Учетные записи пользователей и групп Windows Server
Учебные вопросы
Учебный вопрос 1. Учетные записи пользователей. Планирование и создание
Учетные записи
Типы учетных записей
Учебный вопрос 2. Администрирование учетных записей
Добавление учетной записи
Удаление учетной записи
Просмотр учетных записей
Изменение атрибутов учетной записи
Свойства учетной записи
Свойства учетной записи
Активация/отключение учетной записи пользователя
Локальные учетные записи по-умолчанию
Учетная запись «Администратор»
Учетная запись «Гость»
Учетная запись HelpAssistant
Группы по-умолчанию
Защита локальной учетной записи «Администратор»
Учебный вопрос 3
Устройство Active Directory
Структура Active Directory
Пример структуры Active Directory
Физическая структура
Репликация
Сведения об учетных записях Active Directory
Шаблоны учетных записей
Настройки по-умолчанию
Рекомендации по безопасности доменных учетных записей
Консоль управления Active Directory (dsa.mmc)
Типы учетных записей в Active Directory
Учетная запись компьютера в Active Directory
Учетная запись пользователя в Active Directory
Учетная запись группы в Active Directory
Типы групп
Области действия групп
Учетная запись InetOrgPerson в Active Directory
Учетная запись контакта в Active Directory
Учетная запись псевдонима очереди MSMQ в Active Directory
Учетная запись принтера в Active Directory
Учетная запись общей папки в Active Directory
Планирование учетных записей
Планирование политики сетевой безопасности
Планирование групп
Azure Active Directory
Azure AD и AD
Синхронизация Active Directory и Azure Active Directory
Сценарий синхронизации каталога
Синхронизация Active Directory с помощью сценария синхронизации паролей
Синхронизация Active Directory с помощью сценария единого входа
Учебный вопрос 4. Политики безопасности учетных записей
Практическое применение политики безопасности
Виды политик безопасности
Локальная политика безопасности
Особенность локальной групповой политки
Локальная групповая политика (gpedit.msc)
Политика паролей
Предустановленные политики паролей
Групповая политика
Типы групповой политики
Категории групповой политики
Обработка нескольких GPO
2.37M
Category: softwaresoftware

Учетные записи пользователей и групп Windows Server

1. Учетные записи пользователей и групп Windows Server

Тема № 4

2. Учебные вопросы

1.
2.
3.
4.
Учетные записи пользователей
Администрирование учетных записей
Active Directory
Политики безопасности учетных записей
2

3. Учебный вопрос 1. Учетные записи пользователей. Планирование и создание

Пользовательская учетная запись содержит
пользовательское имя и пароль, которые используются
человеком для входа на локальный компьютер или в
домен
3

4. Учетные записи

Пользовательские учетные записи используются также
как:
• средство предоставления полномочий пользователю
• применения скриптов (сценариев) входа
• назначения профилей и домашних папок
• привязки других свойств рабочей среды для данного
пользователя
4

5. Типы учетных записей

Локальные учетные
записи
Доменные учетные
записи
• создаются и
сохраняются в базе
данных безопасности
компьютера
• используются в среде
рабочей группы
• авторизоваться
можно только
локально
• хранятся на
контроллерах домена
• позволяют
авторизоваться на
любом, входящем в
домен компьютере
Группы
• пользователь может
принадлежать
нескольким группам
• группы могут быть
вложенными
5

6. Учебный вопрос 2. Администрирование учетных записей

• Добавление учетной записи пользователя
• Удаление учетной записи пользователя
• Просмотр учетных записей пользователей
• Изменение атрибутов учетной записи
• Активация/отключение учетной записи пользователя
6

7. Добавление учетной записи

• указывать имя и пароль для учетной записи пользователя
• определять учетную запись с правами администратора или
обычного пользователя
• выбирать общие папки, к которым учетная запись
пользователя может получать доступ
• указывать, имеет ли учетная запись пользователя
удаленный доступ к сети
• выбирать параметры электронной почты, если это
применимо
7

8. Удаление учетной записи

• Осуществляется с помощью мастера
• В качестве альтернативы одновременно с удалением
учетной записи пользователя также можно удалить
файлы для этой записи
8

9. Просмотр учетных записей

Осуществляется с помощью консоли mmc и оснастки
«Локальные пользователи и группы
9

10. Изменение атрибутов учетной записи

• Каждая учетная запись имеет одинаковый набор
атрибутов, но с разными значениями
• Наиболее важные атрибуты:
• Имя пользователя
• Пароль
• Состояние учетной записи
10

11. Свойства учетной записи

11

12. Свойства учетной записи

12

13. Активация/отключение учетной записи пользователя

Учетная запись «Администратор» активна
Учетная запись «Гость» отключена
13

14. Локальные учетные записи по-умолчанию

По-умолчанию присутствуют учетные записи:
• Администратор
• Гость (Отключена по-умолчанию)
• Help Assistant
14

15. Учетная запись «Администратор»

• Является первой учетной записи, которая создается во
время установки для всех операционных систем
Windows Server, а также для клиентских операционных
систем Windows
• Ее нельзя удалить, но рекомендуется ее отключать
• Для работы всегда требуется создать отдельную
учетную запись с необходимыми правами
15

16. Учетная запись «Гость»

• По умолчанию при установке отключена гостевая
учетная запись
• Учетная запись гостя позволяет случайные или
однократное, не имеющие учетную запись на
компьютере, временно входа пользователей в
локальный сервер или клиентский компьютер с
ограниченными правами
• По умолчанию гостевая учетная запись имеет пустой
пароль
16

17. Учетная запись HelpAssistant

• Учетная запись "Помощник" по умолчанию включена
при запуске сеанса удаленного помощника Windows
• Сеанс удаленного помощника Windows можно
использовать для соединения с сервера на другой
компьютер под управлением операционной системы
Windows
17

18. Группы по-умолчанию

18

19. Защита локальной учетной записи «Администратор»

• Для входа на компьютер с учетной записью обычного
пользователя
• Использовать элемент управления учетных записей (UAC)
для ввода разрешение или пароль администратора перед
выполнением задачи
• Запретить доступ по удаленному рабочему столу (RDP)
• Запретить вход в сеть для всех локальных учетных записей
администратора
• Создать уникальные пароли локальных учетных записей с
правами администратора
19

20. Учебный вопрос 3

• Active Directory — LDAP-совместимая реализация службы
каталогов корпорации Microsoft для операционных систем
семейства Windows Server
• Позволяет администраторам использовать групповые политики
для обеспечения единообразия настройки пользовательской
рабочей среды, разворачивать программное обеспечение на
множестве компьютеров через групповые политики или
посредством System Center Configuration Manager
• Хранит данные и настройки среды в централизованной базе
данных
• Сети Active Directory могут быть различного размера: от
нескольких десятков до нескольких миллионов объектов
20

21. Устройство Active Directory

• Active Directory имеет иерархическую структуру,
состоящую из объектов
• Объекты разделяются на три основные категории:
• ресурсы (например, принтеры)
• службы (например, электронная почта)
• учётные записи пользователей и компьютеров
21

22.

22

23. Структура Active Directory

• Верхним уровнем структуры является лес — совокупность
всех объектов, атрибутов и правил в Active Directory
• Лес содержит одно или несколько деревьев, связанных
транзитивными отношениями доверия
• Дерево содержит один или несколько доменов, также
связанных в иерархию транзитивными отношениями
доверия
• Домены идентифицируются своими структурами имён DNS
— пространствами имён
23

24. Пример структуры Active Directory

24

25. Физическая структура

• Физически информация хранится на одном или нескольких
равнозначных контроллерах доменов
• Каждый контроллер домена хранит копию данных,
предназначенную для чтения и записи
• Изменения, сделанные на одном контроллере,
синхронизируются на все контроллеры домена при
репликации
• Серверы, на которых сама служба Active Directory не
установлена, но которые при этом входят в домен Active
Directory, называются рядовыми серверами
25

26. Репликация

• Репликация — это есть механизм
синхронизации или скажем по
другому - механизм устранения
различий между двумя копиями
данных а в нашем случае базы
данных Active Directory
• Репликация — это процесс, под
которым понимается копирование
данных из одного источника на
множество других и наоборот
26

27. Сведения об учетных записях Active Directory

• Учетные записи пользователей Active Directory
представляют физические объекты, например людей. Их
можно также использовать в качестве выделенных учетных
записей служб для некоторых приложений
• Учетные записи пользователей также называются
субъектами безопасности. Субъекты безопасности — это
объекты службы каталогов, которым автоматически
назначаются идентификаторы безопасности (SID); их
можно использовать для доступа к доменным ресурсам.
Учетная запись пользователя:
• Удостоверяет личность пользователя
• Разрешает или запрещает доступ к ресурсам домена
27

28. Шаблоны учетных записей

• Используются для того чтобы не
задавать по нескольку раз одни и
те-же свойства атрибутов учетной
записи
• В качестве шаблона может
использовать любая учетная
запись
• Рекомендуется выставлять
атрибут «Отключена» у
шаблонной учетной записи,
чтобы активировать их вручную
28

29. Настройки по-умолчанию

Аналогично локальным учетным записям и группам
• Предустановленные учетные записи (Администратор, Гость,
Помощник и т.д.)
• Предустановленные группы
+
• Учетная запись KRBTGT. является локальной по умолчанию
учетной записью, которая выступает в качестве учетной
записи службы для службы центра распространения ключей
(KDC)
29

30. Рекомендации по безопасности доменных учетных записей

• Строго ограничьте членство в группе администраторов
домена, администраторов и администраторов
предприятия
• Жестко контролировать, где и как используются
учетные записи домена
30

31. Консоль управления Active Directory (dsa.mmc)

31

32. Типы учетных записей в Active Directory


Компьютер
Пользователь
Группа
InetOrgPerson
Контакт
Псевдоним очереди
MSMQ
• Принтер
• Общая папка
32

33. Учетная запись компьютера в Active Directory

• Когда в домен добавляется компьютер под
управлением Microsoft для него создается учетная
запись компьютера
• Учетные записи компьютеров служат для
аутентификации компьютеров, которые обращаются к
сети и ресурсам домена
33

34. Учетная запись пользователя в Active Directory

• Учетная запись пользователя - это
набор атрибутов для пользователя
• Объект-пользователь хранится в
Active Directory и позволяет
пользователю входить в сеть
• Пользователь должен указать
удостоверения (имя и пароль)
только один раз, затем ему
предоставляются соответствующие
разрешения на доступ к сетевым
ресурсам
34

35. Учетная запись группы в Active Directory

• Это набор пользователей,
компьютеров или других групп,
для которого можно задать
разрешения
• Задавая разрешения группам и
добавляя члены в эти группы,
можно сэкономить время,
поскольку не приходится
назначать разрешения каждому
отдельно взятому члену группы
35

36. Типы групп

• Локальные группы хранятся в базе данных защиты локального
компьютера и предназначены для управления доступом к ресурсам
этого компьютера
• Группы уровня домена хранятся в Active Directory и позволяют
помещать в них пользователей и управлять доступом к ресурсам
домена и его контроллеров
• Группы безопасности:
• используются для объединения в одну административную единицу;
• используются ОС.
• Группы распространения:
• используются приложениями (не ОС) для задач, не связанных с защитой.
36

37. Области действия групп

• Глобальные группы:
• содержат учетные записи пользователей и компьютеров только того домена, в
котором создана эта группа;
• им можно назначать разрешения или добавлять в локальные группы любого
домена в данном лесу.
• Локальные группы домена:
• существуют на контроллерах домена и используются для управления доступом
к ресурсам локального домена;
• могут включать пользователей и глобальные группы в пределах леса.
• Универсальные группы:
• используются для назначения разрешений доступа к ресурсам нескольких
доменов;
• существуют вне границ доменов;
• могут включать пользователей, глобальные группы и другие универсальные
группы в пределах леса.
37

38. Учетная запись InetOrgPerson в Active Directory

• Учетная запись InetOrgPerson
работает во многом аналогично
учетной записи пользователя за
исключением того, что учетные
записи InetOrgPerson совместимы с
другими службами каталогов,
основанными на LDAP
• Это обеспечивает совместимость
между Active Directory и другими
системами
38

39. Учетная запись контакта в Active Directory

• Этот объект хранится в
Active Directory, но для
него не задаются
разрешения
• Часто контакты связывают
с пользователями,
работающими вне сети,
которым отправляет
сообщения почтовая
система
39

40. Учетная запись псевдонима очереди MSMQ в Active Directory

• Служба очереди сообщений (также
известная как MSMQ) предоставляет
приложениям, выполняющимся в
разное время, возможность
обмениваться информацией, не
принимая во внимание
гетерогенность сетей и
операционных систем, которые
могут быть временно вне сети
• Приложения отправляют сообщения
в очереди и получают сообщения из
очередей
40

41. Учетная запись принтера в Active Directory

• Active Directory облегчает
пользователям поиск и установку
принтеров
• Необходимые принтеры будут
подключены пользователям
автоматические
41

42. Учетная запись общей папки в Active Directory

• Представляет общую папку.
• Объект является ссылкой на
общий сетевой ресурс и не
содержит никаких данных
42

43. Планирование учетных записей

• Учетные записи компьютеров можно помещать в OU и
назначать им групповую политику
• Можно установить разные политики для компьютеров
в различных OU
• Можно определять пользователей, которые вправе
добавлять компьютеры в домен, создавая их учетные
записи
• Необходимо продумать соглашение об именовании
компьютеров
43

44. Планирование политики сетевой безопасности

• Контроллеры домена должны проверять идентификацию
пользователя или компьютера, прежде чем предоставить
доступ к системным и сетевым ресурсам
• Правила:
• Политика блокировки учетных записей (рекомендуемое
значение для пользователя - 5 попыток).
• Ограничение времени, в которое разрешен вход.
• Политика истечения сроков билетов (tickets) (значение по
умолчанию - 10 часов).
• Не использовать административные учетные записи для
обычной работы.
• Переименовать или отключить встроенные учетные записи.
44

45. Планирование групп

• Избегать выдачи разрешений учетным записям
• Создавать локальные группы домена
• Для упорядочивания пользователей использовать
глобальные группы
• Помещать глобальные группы в локальные группы
домена
• Не включать пользователей в универсальные группы
45

46. Azure Active Directory

• Azure Active Directory - инструмент для создания и
управления учетными записями пользователей,
применыемых в различных облачных службах
Microsoft
• Azure представляет собой комплексный набор
облачных служб, которые разработчики и ИТспециалисты используют для создания и
развертывания приложений, а также управления ими
через глобальную сеть центров обработки данных
https://azure.microsoft.com/ru-ru/free/
46

47. Azure AD и AD

• как и локальная Active Directory, Azure Active Directory
аутентифицирует пользователей и предоставляет им
доступ к приложениям.
• Однако, Azure Active Directory предназначена для
работы пользователь не в локальной инфраструктуре,
а при работе со сторонними облачными
приложениями, такими как Office365 и Windows Intune
47

48. Синхронизация Active Directory и Azure Active Directory

• Сценарий синхронизации каталога
• Синхронизация Active Directory с помощью сценария
синхронизации паролей
• Синхронизация Active Directory с помощью сценария
единого входа
48

49. Сценарий синхронизации каталога

• позволяет автоматически синхронизировать с
облаком новые учетные записи пользователей и групп
• обновления к существующим учетным записям в
локальной Active Directory
• настроить клиент для работы в комбинированных
сценариях с использованием Office 365
• включить решения многофакторной проверки
подлинности в облаке
49

50. Синхронизация Active Directory с помощью сценария синхронизации паролей

• Предыдущее +
• дает возможность пользователям задействовать
пароль от локальной учетной записи для доступа к
облачным приложениям и службам
50

51. Синхронизация Active Directory с помощью сценария единого входа

• не поддерживает возможность включения решения
многофакторной аутентификации в облаке
• обеспечивает проверку подлинности пользователей в
локальном каталоге Active Directory
• позволяет реализовать сценарии единого входа с
использованием корпоративных учетных данных
• настроить страницу для единого входа и ограничить доступ
к облачным службам и приложениям по местоположению,
типу клиента или конечной точке Exchange клиента
51

52. Учебный вопрос 4. Политики безопасности учетных записей

• Параметры безопасности — это правила, которые
администраторы задают на компьютере или нескольких
компьютерах с целью защиты ресурсов на компьютере или в
сети
• Объекты групповой политики связаны с контейнерами Active
Directory, такими как сайты, домены или подразделения, и
позволяют администраторам управлять параметрами
безопасности множества компьютеров с любого компьютера,
присоединенного к тому же домену
• Параметры безопасности выступают как составная часть
общей реализации системы безопасности и помогают
защитить контроллеры доменов, клиенты и другие ресурсы
организации
52

53. Практическое применение политики безопасности

Параметры безопасности позволяют управлять:
• проверкой подлинности пользователя в сети или на
компьютере
• кругом ресурсов, к которым разрешен доступ
пользователю
• регистрацией действий пользователя или группы в
журнале событий
• членством в группе
53

54. Виды политик безопасности

Локальная политика
безопасности
• Создается на
локальном компьютере
• Действительна только
для локального
компьютера
Групповая политика
безопасности
• Создается на
контроллере домена
• Действует для всех
компьютеров домена
54

55. Локальная политика безопасности

55

56. Особенность локальной групповой политки

• Локальная групповая политика – это групповая
политика, воздействующая только на локальный
компьютер
• Локальные политики можно применять при
отсутствии домена, например для настройки
отдельных компьютеров или в небольших
одноранговых сетях
56

57. Локальная групповая политика (gpedit.msc)

Конфигурация компьютера
Конфигурация пользователя
57

58. Политика паролей

Политика паролей — это набор правил, которые
определяют, каким образом создаются и используются
пароли.
Характеристики паролей:
• Длина пароля
• Сложность пароля. Сложные пароли содержат строчные и
прописные буквы (a–z, A–Z), цифры (0–9) и неалфавитные
символы (например, !, @, #, _,-)
• Срок действия пароля. В Windows Server требуется, чтобы
пользователи меняли свои пароли, по крайней мере, один
раз в 180 дней
58

59. Предустановленные политики паролей

• Слабый. Можно указать любой непустой пароль.
• Средний. Эти пароли должны содержать, по крайней
мере, 5 символов. Сложный пароль не требуется.
• Средний или Высокий. Эти пароли должны содержать, по
крайней мере, 5 символов и включать в себя буквы, цифры
и символы.
• Высокий. Эти пароли должны содержать по крайней мере
7 символов и включать в себя буквы, цифры и символы.
Эти пароли являются более надежными, но могут
оказаться более сложными для запоминания.
59

60. Групповая политика

• Групповая политика — это набор правил или настроек, в
соответствии с которыми производится настройка рабочей
среды приёма/передачи
• Групповые политики создаются в домене и реплицируются в
рамках домена
• Объект групповой политики (GPO) состоит из двух физически
раздельных составляющих:
• контейнера групповой политики
• шаблона групповой политики
• Эти два компонента содержат в себе все данные о параметрах
рабочей среды, которая включается в состав объекта
групповой политики
60

61. Типы групповой политики

• Конфигурация компьютера. Используется для
задания групповых политик, применяемых к
определенным компьютерам
• Конфигурация пользователя. Используется для
задания групповых политик, применяемых к
определенным пользователям
61

62. Категории групповой политики

• Параметры программ. Категория содержит параметры для
установки программного обеспечения на клиентских
компьютерах, к которым применяется групповая политика
• Параметры Windows. Категория предназначена для
изменения ряда параметров конфигурации, связанных со
средой Windows
• Административные шаблоны. Категория содержит все
параметры групповой политики, хранящиеся в реестре,
которые можно использовать для конфигураций
компьютеров и пользователей.
62

63. Обработка нескольких GPO

GPO обрабатываются в следующем порядке:
• локальный GPO
• GPO сайта
• GPO домена
• GPO OU
63
English     Русский Rules