Ochrona Windows NT
Workstation
h
Porównanie ochrony stacji roboczej
i domeny
Różnice między systemami ochrony do-
meny i stacji roboczej. Współpraca obu
systemów w instalacji sieciowej.
h
Dołączanie stacji roboczej do domeny
W tym rozdziale skupimy się na problematy-
ce ochrony sieci z perspektywy Windows NT
Workstation. Systemy operacyjne Windows
NT Serwer oraz Windows NT Workstation
mają wiele wspólnych cech. Zasadnicza róż-
nica miedzy nimi, polega na odmiennych
rozwiązaniach ochrony. Stacja robocza Win-
dows NT Workstation, nawet jeżeli jest ele-
mentem domeny, ma swoją własną bazę kont
i tworzy własny system ochrony uprawnień.
Jak dołączyć stację roboczą do domeny.
Tworzenie konta komputera, przy pomocy
Menedżera serwerów.
h
Ochrona zasobów stacji roboczej
Jak chronić zasoby składowane na stacji
roboczej. Do zarządzania zasobami współ-
dzielonymi stacji roboczej i serwera stosu-
je się te same metody.
Część II Implementacja systemu ochrony Microsoft Windows NT
248
Podobieństwa i różnice w systemach ochrony stacji
roboczej i domeny
Windows NT Serwer oraz Windows NT Workstation mają wiele wspól-
nych cech. Wyglądają tak samo, ponieważ wykorzystują ten sam interfejs
graficzny Windows 95 (GUI) i opierają się na tej samej architekturze ją-
dra. Oba systemy wykorzystują bazę danych chronionych kont do wery-
fikacji uprawnień użytkowników oraz mogą udostępniać swoje zasoby
poprzez sieć. Niezależnie od podobieństw, są to oddzielne produkty,
przeznaczone do różnych zadań.
Główną ideą przyświecającą projektowi Windows NT Workstation było
dostarczenie systemu operacyjnego, jak najbardziej przyjaznego dla
użytkownika, zarejestrowanego lokalnie. Z drugiej strony Windows NT
Serwer jest przeznaczony do zarządzania dostępem do plików siecio-
wych, dlatego działanie systemu nie było optymalizowane pod kątem
przyjazności dla lokalnego użytkownika. Ze względu na tę zasadniczą
różnicę, Windows NT Workstation nie może współpracować z domeną
jako główny, a nawet zapasowy kontroler domeny oraz nigdy nie jest
używany do weryfikacji użytkowników rejestrujących się w domenie.
Stacja robocza Windows NT Workstation posiada własną bazę chronio-
nych kont, którą wykorzystuje do kontroli uprawnień użytkowników
lokalnych. Windows Nt Workstation Stacja robocza może być elementem
domeny. W takim przypadku, użytkownik stacji roboczej może wybrać
między rejestracją lokalną, a rejestracją w domenie. Jeśli użytkownik chce
zarejestrować się w domenie, stacja robocza przesyła żądanie potwier-
dzenia uprawnień do kontrolera domeny, który dokonuje weryfikacji
w oparciu o bazę kont domeny, a nie lokalną bazę stacji.
Można zapytać o wynikające stąd różnice podczas procesu weryfikacji
jak i po zarejestrowaniu się w systemie.
Odpowiedź zależy od rodzaju zasobów, do których żądamy dostępu.
Rozróżniamy dwa typy zasobów:
Zasoby domeny - zasoby umieszczone na serwerach składających się na
środowisko domeny. Dostęp do tych zasobów jest przydzielany
w oparciu o bazę chronionych kont użytkowników domeny. Aby uzy-
skać dostęp do zasobów, użytkownik musi mieć założone konto
w domenie (lub w domenie upoważnionej) oraz posiadać odpowied-
nie uprawnienia dostępu.
Zasoby stacji roboczej - zasoby umieszczone na stacji roboczej. Przyzna-
ne uprawnienia do zasobów lokalnych są weryfikowane w oparciu
o bazę chronionych kont stacji roboczej.
Ochrona Windows NT Wokstation
249
Użytkownik rejestrujący się w Windows NT Workstation na stacji robo-
czej przy użyciu konta z bazy lokalnej, nie może uzyskać dostępu do
zasobów domeny, o ile nie spełnia następujących warunków wstępnych:
1. Posiada kopię konta (identyfikator oraz hasło) w domenie, z której
chce korzystać.
2. Kopia konta wyposażona jest w odpowiednie uprawnienia dostępu
do zasobów.
Troszkę prościej wygląda sytuacja, jeśli stacja robocza jest elementem
domeny. W tym przypadku zarówno dostęp do zasobów domeny, jak
i do zasobów stacji lokalnej możliwy jest poprzez jednorazową rejestrację
w domenie. Powodem jest relacja upoważnienia między domeną a stacją
roboczą zawiązana w chwili dołączania stacji do domeny. Sytuacja jest
bardzo podobna do rejestracji z serwera w domenie upoważnionej. Użyt-
kownik może opcjonalnie rejestrować się na koncie bazy lokalnej lub na
koncie domeny.
Jeśli stacja robocza jest elementem domeny, dostęp do zasobów lokalnych
może być udostępniony nie tylko kontom lokalnym ale i kontom dome-
ny. Układ między stacją lokalną a domeną, należy sobie wyobrażać jako
ministrukturę dwóch domen połączonych jednostronną relacją upoważ-
nienia. Domena jest elementem upoważnionym (domeną kont), a stacja
robocza pełni rolę minidomeny upoważniającej. Stacja robocza zezwala
korzystać ze swoich zasobów kontom domeny, do której jest dołączona.
Przyłączanie Windows NT Workstation do domeny
Windows NT Workstation można dołączyć do domeny w procesie insta-
lacji, albo później. Stacja robocza może nawet zmieniać przynależność do
domeny. Jedynym warunkiem takiego zabiegu jest założenie odpowied-
niego konta w domenie docelowej. Konto komputera jest wykorzystywa-
ne analogicznie jak konto użytkownika, z tą różnicą, że reprezentuje sta-
cję roboczą. Umożliwia ustanowienie relacji upoważnienia między do-
meną a stacją roboczą, a następnie przesyłanie żądania rejestracji do kon-
trolera domeny.
Konto komputera może być utworzone przed dołączeniem stacji do do-
meny bądź w procesie łączenia. Jeśli komputer lokalny nie jest elemen-
tem domeny, to jej administrator może dodać nazwę stacji, wykorzystując
program narzędziowy Serwer Manager (Menedżer serwerów). Jeśli konto
komputera jest tworzone podczas dołączania stacji roboczej, to admini-
strator domeny musi wprowadzić swój identyfikator i hasło podczas
procesu na stacji roboczej.
Część II Implementacja systemu ochrony Microsoft Windows NT
250
Tworzenie konta komputera dla Windows NT Workstation
Administrator domeny, do której ma być dołączona stacja robocza, może
dodać konto jej komputera do bazy domeny, zanim odpowiednia proce-
dura instalacyjna zostanie uruchomiona na stacji roboczej. Taka kolejność
umożliwia indywidualną konfigurację Windows NT Workstation
i połączenie jej z domeną bez wprowadzania nazwy konta i hasła admi-
nistratora domeny.
Administrator tworzy konto komputera programem narzędziowym me-
nedżer serwerów. Jeśli konto istnieje, stacja robocza jest gotowa na dołą-
czenie do domeny, po czym użytkownicy stacji lokalnej będą mogli się
rejestrować używając konta domeny. Ponieważ kontom domeny wolno
udzielić odpowiednich uprawnień dostępu, stosowanie ich na stacji robo-
czej umożliwia korzystanie zarówno z zasobów domeny, jak i maszyny
lokalnej.
Rozważmy przykład: Struktura sieci składa się z
dwóch domen
o nazwach ADMIN i SHARES, które są połączone jednostronną relacją
upoważnienia. Domena ADMIN zawiera bazę kont wszystkich użyt-
kowników sieci oraz pewną liczbę zasobów współdzielonych; jest ona
także upoważniona przez domenę SHARES, która jest typową domeną
zasobów. Użytkownicy, którzy rejestrują się w sieci na koncie domeny
ADMIN, mają, pod warunkiem posiadania odpowiednich uprawnień,
dostęp do zasobów obu domen.
Przypuśćmy, że stacja robocza nie jest elementem domeny ADMIN.
Użytkownicy rejestrujący się na stacji używają kont z bazy lokalnej i nie
mogą się rejestrować za pomocą nazwy konta i hasła z domeny ADMIN.
Jeśli chcą skorzystać z zasobów stacji roboczej, to nie mają żadnych pro-
blemów. Aby uzyskać dostęp do zasobów domeny ADMIN, muszą mieć,
w domenie, konto o tej samej nazwie i tym samym haśle co na stacji robo-
czej.
Taki sam warunek musi spełniać użytkownik stacji roboczej, który pra-
gnie mieć dostęp do zbiorów domeny SHARES. Ponieważ domena
SHARES zawiera jedynie konta predefiniowane, bez zmiany zasad
ochrony, jej zasoby nie są dostępne użytkownikowi stacji roboczej.
W kolejnym przykładzie stacja robocza zostanie dołączona do domeny
ADMIN. Aby dodać konto stacji roboczej do domeny, należy:
1. Zarejestrować się w domenie ADMIN z uprawnieniami administrato-
ra, a następnie uruchomić program Server Manaer.
2. Wybrać opcję Add to Domain z menu Computer, celem otwarcia, przed-
stawionego na rysunku 9.1, okna Add Computer To Domain.
Ochrona Windows NT Wokstation
251
Rysunek 9.1
Dodanie konta komputera do
domeny umożliwia użytkow-
nikom korzystanie z bazy
kont domeny.
3. Zaznaczyć wybur opcji Windows NT Workstation or Server w grupie
Computer Type
.
4. Wpisać nazwę komputera w polu edycji Computer Name.
5. Wcisnąć przycisk Add, aby dołączyć konto komputera. Zakończyć
pracę wciskając przycisk Close.
Nazwa komputera Windows NT Workstation powinna widnieć na liście
pośród innych elementów domeny.
Dołączanie Windows NT Workstation do domeny podczas instalacji
Podczas instalacji Windows NT Workstation, odpowiednie okno dialo-
gowe umożliwia wybór miedzy dołączeniem stacji roboczej do domeny
a udziałem w grupie roboczej. Przynależność do domeny umożliwi użyt-
kownikom rejestrującym się na stacji lokalnej korzystanie ze swoich kont
w domenie. Domyślnym wyborem na tym poziomie instalacji jest dołą-
czenie stacji do grupy roboczej. Różnica wynikająca z przynależności do
grupy roboczej, polega na innej metodzie weryfikacji użytkowników
Rejestrując się na stacji z grupy roboczej, użytkownik jest identyfikowany
na podstawie lokalnej bazy kont. Nazwa grupy roboczej, służy jedynie do
grupowania komputerów. Komputery należące do grupy roboczej wy-
stępują na liście przeglądarki pod wspólnym nazwą grupy.
Aby dołączyć stację do domeny, należy we wspomnianym oknie dialo-
gowym wybrać odpowiednią opcję, a następnie wpisać nazwę domeny,
której elementem będzie stacja robocza. Jeśli stacja robocza nie ma swoje-
go konta w domenie, należy wybrać opcję umożliwiającą jego założenie
i poprosić o pomoc administratora domeny. Jeśli konto zostało założone
wcześniej za pomocą menedżera serwerów, pole opcji musi pozostać
puste.
Jeśli wybraliśmy opcję zakładania konta w domenie, ukaże się okno dia-
logowe żądające wprowadzenia nazwy konta i hasła administratora
domeny. Wpisanie niewłaściwych danych, nie pozwoli dołączyć kompu-
Część II Implementacja systemu ochrony Microsoft Windows NT
252
tera do domeny. Jeśli dane są poprawne, konto stacji roboczej w domenie
utworzy się automatycznie, a jej nazwa będzie widoczna na liście kompu-
terów w programie Serwer Manager.
Od tej chwili w oknie dialogowym Logon Information na stacji roboczej,
będzie ukazywać się lista rozwijalna Domain (domeny). Użytkownik,
korzystający z tego komputera, może się zarejestrować na lokalnym kon-
cie stacji roboczej, wybierając w tym celu nazwę stacji roboczej z listy
Domain
lub na koncie domeny, wybierając na liście nazwę domeny. Na
stacjach należących do grupy roboczej lista Domain nie występuje.
Ochrona Windows NT Workstation w strukturze domeny
Jak już było mówione, Windows NT Workstation ma swoją własną bazę
kont, zupełnie niezależną od innych komputerów domeny. Baza zawiera
między innymi predefiniowane konta użytkowników i grup, a w szcze-
gólności konta administratora i grupy administratorów. Dzięki takiemu
rozwiązaniu, właściciel sprawuje pełną kontrolę nad swoją stacją roboczą
oraz składowanymi na niej zasobami; może rejestrować się na koncie
lokalnego administratora, tworzyć konta użytkowników indywidualnych
i grup, może wreszcie dołączać konta innych użytkowników do grupy
lokalnych administratorów, ze wszystkimi tego konsekwencjami.
Jeśli komputer jest skonfigurowany jako element grupy roboczej, to nie
można się na nim rejestrować lokalnie z konta domeny. Do weryfikacji
upoważnień użytkowników jest wykorzystywana wyłącznie lokalna baza
kont. Korzystanie z jakichkolwiek usług lub zasobów takiej stacji roboczej
wymaga posiadania odpowiedniego konta lokalnego oraz właściwych
uprawnień dostępu.
Zbędną pracę administracyjną związaną z tworzeniem podwójnych kont,
można ograniczyć dołączając stację roboczą do domeny. Baza kont do-
meny zawiera konta wszystkich użytkowników. Mając odpowiednie
uprawnienia dostępu, użytkownik zarejestrowany na koncie domeny
może korzystąc ze wszystkich zasobów domeny macierzystej, domen ją
upoważniających oraz stacji roboczych należących do domeny. Posiada-
nie dodatkowych kont lokalnych staje się zbędne.
Aby dołączyć do domeny stację roboczą, która podczas instalacji została
elementem grupy roboczej, należy:
1. Zarejestrować się na stacji roboczej, korzystając z konta administrato-
ra. Kliknąć na ikonie Network, która znajduje się w panelu sterowania
(Control Panel).
Ochrona Windows NT Wokstation
253
2. Domyślnym widokiem jest zakładka Identification. Kliknąć na przyci-
sku Change umieszczony na tej stronie, aby otworzyć okno
Identification
Changes.
3. Wybrać opcję Domain w grupie Member. Zastąpić domyślną nazwę
DOMAIN, nazwą domeny, do której ma być dołączona stacja robocza.
4. Jeśli administrator domeny utworzył wcześniej konto komputera dla
stacji roboczej, wcisnąć przycisk OK. W przeciwnym razie zaznaczyć
opcję Create a Computer Account in the Domain, po czym administrator
domeny musi wpisać, w otwartym oknie dialogowym, nazwę swojego
konta oraz hasło.
5. Jeśli dołączanie stacji do domeny zakończy się pomyślnie, to ukaże się
okno Network Configuration oraz komunikat zapraszający do pracy
w domenie. Kliknąć na przycisku OK.
6. Kliknąć na przycisku Yes w oknie dialogowym zachęcającym do re-
startu stacji roboczej.
Zmiany w lokalnej bazie kont Windows NT Workstation
Pierwszym spostrzeżeniem po pomyślnym dołączeniu Windows NT
Workstation do domeny jest dodatkowe pole wyboru w oknie dialogo-
wym Logon Information. Możemy wybierać między rejestracją w domenie
a rejestracją lokalną.
Jeśli właściciel chce przyznać jakiemuś kontu domeny prawo admini-
strowania swoją stację roboczą, powinien zarejestrować się lokalnie jako
administrator i dołączyć odpowiednie konto domeny do lokalnej grupy
administratorów. Obdarzony takim przywilejem użytkownik może ko-
rzystać ze wszystkich zasobów stacji roboczej oraz wykonywać na niej
wszystkie zadania administracyjne.
Przeanalizujmy kolejny przykład: JohnB właśnie zainstalował na swoim
biurowym komputerze Windows NT Workstation. Podczas instalacji
dołączył swoją stację do domeny ADMIN, na której ma swoje konto
o
nazwie JohnB. Instalacja przebiegła bez przeszkód, ponieważ
administrator domeny ADMIN utworzył wcześniej odpowiednie konto
dla komputera Johna.
John może zarejestrować się na stacji roboczej wykorzystując swoje konto
w domenie oraz wybierając pozycję ADMIN w oknie wyboru domen. Ma
on pełny dostęp do zasobów domeny, do których ma odpowiednie
uprawnienia. Nie ma kłopotów z dostępem do odpowiednich zasobów
domen upoważniających domenę ADMIN. Na swoim własnym kompu-
Część II Implementacja systemu ochrony Microsoft Windows NT
254
terze nie może natomiast uruchomić żadnego narzędzia administracyjne-
go.
Aby rozwiązać problem, John zarejestrował się na swoim komputerze na
koncie lokalnego administratora. Nie miał żadnych kłopotów, gdyż jako
instalator systemu stał się jego właścicielem i sam ustalał hasło admini-
stratora. Uruchomił Menedżer użytkowników i dołączył swoje konto
w domenie (JohnB) do lokalnej grupy administratorów. Oto kolejne
czynności, które należało wykonać:
1. Zarejestrować się na stacji roboczej jako jej lokalny administrator.
2. Uruchomić User Manager i
dwukrotnie kliknąć na pozycję
Administrators
group, znajdującej się w dolnej części okna. Otworzy isę
okno Local Group Properties.
3. Kliknąć na przycisku Add, celem otwarcia okna Add Users and Groups.
4. Wybrać nazwę domeny z listy rozwijalnej List Name From.
5. Zaznaczyć odpowiednie konto na liście okna Names i kliknąć na przy-
cisku Add. Nazwa konta powinna znaleźć się w spisie Add Names.
6. Wcisnąć przycisk OK, aby powrócić do okna Local Group Properties.
Dodane konto powinno widnieć na liście członków grupy w oknie
Members
.
7. Wcisnąć przycisk OK aby wprowadzić zmiany. Zamknąć User Mana-
ger.
Od tej pory JohnB może, korzystając ze swojego konta użytkownika do-
meny, sprawować pełną kontrolę nad swoją stacją roboczą.
Odnotujmy jeszcze jedno wydarzenie mające miejsce podczas dołączania
stacji roboczej do domeny. Grupa globalna administratorów domeny
macierzystej została automatycznie dodana do lokalnej grupy admini-
stratorów stacji roboczej. Administratorzy domeny mogą zarządzać
wszystkimi stacjami roboczymi będącymi elementami domeny.
Potwierdza się jeszcze raz analogia z domenami połączonymi relacjami
upoważnienia. Globalna grupa administratorów domeny upoważnionej
jest automatycznie elementem lokalnej grupy administratorów domeny
upoważniającej.
Udzielanie dostępu do zasobów stacji roboczej
Zasoby stacji roboczej mogą być, w nieco tylko ograniczonym zakresie,
udostępniane poprzez sieć. Podobnie jak na Windows NT Serwer do
wspólnego użytku można wydzielić katalogi dysków stacji roboczej oraz
Ochrona Windows NT Wokstation
255
kolejki do lokalnych drukarek. W odróżnieniu od Windows NT Serwer,
liczba konkurujących połączeń ze stacją roboczą nie może przekraczać
dziesięciu. Uprawnienia dostępu do zasobów stacji roboczej mogą być
przyznawane zarówno na poziomie zasobów współdzielonych jak i na
poziomie NTFS, o ile dyski komputera zostały sformatowane w tym sys-
temie plików. Oba rodzaje uprawnień mogą być przydzielane zarówno
kontom domeny, jak i kontom lokalnym.
Przyznawanie uprawnień dostępu NTFS na stacji roboczej
Zdolnych do stosowania uprawnień NTFS na stacji roboczej umożliwia jej
właścicielowi ochronę plików i katalogów przed nieuprawnionym dostę-
pem. Szczególne zalety tej metody zabezpieczania dysków ujawniają się
na stacjach roboczych wykorzystywanych przez wielu użytkowników.
Udzielanie uprawnień dostępu na stacji roboczej nie różni się od tej samej
czynności na serwerze NT. Na komputerach należących do domeny,
uprawnienia mogą być udzielane kontom domeny i kontom lokalnym.
Na stacjach nie należących do domeny, uprawnienia można przyznawać
je jedynie kontom lokalnym.
Przyznawanie uprawnień dostępu do zasobów współdzielonych
w Windows NT Workstation
Podobnie jak w Windows NT Serwer, stacje robocze umożliwiają wydzie-
lanie wspólnych katalogów i kolejek drukarek. Uprawnienia na poziomie
zasobów współdzielonych udziela się dokładnie tak samo jak na serwe-
rach. Podobnie jak przy uprawnieniach NTFS, konta użytkowników in-
dywidualnych oraz grup domeny mogą otrzymać uprawnienia dostępu
do współdzielonych zasobów stacji roboczej, pod warunkiem że stacja
robocza jest elementem domeny.
W innych rozdziałach...
Nauczyliśmy się dodawać Windows NT Workstation do domeny oraz
udostępniać jej zasoby dla kont domeny macierzystej. W następnej części
podręcznika będziemy próbować zastosować zdobytą już wiedzę do
zarządzania prostą, przykładową instalacją sieciową.
Rozdział 10 -
Projektowanie domeny głównej - rozpoczyna fazę
planowania przykładowej instalacji. Określimy potrzeby fikcyjnego
przedsiębiorstwa i zaplanujemy strategię ochrony sieci.
Część II Implementacja systemu ochrony Microsoft Windows NT
256
Rozdział 11 - Konfiguracja domeny głównej - stwarza okazję zaimple-
mentowania konfiguracji systemu ochrony odpowiadającego zapla-
nowanym wymaganiom. Rozważania ograniczają się do domeny lo-
kalnej.
Rozdział 12 - Konfiguracja relacji upoważnienia - rozszerza rozwiązania
zastosowane w domenie lokalnej na strukturę zawierającą inne dome-
ny upoważniającą domenę główną.