применение политики безопасности
Параметры безопасности позволяют управлять:• проверкой подлинности пользователя в сети или на
компьютере
• кругом ресурсов, к которым разрешен доступ
пользователю
• регистрацией действий пользователя или группы в
журнале событий
• членством в группе
53
54. Виды политик безопасности
Локальная политикабезопасности
• Создается на
локальном компьютере
• Действительна только
для локального
компьютера
Групповая политика
безопасности
• Создается на
контроллере домена
• Действует для всех
компьютеров домена
54
55. Локальная политика безопасности
5556. Особенность локальной групповой политки
• Локальная групповая политика – это групповаяполитика, воздействующая только на локальный
компьютер
• Локальные политики можно применять при
отсутствии домена, например для настройки
отдельных компьютеров или в небольших
одноранговых сетях
56
57. Локальная групповая политика (gpedit.msc)
Конфигурация компьютераКонфигурация пользователя
57
58. Политика паролей
Политика паролей — это набор правил, которыеопределяют, каким образом создаются и используются
пароли.
Характеристики паролей:
• Длина пароля
• Сложность пароля. Сложные пароли содержат строчные и
прописные буквы (a–z, A–Z), цифры (0–9) и неалфавитные
символы (например, !, @, #, _,-)
• Срок действия пароля. В Windows Server требуется, чтобы
пользователи меняли свои пароли, по крайней мере, один
раз в 180 дней
58
59. Предустановленные политики паролей
• Слабый. Можно указать любой непустой пароль.• Средний. Эти пароли должны содержать, по крайней
мере, 5 символов. Сложный пароль не требуется.
• Средний или Высокий. Эти пароли должны содержать, по
крайней мере, 5 символов и включать в себя буквы, цифры
и символы.
• Высокий. Эти пароли должны содержать по крайней мере
7 символов и включать в себя буквы, цифры и символы.
Эти пароли являются более надежными, но могут
оказаться более сложными для запоминания.
59
60. Групповая политика
• Групповая политика — это набор правил или настроек, всоответствии с которыми производится настройка рабочей
среды приёма/передачи
• Групповые политики создаются в домене и реплицируются в
рамках домена
• Объект групповой политики (GPO) состоит из двух физически
раздельных составляющих:
• контейнера групповой политики
• шаблона групповой политики
• Эти два компонента содержат в себе все данные о параметрах
рабочей среды, которая включается в состав объекта
групповой политики
60
61. Типы групповой политики
• Конфигурация компьютера. Используется длязадания групповых политик, применяемых к
определенным компьютерам
• Конфигурация пользователя. Используется для
задания групповых политик, применяемых к
определенным пользователям
61
62. Категории групповой политики
• Параметры программ. Категория содержит параметры дляустановки программного обеспечения на клиентских
компьютерах, к которым применяется групповая политика
• Параметры Windows. Категория предназначена для
изменения ряда параметров конфигурации, связанных со
средой Windows
• Административные шаблоны. Категория содержит все
параметры групповой политики, хранящиеся в реестре,
которые можно использовать для конфигураций
компьютеров и пользователей.
62
63. Обработка нескольких GPO
GPO обрабатываются в следующем порядке:• локальный GPO
• GPO сайта
• GPO домена
• GPO OU
63