Pojęcie domen
Windows NT
h
Podstawowe założenia domeny
Co to jest domena? Jak działa? Różne
składniki domeny. Wprowadzenie do
usług katalogowych Windows NT.
h
Zalety domen
Przyczyny stosowania domen.
Podstawowe wiadomości o domenach były tre-
ścią rozdziału drugiego. W niniejszym rozsze-
rzamy podane tam informacje i pokażemy jak
tworzyć i zarządzać domenami. Zaczniemy od
przyjrzenia się podstawowym elementom, to jest
kontrolerom i stacjom roboczym. Przedyskutu-
jemy dlaczego system domen jest lepszy od
układu opartego na pojedynczych serwerach.
Na koniec omówimy niektóre szczegóły, typu
jak utworzyć domenę lub jak działa jej system
kont.
Zalety środowiska opartego o domeny
h
Tworzenie domen
Planowanie rozwiązań. Problemy,
o których należy pamiętać. Zagadnienia
typu: rozmiar serwera i rozmieszczenie za-
sobów.
h
Konta użytkowników domeny
Tworzenie kont użytkowników o różnych
właściwościach. Analiza rozwiązań służą-
cych konfiguracji kont użytkownika.
h
Jak pracują grupy
Jak stosowanie grup zmienia zasady pracy
administratora przy udostępnianiu zaso-
bów. Predefiniowane grupy Windows NT.
Przyznawanie uprawnień administracyj-
nych grupom użytkowników.
Część II Implementacja systemu ochrony Microsoft Windows NT
92
Co to jest domena?
Domeny służą do podziału sieci środowiska Windows NT na logiczne
grupy komputerów. Zarządzanie tymi grupami umożliwia udostępnianie
zasobów w oparciu o przynależność do domeny. W tym rozdziale omó-
wimy bliżej problemy poruszone ogólnie w rozdziale drugim.
Po pierwsze, nie należy mylić domen Windows NT z domenami UNIX-
owymi. Są to zupełnie odrębne pojęcia. Domena w systemie UNIX to po
prostu metoda nazywania komputerów, działających w sieci intranetowej
TCP/IP. Przede wszystkim jest używana przez usługę katalogowa DNS
(Domain Name Service), która grupuje hosty UNIX-owe (lub inne hosty
TCP/IP) pod „nazwą domeny”, co umożliwia ich łatwe wyszukiwanie
oraz identyfikowanie za pomocą przyjaznych nazw zamiast adresów IP.
Z drugiej strony: Domena Windows NT jest grupą serwerów działających
pod kontrolą systemu operacyjnego Windows NT Server, wykorzystującą
wspólną bazę kont użytkowników oraz wspólną strategię ochrony. Do-
mena może zawierać inne komputery, które nie posługują się systemem
operacyjnym Windows NT ale na przykład Windows NT Workstation
lub MS OS/2 LAN Manager. Takie stacje mogą być składnikami domeny,
umożliwiając użytkownikom dostęp do zasobów lokalnych w oparciu
o konta użytkowników domeny.
Administratorzy mogą łatwo przydzielać dostęp do zasobów znajdują-
cych się na różnych serwerach jednej domeny. Możliwość korzystania
z zasobów domeny nie jest uzależniona systemem operacyjnym na stacji
użytkownika. Przywileje dostępu przyznane użytkownikowi związane są
bezpośrednio z kontem użytkownika w domenie. Przed przyznaniem
dostępu do obiektu domeny, na przykład katalogu lub drukarki, każdo-
razowo sprawdzana jest tożsamość użytkownika oraz przyznane mu
upoważnienia do zasobów. Wymienione rozwiązania są przykładami
funkcji, realizowanych przez program Windows NT Server Directory
Service (program usług katalogowych serwera NT). Oto najważniejsze
cechy programu:
Pojedyncza rejestracja w domenie. Użytkownik nie musi stosować róż-
nych haseł i identyfikatorów, aby uzyskać dostęp do zasobów leżą-
cych na różnych serwerach. Nazwa konta w domenie i odpowiadające
mu hasło otwierają drogę do wszystkich zasobów domeny, do których
użytkownik ma odpowiednie uprawnienia.
Scentralizowana administracja. System usług katalogowych Windows
NT umożliwia zarządzanie z jednego miejsca wszystkimi zasobami
sieci oraz bazą kont użytkowników. Zadania administracyjne można,
w razie potrzeby, wykonywać z różnych stacji.
Pojęcie domen Windows NT
93
Bazy danych chronionych kont. Informacje zawarte w bazie są bezpiecz-
ne dzięki kopiom rozmieszczonym na innych serwerach domeny NT.
Bazy danych o użytkownikach oraz inne informacje niezbędne
z punktu widzenia ochrony są kopiowane w czasie rzeczywistym.
Domena jest głównym segmentem, na którym opiera się system usług
katalogowych Windows NT. Baza danych chronionych kont użytkowni-
ków (SAM), jest przechowywana w specjalnych zbiorach rejestrów
o nazwie hives (roje) na specjalnych serwerach Windows NT, pełniących
rolę kontrolerów domeny. W instalacjach Windows NT rozróżnia się dwa
rodzaje kontrolerów domeny:
Główny kontroler domeny (PDC). W każdej domenie jest jeden serwer
pełniący rolę kontrolera głównego. Rejestry głównego kontrolera za-
wierają oryginał zbiorów hives, zawierających informacje systemu
ochrony całej domeny.
Zapasowy kontroler domeny (BDC). W każdej domenie może być wiele
zapasowych kontrolerów domeny. Zaleca się, aby nawet w małych in-
stalacjach funkcjonował przynajmniej jeden. Kontrolery zapasowe
przechowują kopię oryginalnych plików hive i mogą weryfikować
użytkowników rejestrujących się w domenie. Dzięki zapasowym ko-
piom bazy danych chronionych kont, w razie awarii głównego kontro-
lera domeny, kontrolery zapasowe zapewniają bezpieczny dostęp
użytkowników do sieci.
Nie można modyfikować bazy danych chronionych kont, ani innych in-
formacji o zasobach znajdujących się w rejestrach zapasowego kontrolera
domeny. Wszystkie zmiany muszą być realizowane w zbiorach hive kon-
trolera głównego. Bez względu na miejsce, w którym administrator uru-
chomi usługę User Manager for Domains, skutkiem będzie otwarcie od-
powiednich zbiorów rejestru głównego kontrolera domeny. Na przykład:
Serwer o nazwie CORP1 jest głównym kontrolerem domeny ADMIN;
serwer CORP2 pełni w tej domenie rolę kontrolera zapasowego. Przypu-
śćmy, że administrator zarejestrowany na serwerze CORP2 chce założyć
nowe konto i uruchamia program User Manager for Domains. Mimo
udostępnienia usługi na serwerze CORP2, modyfikacje będą realizowane
w rejestrach głównego kontrolera domeny CORP1. Zbiory hive znajdują-
ce się na kontrolerze zapasowym nie mogą być bezpośrednio modyfiko-
wane, gdyż są jedynie kopiami do odczytu (read-only) oryginalnych
zbiorów serwera CORP1.
Jeśli z jakiegoś powodu nie jest dostępny serwer PDC, to baza danych
o kontach nie może być modyfikowana. Jeśli w poprzednim przykładzie
serwer CORP1 byłby odłączony, to administrator będzie co prawda zdol-
ny uruchomić menedżera użytkowników, ale otrzyma komunikat, że
Część II Implementacja systemu ochrony Microsoft Windows NT
94
PDC jest niedostępny i jakiekolwiek zmiany bazy danych nie mogą być
aktualnie zrealizowane.
Czy w takim razie awaria PDC uniemożliwia administrowanie domeną?
Nie, gdyż korzystając z funkcji menedżera serwera dowolnego kontrolera
zapasowego można go podnieść do roli głównego kontrolera domeny.
Od tej chwili bazy danych nowego kontrolera głównego (zbiory hives)
staną się oryginałami baz danych domeny. Wszystko co mówiliśmy
o głównym kontrolerze domeny, dotyczy od chwili zmiany nowego ser-
wera głównego.
Ostrzeżenie
Podniesienie rangi kontrolera zapasowego może nastąpić przy odłączonym
kontrolerze głównym. Jeśli jednak na poprzednim PDC były wprowadzone
zmiany, które ze względu na brak komunikacji nie zostały skopiowane na
kontroler zapasowy, to zostaną stracone. Lepiej więc, planując konserwację PDC,
podnieść rangę jednego z kontrolerów zapasowych (obniżając jednocześnie rolę
dotychczasowego PDC) w chwili, gdy oba serwery „widzą się wzajemnie”.
Wszystkie zmiany dotyczące kont zostaną skopiowane i przeniesione na
kontrolery zapasowe, przed ewentualnymi zmianami statusu kontrolerów
domeny.
Komputer z systemem operacyjnym Windows NT Workstation może być
elementem domeny. Chociaż może posiadać bazę danych kont, nie może
być ona wykorzystana do żadnych zadań weryfikujących rejestrację
w sieci. Windows NT Workstation zawiera swoją własną bazę danych
kont, niezależną od innych komputerów. Jeśli nie jest wymagany dostęp
lokalnych użytkowników stacji roboczej do zasobów domeny, to lokalna
baza kont nie musi współdziałać ze środowiskiem domeny. Jeśli jednak
zachodzi taka potrzeba, to zasoby stacji roboczej można połączyć
z zasobami domeny, uzyskując następujące korzyści:
Stacja robocza zyskuje zdolność rozpoznawania kont domeny razem
z kontami lokalnymi. Oznacza to, że osoby mające konta w domenie,
mogą rejestrować się na stacji roboczej, tak jak użytkownicy lokalni.
Użytkownik domeny może uzyskać zdalny dostęp do zasobów stacji
roboczej. Dzieje się tak dlatego, że uprawnienia do plików i innych za-
sobów stacji roboczej mogą zostać przyznane kontom domeny, a nie
jedynie kontom użytkowników lokalnych.
Członkowie grupy administratorów domeny mogą administrować
zasobami stacji roboczej. Takie rozwiązanie umożliwia scentralizowa-
ne zarządzanie zarówno domeną jak i stacjami lokalnymi Windows
NT Workstation.
Pojęcie domen Windows NT
95
Innym systemem operacyjnym mogącym współpracować z domeną
Windows NT jest OS/2 LAN Manager Server. Mając w spadku komputer
z tym systemem, możemy go wykorzystać nawet jako zapasowy kontro-
ler domeny. Rola PDC jest jednak zawarowana wyłącznie dla Windows
NT Server.
Komputery, pracujące pod kontrolą Windows for Workgroups, Windows
95 oraz MS-DOS mogą współpracować z domeną, jako pełnowartościowe
elementy grupy roboczej. Na przeglądarkach sieciowych są widziane pod
tą nazwą domeny, w której są zarejestrowane. Na przykład: Rejestrujemy
się w domenie ADMIN ze stacji Windows 95; Administrator sieci ustawił
wszystkie stacje robocze WfW, Win 95 oraz MS-DOS jako elementy do-
meny, w której się rejestrują. (Wyznaczając nazwę domeny ADMIN jako
sieciowy parametr konfiguracyjny workgroup stacji roboczej). Dowolny
użytkownik przeglądający zasoby sieci przy pomocy przeglądarki (np.
Network Neighborhood) zobaczy naszą stację roboczą jako element do-
meny ADMIN. Opisaną metodę można wykorzystać do skonfigurowania
wszystkich komputerów sieci.
Jak zobaczymy, domeny mogą tworzyć cały system połączony wzajem-
nymi relacjami upoważnienia. Takie rozwiązanie umożliwia dostęp do
zasobów jednej domeny przez użytkowników mających konta na innej.
Odpowiednie zastosowanie domen oraz ustanowienie przemyślanych
relacji upoważnienia pozwala skutecznie zarządzać siecią. W następnej
części rozdziału przejrzymy kilka argumentów przemawiających za sto-
sowaniem domen.
Dlaczego domeny?
Rozwiązania strukturalne, polegające na wykorzystaniu domen, mają
liczne zalety w porównaniu z sieciami zbudowanymi na bazie oddziel-
nych serwerów. W przypadku sieci z oddzielnymi serwerami, użytkow-
nik pragnący otrzymać dostęp do zasobów sieciowych ze swojej stacji
roboczej, musi zarejestrować się na serwerze zarządzającym tymi zaso-
bami. Przechodzi całą procedurę weryfikacyjną związaną z wprowa-
dzeniem nazwy konta i odpowiedniego hasła. Aby skorzystać z usług
innego serwera, cały proces trzeba zacząć od początku. W małej sieci,
z nieliczną grupą użytkowników, takie rozwiązanie jest jeszcze do znie-
sienia, w dużej instalacji jest koszmarem.
W dużych sieciach potrzebna jest jedna baza danych użytkowników,
umożliwiająca weryfikację uprawnień do zasobów wielu serwerów. Eli-
minuje to potrzebę mnożenia kont przeznaczonych dla jednego użyt-
kownika. Jedno konto z właściwie dobranymi uprawnieniami powinno
Część II Implementacja systemu ochrony Microsoft Windows NT
96
umożliwić użytkownikowi dostęp do usług wszystkich serwerów dome-
ny.
Innym argumentem przemawiającym za domenami jest scentralizowanie
administracji kontami i zasobami. Eliminuje to zbędny wysiłek admini-
stratorów, związany z tworzeniem i utrzymaniem indywidualnych kont
na wielu oddzielnych serwerach. Konto użytkownika tworzy się jeden
raz dla całej domeny. Wszystkich indywidualnych pełnomocnictw dla
konta można udzielać z jednego miejsca, przy pomocy tych samych na-
rzędzi administracyjnych. Programy do zarządzania siecią mogą być
uruchamiane z dowolnego serwera Windows NT, o ile tylko główny kon-
troler domeny pozostaje operatywny.
Ważnym zadaniem administratorów jest (a przynajmniej powinna być)
ochrona bazy danych użytkowników. Nawet w sieci o małej liczbie kont
myśl o konieczności odtworzenia bazy może spędzić sen z oczu admini-
stratora. Aby zabezpieczyć się przed utratą bazy pojedynczego serwera,
konieczne jest sporządzanie częstych archiwizacji. W razie awarii dys-
ków, powodującej utratę bazy użytkowników, odpowiednie pliki mogą
być odtworzone dopiero po usunięciu uszkodzenia. Dane o kontach
wprowadzanych lub konfigurowanych między ostatnią archiwizacją
a awarią są stracone. W sieciach o setkach kont jest to sytuacja nie do
pomyślenia, nie wspominając o stratach wynikłych z braku dostępności
zasobów systemu.
Domeny rozwiązują i ten problem dzięki natychmiastowej - online - ar-
chiwizacji bazy chronionych kont (SAM). Jak już mówiliśmy pomysł po-
lega na zastosowaniu kilku serwerów współużytkujących bazę kont. Je-
den z nich jest wyznaczony na główny kontroler domeny i fizycznie
przechowuje oryginał bazy chronionych kont. Pozostałe serwery posiada-
ją kopie bazy, która jest aktualizowana z dużą częstotliwością. System
zapewnia integralność bazy kont, nawet w przypadku awarii lub ko-
nieczności odłączenia głównego kontrolera domeny. Korzyścią dla użyt-
kowników jest możliwość rejestracji w sieci i otrzymania autoryzowane-
go dostępu do zasobów niezależnie od serwera weryfikującego upraw-
nienia.
Tworzenie domen
Uzbrojeni w wiedzę „dlaczego?” odpowiemy sobie na pytanie „jak?”.
Tworzenie domeny jest prostą procedurą realizowaną w procesie instala-
cji systemu Windows NT Server. Jedno z pytań konfiguracyjnych, na
jakie trzeba odpowiedzieć instalując system operacyjny, dotyczy roz-
strzygnięcia, czy serwer ma być dołączony do istniejącej domeny, czy też
Pojęcie domen Windows NT
97
zakładamy nową domenę. W pierwszym przypadku serwer stanie się
zapasowym kontrolerem domeny (BDC), w drugim - głównym (PDC).
Jedyną dodatkową czynnością związaną z tworzeniem głównego kontro-
lera domeny jest wprowadzenie unikatowej nazwy domeny oraz hasła
dla konta jej administratora. Chociaż tworzenie domen jest proste, to
chwila namysłu przed rozpoczęciem instalacji pozwoli uniknąć ewentu-
alnych problemów.
Przed zaimplementowaniem domeny, zwłaszcza mającej świadczyć
usługi wielu użytkownikom, należy właściwie zaplanować skalę rozwią-
zań oraz rozmieszczenie serwerów. Jedną z pozycji wymagającą analizy
przy skalowaniu systemu jest oszacowanie niezbędnej liczby kontrolerów
domeny. Zbyt mała liczba kontrolerów w domenie powoduje, że są one
zbyt zajęte i użytkownicy mają trudności z weryfikacją dostępu do sieci.
Rozwiązanie problemu wymaga uwzględnienia następujących czynni-
ków:
Liczba przewidywanych kont w domenie
Konfiguracja serwerów przewidzianych do roli kontrolerów domeny.
Aktualnie domena Windows NT może zawierać 40 000 kont. Nie oznacza
to wcale, że tylu użytkowników może mieć konta na jednej domenie.
Pojęcie konta oznacza bowiem zarówno konta indywidualne, jak i konta
komputerów oraz grup.
Konta komputerowe reprezentują urządzenie w sieci, na przykład Win-
dows NT Workstation, która jest elementem domeny. Dołączenie do do-
meny komputera z Windows NT Server lub Workstation powoduje wy-
znaczenie mu identyfikatora bezpieczeństwa (SID - Security ID)
w sposób analogiczny jak odbywa się przyznawanie SID przy dołączaniu
nowego użytkownika do bazy chronionych kont. Odnotujmy, że stacje
robocze WfW, Win95 i MS-DOS są widziane, za pośrednictwem progra-
mu Server Manager, jako elementy domeny, ale nie posiadają w niej kon-
ta.
Predefiniowane grupy Windows NT (na przykład grupa administrato-
rów domeny Domain Admins) oraz wszystkie grupy użytkowników
utworzone przez administratorów mają również przyznany numer SID.
Liczbę takich kont należy również uwzględnić w rachunkach.
Podsumowując: na liczbę kont w domenie składają się konta indywidu-
alne, konta komputerów oraz konta grup. Można przyjąć, że z jednej
domeny może korzystać około 25 000 indywidualnych użytkowników.
Jeśli przewidujemy, że z usług sieci będzie korzystać więcej użytkowni-
ków, należy podzielić ich konta między odpowiednią liczbę domen.
Windows NT umożliwia podzielenie kont użytkowników między dwie
lub więcej domen, przy użyciu modelu z kilkoma domenami głównymi
Część II Implementacja systemu ochrony Microsoft Windows NT
98
(Multiplay Master Domain Model). O różnych modelach struktury domen
będziemy się uczyć w rozdziale piątym.
Ważnym zagadnieniem związanym z liczbą kont w domenie jest mak-
symalny rozmiar pliku zawierającego SAM. Jak pamiętamy, SAM jest
zbiorem binarnym, umieszczonym w strukturze rejestrów kontrolerów
domeny. Im więcej kont w domenie, tym większy jest rozmiar pliku. Jeśli
rozmiar zbioru jest większy od 40 MB, to ładowanie go do pamięci może
zająć nawet kilka minut. Problem wiąże się ściśle z przyjętymi rozwiąza-
niami sprzętowymi - odpowiednią wielkością pamięci oraz szybkością
procesora. Tabela 4.1 ilustruje przestrzeń jaką zajmują różne rodzaje
kontw pliku SAM.
Tabela 4.1 Przestrzeń wykorzystywana przez obiekty kont w pliku SAM
Rodzaj konta
Zajmowana przestrzeń
Konto użytkownika
1,0 kB
Konto grupy globalnej
512 B plus 12 B na każdego członka grupy
Konto grupy lokalnej
512 B plus 12 B na każdego członka grupy
Konto komputera
0,5 kB
Tabela umożliwia oszacowanie wielkości pliku SAM. Wiedząc już, jakie
są rozmiary bazy danych chronionych kont, możemy zastanowić się nad
wymaganiami stawianymi komputerom przeznaczonym na kontrolery
domeny. Tabela 4.2 zawiera informacje o zalecanych minimalnych wy-
maganiach sprzętowych w zależności od rozmiaru pliku SAM:
Tabela 4.2 Zalecane minimalne wymagania konfiguracyjne komputerów
przeznaczonych na kontrolery domeny
Konta
użytkowników
Konta
komputerów
Konta
grup
Rozmiar
SAM
CPU Rozmiar
Pamięci
2 000
2 000
30
3,12 486/33
32
MB
5 000
10 000
100
10,4 486/66
32
MB
7 500
7 500
100
11,3 Pentium,MIPS,
Alpha AXP
32 MB
10 000
10 000
150
15,6 Pentium,MIPS,
Alpha AXP
48 MB
25 000
25 000
200
38,3
Pentium,MIPS,
Alpha AXP
96 MB
40 000
0
0
40
Pentium,MIPS,
Alpha AXP
128 MB
Kolejnym czynnikiem, na który należy zwrócić uwagę, jest rozmieszcze-
nie serwerów. Sieci coraz częściej wykraczają poza pomieszczenia jedne-
go biura, rozciągając się na całe miasta a nawet kraje. Domena Windows
Pojęcie domen Windows NT
99
NT może zawierać serwery i stacje robocze, które są od siebie fizycznie
rozdzielone siecią rozległą. Nawet jeśli połączenia odległe są realizowane
z dużą prędkością transmisji, to i tak jest ona niewielka w porównaniu
z dużymi prędkościami transmisji w sieci lokalnej (10 MB/sec dla Ether-
net czy 16 MB/sek w technologii Token Ring). Z tego powodu pożąda-
nym rozwiązaniem jest umieszczanie kontrolerów domeny w tej samej
sieci lokalnej (z dużą prędkością transmisji) co stacje robocze użytkowni-
ków. Jeśli kontroler obecny jest w sieci lokalnej, to weryfikacja użytkow-
nika rejestrującego się w domenie nie musi odbywać się za pośrednic-
twem wolnych połączeń sieci rozległej. Ograniczamy w ten sposób ruch
w sieci rozległej, oszczędzając bezcenne pasmo komunikacyjne.
Główny kontroler domeny jest zazwyczaj umieszczony w tym samym
segmencie sieci, w którym pracuje administrator. Pamiętamy, że wszelkie
zmiany kont są realizowane na PDC. Jeśli główny kontroler domeny
znajduje się w Przemyślu, a administrator pracuje w Szczecinie, to zanim
zostanie zrealizowana jakakolwiek zmiana w bazie kont, musi być na-
wiązane połączenie siecią rozległą między oddalonymi segmentami sieci.
Umieszczenie głównego kontrolera domeny w tej samej sieci lokalnej,
w której jest podłączona stacja robocza administratora, eliminuje potrze-
bę wykonywania prac administracyjnych za pośrednictwem wolnej sieci
rozległej i oszczędza pasmo, wykorzystywane do zdalnych połączeń.
Uwaga
Pewien ruch w sieci generują same kontrolery, które muszą się ze sobą
komunikować celem synchronizacji i uaktualniania kopii SAM.
Planując rozmieszczenie zapasowych kontrolerów domeny, należy
uwzględnić następujące czynniki:
Szybkość połączeń w sieci rozległej (WAN)
Stopień niezawodności połączeń odległych
Lokalizację użytkowników i wymagania weryfikacyjne
Liczbę użytkowników w każdej sieci lokalnej
Dostępność zasobów lokalnych
Jak łatwo odgadnąć możliwe są różne rozwiązania struktury domen. Do
określenia zależności między domenami służą relacje upoważnienia.
Konfiguracja relacji upoważnienia zależy od założonego modelu struktu-
ralnego. Możliwe są różnorodne rozwiązania. Od modelu z jedną dome-
ną (Single Domain Model), w którym oczywiście zbędne są wszelkie relacje
między domenami, do modelu w którym wszystkie domeny są w pełni
upoważnione (Complete Trust Domain Model). Oczywiste jest, że rozmiesz-
Część II Implementacja systemu ochrony Microsoft Windows NT
100
czenie kontrolerów domeny zależy od przyjętej struktury domen. Szcze-
gółową analizę różnych modeli zawiera rozdział piąty.
Mając za sobą problemy związane z tworzeniem domen, postawimy so-
bie kolejne pytanie: Jak przenieść serwery z jednej domeny do innej?
Zmiana przynależności do domeny
Przyjmijmy założenia: W domenie ADMIN zainstalowano nowy kompu-
ter z Windows NT Server i ustanowiono go zapasowym kontrolerem
domeny. Na drugi dzień administrator zdał sobie sprawę, że w domenie
ADMIN wcale nie potrzebuje nowego kontrolera, gdyż działające dotąd
dwa kontrolery zapasowe w pełni zabezpieczały potrzeby sieci. Warto by
natomiast założyć nową domenę przeznaczoną dla administratorów sieci.
Na pierwszy rzut oka nie widać żadnego problemu. Wystarczy zmienić
nazwę domeny, do której należy nowy serwer, po czym podnieść go do
rangi głównego kontrolera domeny. Proste? Wystarczy po prostu podzie-
lić domenę.
Tak, wygląda na to, że sprawa jest prosta. Zmiana nazwy domeny jest
możliwa. Podniesienie serwera do roli PDC - także. Wszystko będzie
zdawało się pracować normalnie do czasu, aż administrator rozpocznie
ustanawiać relacje upoważnienia między podzielonymi domenami, lub
między nową domeną a inną. Z jakiegoś powodu ustanowienie relacji nie
powiedzie się. Dlaczego? Dlatego że obie domeny mają wspólny frag-
ment numeru SID!
Jak już mówiliśmy, domeny są tworzone w procesie instalacji pierwszego
serwera Windows NT. Wtedy również powstaje unikatowy identyfikator
bezpieczeństwa domeny (SID). Numer SID jest generowany z czasu, da-
ty, oraz informacji o domenie. Jest unikatowy w tym sensie, że nigdy już
nie może się powtórzyć, ani nie jest możliwe jego odtworzenie. Numer
SID domeny jest wykorzystywany jako prefiks wszystkich numerów SID
generowanych dla kontrolerów zapasowych, kont użytkowników oraz
kont grup tworzonych w domenie. W ten sposób SID głównego kontrole-
ra domeny identyfikuje przynależność obiektów do domeny.
To było ważne stwierdzenie! Serwery tworzące wspólne środowisko
domeny identyfikowane są nie przez nazwę domeny, ale przez wspólny prefix
swojego unikatowego numeru SID. Przyczyną niepowodzenia omawianych
wyżej działań administratora było „pamiętanie” przez serwery, że należą
do tej samej domeny, a ustanawianie relacji upoważnienia wewnątrz tej
samej domeny jest niemożliwe!
Pojęcie domen Windows NT
101
Postawione na końcu poprzedniej sekcji pytanie, pozostaje zatem aktual-
ne. Odpowiedź jest jednak negatywna. Nie można zmienić przynależno-
ści serwera do domeny bez ponownej instalacji całego systemu! Rozwią-
zaniem zadania jest całkowicie nowa instalacja oprogramowania syste-
mowego i utworzenie nowej domeny, albo dołączenie serwera do dome-
ny już istniejącej. To wszystko! Wszelkie próby obejścia nowej instalacji to
strata czasu! Dlatego prosta czynność tworzenia domen wymaga plano-
wania. Jeśli trafnie zaprojektujemy strukturę domen, mamy szanse zaosz-
czędzić sobie dużo czasu i kłopotów.
Wiedząc, jak i dlaczego korzystać z domen, jesteśmy gotowi przyjrzeć się
działaniu kont użytkowników w środowisku domeny.
Działanie kont użytkownika i domen
Zanim użytkownik uzyska pozwolenie na skorzystanie z zasobów sieci
umieszczonych na domenie, musi przejść procedurę rejestracji. W tym
celu wprowadza do systemu nazwę swojego konta i odpowiadające jej
hasło. Interfejs użytkownika pojawi się na stacji roboczej lub serwerze NT
dopiero po zweryfikowaniu tożsamości użytkownika. Gdy system roz-
pozna w użytkowniku członka domeny, to udostępni mu jej zasoby
w
zakresie posiadanych przez niego uprawnień. Osoby pracujące
w środowisku Win95, WfW lub MS-DOS wezwane będą do identyfikacji
dopiero w chwili podjęcia próby skorzystania z zasobów chronionej do-
meny.
Jak mówiliśmy w rozdziale trzecim, prawo dostępu do zasobów domeny
weryfikowane jest przez porównanie numeru SID na przepustce utwo-
rzonej dla konta użytkownika z numerami SID znajdującymi się na liście
kontroli dostępu obiektu (ACL). Przez obiekty rozumiemy współdzielone
katalogi plików, kolejki drukarek oraz inne zasoby domeny. Jeśli dane
z przepustki i listy są zgodne, w następnej kolejności określane są szcze-
gółowe uprawnienia do obiektu. W tym celu system wykorzystuje wzor-
ce dostępu, znajdujące się na pozycjach kontroli listy ACL. Oprócz zadań
związanych ze sterowaniem dostępem, konto użytkownika umożliwia
administratorom domeny określać reguły, dotyczące praw użytkownika.
Przyjęte zasady określają sposób współdziałania użytkownika z syste-
mem.
Tworzenie kont użytkowników domeny
Do tworzenia kont użytkowników sieci na poziomie domeny używa się
programu narzędziowego User Manager for Domains. Program jest jed-
Część II Implementacja systemu ochrony Microsoft Windows NT
102
nym z licznych narzędzi pomagających w administrowaniu siecią, które
są wbudowane w systemie Windows NT Server. Przy pomocy tego me-
nedżera administrator może tworzyć, konfigurować i usuwać konto
użytkownika. Program narzędziowy pozwala również określać podsta-
wowe informacje o użytkowniku oraz wprowadzać ograniczenia zwią-
zane z systemem ochrony. Poniżej zamieszczamy listę pewnych parame-
trów konfiguracyjnych konta użytkownika domeny. Rysunek 4.1 ilustruje
okno dialogowe New User (nowy użytkownik), służące do wprowadzania
indywidualnych informacji związanych z kontem.
Okno dialogowe New User umożliwia określenie poniższych informacji:
Username
(nazwa użytkownika) Unikatowa nazwa konta, typu JohnD
lub JohnDoe. Nazwa może składać się z 20 znaków (pisanych wielki-
mi lub małymi literami) z
wyjątkiem następujących:
” / \ [ ] : ; + * ? < >.
Full name
(imię i
nazwisko) Imię i
nazwisko indywidualnego
właściciela konta.
Description
(opis) dowolny tekst opisowy, na przykład stanowisko
zawodowe użytkownika.
Password
(hasło) poufne hasło związane z kontem może się składać co
najwyżej z czternastu znaków. Aby wprowadzić lub zmienić hasło,
należy wpisać dokładnie te same ciągi znaków zarówno w pozycji
Password
jak i w pozycji Confirm Password (Potwierdź hasło). Aby za-
pewnić poufność, w trakcie wprowadzania hasła wpisywane znaki są
maskowane.
User Must Change Password at Next Logon
(Użytkownik musi zmienić
hasło w następnej sesji) zaznaczenie tego pola wymusza na użytkow-
niku zmianę hasła w
trakcie najbliższej procedury rejestracji
w systemie. Jeśli administrator określi maksymalny czas używania ha-
sła, pole zaznaczy się automatycznie po wygaśnięciu okresu ważności
hasła.
User Cannot Change Password
(użytkownikowi nie wolno zmieniać ha-
sła) zaznaczenie pola uniemożliwia użytkownikowi zmianę hasła.
Opcję stosuje się zwykle, jeśli kilka osób korzysta z tego samego kon-
ta. Na przykład, jeśli na domenie możliwe jest korzystanie z konta gu-
est (gość)
Password Never Expires
(hasło nigdy nie wygasa) opcja przydaje się do
konfiguracji kont wykorzystywanych przez aplikacje działające jako
usługi Windows NT (kont usług). Wybór opcji powoduje lekceważe-
nie przez system ustawień parametrów Maximum Password Age
Pojęcie domen Windows NT
103
(maksymalny okres używania hasła) oraz Change Password at Next
Logon.
Account Disabled
(konto wyłączone) ustawienie zapobiega możliwości
korzystania z konta. Opcję można wykorzystać do stworzenia wzorca
dla nowego konta. Predefiniowane konto administratora nie może być
wyłączone.
Account Locked Out
(konto zamknięte) zaznaczone pole wyboru poja-
wia się wraz z opisem tylko jeśli konto jest zamknięte. Oczyszczenie
pola wyboru umożliwia korzystanie z konta. Opcji nie można wyko-
rzystać do zamknięcia konta, a jedynie do jego otwarcia.
Rysunek 4.1
Konfigurowanie ogólnych
informacji o koncie w oknie
dialogowym New User.
Okno dialogowe New User zawiera w swej dolnej części przyciski narzę-
dzi do konfiguracji innych parametrów kont. Pierwszy przycisk
z napisem Groups (grupy) otwiera okno dialogowe Group Memberships
(przynależność do grup), które ilustruje rysunek 4.2.
Część II Implementacja systemu ochrony Microsoft Windows NT
104
Rysunek 4.2
Dołączanie użytkownika do
grup globalnych i lokalnych
przy pomocy okna dialogo-
wego Group Memberships.
Okno dialogowe umożliwia dołączenie lub usunięcie użytkownika
z dowolnej predefiniowanej lub utworzonej przez administratorów do-
meny grupy. Więcej o grupach - w dalszej części rozdziału.
Wciśnięcie przycisku Profile umożliwia wyznaczenie ścieżki dostępu do
profilu użytkownika, wprowadzenie nazwy skryptu rejestracyjnego (log-
on script) oraz prywatnego katalogu użytkownika (home directory path).
Okno dialogowe do konfiguracji profilu środowiska użytkownika ilustru-
je rysunek 4.3.
Rysunek 4.3
Przycisk Profile otwiera
drogę do konfiguracji ścieżki
dostępu do profilu użytkow-
nika, wprowadzenia nazwy
skryptu rejestracyjnego (log-
on script) oraz prywatnego
katalogu użytkownika (home
directory path).
Opcje konfigurowane w tym oknie dialogowym mogą bezpośrednio de-
cydować o sposobie, w jaki użytkownik może korzystać z systemu:
User Profile Path
(ścieżka dostępu do profilu użytkownika). Można tak
skonfigurować sieć, aby użytkownik rejestrujący się w systemie
otrzymywał za każdym razem ten sam obszar roboczy interfejsu
Windows, łącznie z indywidualnymi ustawieniami i preferencjami.
W tym celu należy utworzyć odpowiedni profil, a następnie skojarzyć
go z kontem użytkownika. Narzędzie wykorzystuje się również do
Pojęcie domen Windows NT
105
wyznaczania obowiązkowych profili użytkownika. Profile obowiąz-
kowe stosuje się w celu ograniczenia dostępu do pewnych elementów
obszaru roboczego. Przykładowo: profil obowiązkowy może być
skonfigurowany w ten sposób, że obszar roboczy nie zawiera grupy
Settings
(konfiguracja). Zabezpiecza to przed zmianami w usta-
wieniach stacji roboczej wykonywanymi przez użytkowników. Profil
obowiązkowy musi być dostępny w sieci. W przeciwnym razie użyt-
kownik nie będzie się mógł zarejestrować w systemie.
Logon Script Name
(nazwa skrypty rejestracyjnego). Okno edycyjne służy
do wprowadzania nazwy skryptu rejestracyjnego użytkownika.
Skrypt skojarzony z kontem użytkownika jest wykonywany podczas
każdej rejestracji w domenie. Skrypt może być programem (*.exe) lub
plikiem wsadowym (*.bat lub *.cmd). Składa się zazwyczaj z poleceń
konfigurujących środowisko użytkownika lub uruchamiających okre-
ślony typ aplikacji. Aby zapewnić dostępność skryptu na wszystkich
kontrolerach domeny mogących weryfikować dostęp użytkownika,
jest on powielany do odpowiednich katalogów wszystkich kontrole-
rów domeny-zazwyczaj
\WINNT\SYSTEM32\REPL\IMPORT\ SCRIPTS
.
Home Directory
(katalog prywatny). Przyporządkowanie użytkowniko-
wi katalogu prywatnego spowoduje, że będzie adresem domyślnym
w oknach dialogowych File Open oraz Save As wszystkich aplikacji,
z wyjątkiem programów, którym wyznaczono specjalne katalogi ro-
bocze. Katalog prywatny może być wyznaczony na lokalnej stacji ro-
boczej lub na wyznaczonym do wspólnego użytku dysku sieciowym.
Ten sam adres może być przyporządkowany wielu kontom. Jeśli ad-
ministrator nie wyznaczy katalogu prywatnego, to na stacjach robo-
czych i serwerach NT, system automatycznie przyporządkowuje kon-
tu domyślny adres roboczy ustawiony na dysku stacji lokalnej.
W nowych pakietach instalacyjnych Windows NT 4.0, na domyślny
katalog prywatny jest wyznaczany katalog główny. Instalując Win-
dows NT 4.0 lepiej jest ustawić domyślny katalog prywatny jako
\USER\DEFAULT.
Local Path
(ścieżka lokalna). Opcja umożliwiająca wyznaczenie katalogu
prywatnego na stacji lokalnej.
Connect To
(skojarz z). Możemy jako prywatny katalog użytkownika
wyznaczyć katalog współdzielony i przy pomocy tej opcji skojarzyć
go z literą napędu pod jaką system „będzie widział” ten katalog
W zależności od rodzaju programów usługowych zainstalowanych
w sieci okno dialogowe może udostępniać jeszcze inne opcje.
Wciskając, znajdujący się na panelu New User, przycisk Hours (godziny)
można uruchomić kolejne okno o nazwie Logon Hours (godziny rejestra-
Część II Implementacja systemu ochrony Microsoft Windows NT
106
cji) (por. rysunek 4.4). Przy pomocy okna dialogowego można określić
czas, w jakim użytkownik może korzystać z zasobów domeny. Domyśl-
nym ustawieniem systemowym jest dostęp nieograniczony. Ustawienia
tych parametrów nie mają wpływu na możliwość pracy użytkownika na
stacji lokalnej.
Okno dialogowe ma kształt tygodniowego kalendarza, zorganizowanego
z dokładnością do jednej godziny. Każdej godzinie w tygodniu odpowia-
da jedno okienko wyboru. Okienko wypełnione oznacza, że przez okres
tej godziny użytkownik może łączyć się z domeną. Okienko puste ozna-
cza zakaz korzystania z zasobów domeny w wyznaczonym okresie. Do
wypełniania i czyszczenia okienek służą przyciski Allow (pozwolenie)
oraz Disallow (zakaz).
Rysunek 4.4
Określanie przedziałów
czasu, w których użytkownik
może korzystać z zasobów
domeny.
Możliwe są dwa sposoby konfigurowania systemu, na wypadek gdy
użytkownik nie wyrejestruje się z domeny przed upływem czasu, na jaki
ma pozwolenie. Pierwszy wymusza przerwanie sesji, drugi umożliwia
kontynuowanie rozpoczętych połączeń bez prawa do wykonywania no-
wych. Opcję Forcibly disconnect remote users from server when logon hours
expire
(wymuszone przerwanie sesji na serwerze, gdy dalekiemu użyt-
kownikowi skończy się okres pozwolenia na rejestrację) ustawia się
w dialogu Account Policy (zasady korzystania z kont).
Kolejny przycisk okna New User jest opisany jako Logon To i służy do
otwierania okna dialogowego o nazwie Logon Workstation (por. rysunek
4.5). Narzędzie służy do wprowadzania ograniczeń dotyczących miejsca
rejestracji w systemie. Ustawienie domyślne uprawnia użytkownika do
rejestracji ze wszystkich stacji roboczych. Zaznaczając opcję User May Log
To These Workstation
otrzymujemy możliwość wprowadzenia nazw stacji
roboczych, z których użytkownik może się zarejestrować w systemie.
Pojęcie domen Windows NT
107
Rysunek 4.5
Określanie stacji roboczych,
na których użytkownik może
się rejestrować w systemie.
Następny przycisk okna New User jest oznaczony opisem Account (konto).
Służy do otwarcia okna dialogowego o nazwie Account Information (por.
rysunek 4.6) przeznaczonego do określania daty wygaśnięcia konta.
Ustawieniem domyślnym jest opcja Never (nigdy). Wybierając opcję End
of
, mamy możliwość wprowadzenia daty wygaśnięcia konta.
Rysunek 4.6
Określanie typu oraz daty
wygaśnięcia konta.
Oprócz tego okno to umożliwia określenia typu konta. Do wyboru są
dwa rodzaje kont:
konto globalne
jest najczęściej stosowanym typem konta, oznaczającym
zazwyczaj przynależność do zbioru kont użytkowników, będących
członkami domeny lub konta użytkowników mogących korzystać
z domeny (dzięki relacjom upoważnienia).
konto lokalne
jest atrybutem kont użytkowników, mających uprawnie-
nia do korzystania z zasobów naszej domeny, ale będących członkami
innej domeny, której nasza nie upoważnia.
Ostatni przycisk okna New User (nowość w Windows NT 4.0) jest ozna-
czony napisem Dialin i jest dostępny jeśli na serwerze zainstalowano pro-
gram usług zdalnego dostępu RAS Remote Access Service. Wciśnięcie
przycisku otwiera okno dialogowe Dialin Information, pozwalający skonfi-
Część II Implementacja systemu ochrony Microsoft Windows NT
108
gurować uprawnienie użytkownika do zdalnego połączenia z siecią oraz
niektóre atrybuty związane z takim uprawnieniami. (por. rysunek 4.7)
Rysunek 4.7
Okno dialogowe Dialin
Information
Zaznaczenie pola wyboru Grant dialin permission to user oznacza przyzna-
nie użytkownikowi uprawnienia do zdalnych połączeń za pośrednic-
twem RAS.
Opcje grupy Call Back umożliwiają skonfigurowanie usługi RAS do reali-
zacji połączeń drogą zwrotnego oddzwonienie przez system. Oto przy-
kład: Kierownictwo przedsiębiorstwa chce zezwolić pracownikom na
łączenie się z siecią modemem domowym, ale z drugiej strony niepokoi
się możliwością ujawnienia nieuprawnionym użytkownikom nazwy kon-
ta i hasła, umożliwiającego autoryzacje na serwerze RAS. Celem zagwa-
rantowania, że dzwoniąca osoba posiada aktualne pełnomocnictwo do
korzystania z usług zdalnego dostępu, możemy skonfigurować opcję
oddzwaniania przez system. Użytkownik dzwoniący do serwera RAS jest
weryfikowany pod kątem posiadania uprawnień zdalnego dostępu. Na-
stępnie system rozłączy połączenie i zwolni linię, by natychmiast od-
dzwonić pod numer wskazany w polu Preset To.
Oto inny przykład wykorzystania możliwości oddzwaniania: Nasze
przedsiębiorstwo zobowiązane jest do bezpłatnej, telefonicznej pomocy
swoim klientom. Klient łączy się z serwerem RAS obsługującym system
pomocy. System sprawdza, standardową metodą, że konto klienta
uprawnia do usługi. Przerywa połączenie i natychmiast oddzwania do
wspieranej organizacji. Koszty odległego połączenia ponosi prawie cał-
kowicie instytucja zobowiązana do pomocy. Koszty klienta ograniczają
się jedynie do opłaty za krótkotrwałe połączenie związane ze zgłosze-
niem (zazwyczaj krótsze niż 30 sek.).
Wybranie opcji Set by Caller powoduje, że użytkownik dzwoniący na
numer serwera RAS przechodzi procedurę weryfikacji, po czym może
jeden raz wprowadzić numer telefoniczny swojego modemu. Po wpro-
Pojęcie domen Windows NT
109
wadzeniu numeru serwer rozłącza połączenie i oddzwania pod wskaza-
ny numer.
Prawa użytkownika a pozwolenia
Jeśli już użytkownik ma konto w domenie, to może korzystać z różnych
jej zasobów. System steruje dostępem do zasobów czyli różnych obiektów
sieci poprzez pozwolenia. Pozwolenia przyznane użytkownikowi do kon-
kretnego obiektu umożliwiają mu podejmować określone działania zwią-
zane z tym obiektem Na przykład operację odczytu pliku lub zlecenie
wydruku do kolejki drukarki.
Innym regulatorem systemu ochrony systemu Windows NT są upraw-
nienia użytkownika. Zespół uprawnień użytkownika jest nawet nazywa-
ny strategią. Prawa użytkownika różnią się od przyznanych mu pozwo-
leń, gdyż dotyczą możliwości podejmowania określonych działań doty-
czących całego systemu. Na przykład: Jeśli użytkownik, mający upraw-
nienie o nazwie Back up files and directores (prawo archiwizacji plików
i katalogów) uruchomi program Windows NT Backup, archiwizator dzia-
łający w kontekście systemu bezpieczeństwa użytkownika będzie miał
pozwolenie odczytu (read permission) dotyczące wszystkich plików
w domenie. Uprawnienie do tworzenia kopii zapasowych umożliwia
więc użytkownikowi zarchiwizowanie nawet tych zbiorów, do których
nie ma odpowiednich pozwoleń.
Rysunek 4.8 ilustruje okno dialogu User Rights Policy (strategia praw
użytkownika), dostępne z poziomu menu programu narzędziowego User
Manager for Domains Polices.
Rysunek 4.8
Uprawnienia użytkownika
mają większe znaczenie niż
pozwolenia do obiektów.
Poniższa lista wymienia najczęściej stosowane uprawnienia użytkownika
oraz ich opisy:
Część II Implementacja systemu ochrony Microsoft Windows NT
110
Access this computer from network (prawo dostępu do komputera za
pośrednictwem sieci). Uprawnienie pozwala użytkownikowi do połą-
czenia się z komputerem poprzez sieć. Jeśli jest przyznane w środo-
wisku domeny, umożliwia dostęp do wszystkich kontrolerów dome-
ny. Jeśli jest przyznane na poziomie stacji roboczej, zezwala na połą-
czenie jedynie z tą stacją i z żadnym innym komputerem.
Add workstation to domain (prawo dołączania stacji roboczej do dome-
ny). Prawo umożliwia użytkownikowi dołączać do domeny stacje ro-
bocze. Dołączona stacja może rozpoznawać użytkowników domeny
oraz globalne konta grup. Prawo jest domyślnie przyznane grupom
Domain Administrators (administratorzy domeny) oraz Account Ope-
rators (operatorzy kont) i nie może być im odebrane.
Back up files and directores (prawo tworzenia zapasowych kopii plików
i katalogów). W czasie archiwizacji uprawnienie zastępuje wszelkie
pozwolenia do plików i katalogów bez względu, czy są to pozwolenia
do zasobów współdzielonych, czy pozwolenia na poziomie NTFS. Je-
śli jest przyznane w środowisku domeny, umożliwia archiwizację
wszystkich kontrolerów domeny. Jeśli jest przyznane na poziomie sta-
cji roboczej, dotyczy jedynie zbiorów tego komputera.
Change the system Time (prawo zmiany czasu systemowego). Upraw-
nienie umożliwia sterowanie zegarem systemowym (lub wewnętrz-
nym) komputera. Przyznane w środowisku domeny, pozwala stero-
wać zegarami wszystkich kontrolerów domeny. Jeśli jest przyznane na
poziomie stacji roboczej, dotyczy jedynie tego komputera.
Load and unload device drivers (prawo instalowania i deinstalacji ste-
rowników urządzeń). Uprawnia użytkownika do dynamicznej insta-
lacji i deinstalacji sterowników. Przyznane w środowisku domeny,
umożliwia działanie na wszystkich kontrolerach domeny. Przyznane
na poziomie stacji roboczej, dotyczy jedynie tego komputera.
Log on locally (prawo do lokalnej rejestracji). Użytkownik posiadający
to uprawnienie może zarejestrować się na komputerze nie tylko po-
przez sieć ale bezpośrednio z
konsoli. Uprawnienie przyznane
w środowisku domeny, dotyczy wszystkich kontrolerów domeny.
Przyznane na poziomie stacji roboczej, umożliwia lokalną rejestracje
jedynie na niej.
Manage auditing and security log (prawo zarządzania systemem moni-
toringu oraz dziennikiem ochrony). Użytkownik, któremu przyznano
to uprawnienie, może zarządzać systemem nadzoru nad plikami, ka-
talogami oraz innymi obiektami za pośrednictwem pozycji Security
okna dialogowego Properties (właściwości) każdego obiektu. Ponadto
może korzystać z narzędzi monitoringu (Audit) menu Polices (strate-
Pojęcie domen Windows NT
111
gie) celem konfiguracji śledzonych przez system zdarzeń związanych
z ochroną. Domyślnie uprawnienie przysługuje jedynie grupie admi-
nistratorów. Przyznane w środowisku domeny, dotyczy wszystkich
kontrolerów domeny. Przyznane na poziomie stacji roboczej, dotyczy
jedynie tego komputera
Restore files and directories (prawo odtwarzania plików i katalogów
z kopii zapasowych). Uprawnienie pozwala odtwarzać na kompute-
rze pliki i katalogi. Zastępuje wszystkie pozwolenia do zbiorów na
poziomie zasobów wspólnych oraz NTFS. Przyznane w środowisku
domeny, umożliwia odtwarzanie zbiorów na wszystkich kontrolerach
domeny. Przyznane na poziomie stacji roboczej, dotyczy jedynie tego
komputera.
Shut down the system (prawo wygaszenia systemu). Uprawnienie
przyznane w środowisku domeny, umożliwia wyłączenie każdego
kontrolera domeny. Przyznane na poziomie stacji roboczej, dotyczy
jedynie tego komputera.
Take ownership of files or other object (prawo przejmowania własności
plików i innych obiektów). Uprawnienie przyznane w środowisku
domeny, umożliwia przejęcie własności każdego obiektu Windows
NT znajdującego na dowolnym kontrolerze domeny. Przyznane na
poziomie stacji roboczej, dotyczy jedynie tego komputera
Bypass traverse checking (prawo omijania kontroli dostępu do katalo-
gów nadrzędnych). Uprawnienie należy do grupy zaawansowanych,
co między innymi oznacza, że jest dostępne po zaznaczeniu pola wy-
boru Show Advanced User Rights. Uprawnienie powoduje, że o dostępie
do pliku lub katalogu decydują jedynie pozwolenia dotyczące bezpo-
średnio tego zbioru. Nie ma żadnego znaczenia, jakie są pozwolenia
udzielone użytkownikowi do katalogów nadrzędnych. Jeśli konto nie
posiada uprawnienia Bypass traverse checking, to brak pozwoleń do
katalogów nadrzędnych ma istotny wpływ na dostępność do zbioru.
Rozważmy przykład: Ed ma pozwolenie pełnej kontroli (full control)
znajdującego się na serwerze katalogu
C:\DOKUMENT
. Do katalogu
głównego C:\ ma jednak dostęp zabroniony. Jeśli jego konto posiada
uprawnienie omijania kontroli dostępu do katalogów nadrzędnych, to
Ed może w pełni dysponować katalogiem \DOKUMENT. Jeśli konto
uprawnienia nie posiada, to wobec braku dostępu do katalogu głów-
nego, dostęp do jego podkatalogów również jest niemożliwy. Przy
domyślnej konfiguracji systemu uprawnienie jest przyznane grupie
Everyone (wszyscy). Uprawnienie przyznane w środowisku domeny,
dotyczy wszystkich kontrolerów domeny. Przyznane na poziomie sta-
cji roboczej, dotyczy jedynie tego komputera.
Część II Implementacja systemu ochrony Microsoft Windows NT
112
Log on as a service (prawo rejestracji w systemie w charakterze usługi).
Uprawnienie z grupy zaawansowanych, umożliwia rejestrację konta
w charakterze usługi. Typowe zastosowanie prawa dotyczy kont wy-
korzystywanych przez aplikacje, które muszą przejść rejestracje
w
czasie uruchamiania systemu. Uprawnienie przyznane
w środowisku domeny, dotyczy wszystkich kontrolerów domeny.
Przyznane na poziomie stacji roboczej, dotyczy jedynie tego kompute-
ra.
Windows NT umożliwia konfiguracje jeszcze innych, zaawansowanych
uprawnień, których na ogół nie stosuje się wobec użytkowników syste-
mu. Są to uprawnienia interesujące w zasadzie jedynie programistów
tworzących aplikacje dla środowiska NT.
Tworzenie grup użytkowników
W tej sekcji wprowadzimy pojęcie grup użytkowników oraz omówimy,
jak z nich korzystać, by ułatwić sobie administrowanie domeną. Poznamy
dwa typy grup stosowanych w środowisku Windows NT: grupy lokalne
(Local) oraz globalne (Global). Grupy należące do pierwszej kategorii
mogą zawierać konta użytkowników domeny lokalnej oraz domen upo-
ważnionych. Elementami grup lokalnych mogą być również konta grup
globalnych. Grupy globalne mogą zawierać jedynie konta użytkowników
założone w swojej domenie, przy czym nie wyklucza się możliwości na-
leżenia konta do innych domen obdarzonych stosownymi relacjami
upoważnienia. Zanim dokładnie omówimy różnice między obu rodzaja-
mi grup, odpowiemy najpierw na pytanie, czym jest grupa?
Co to jest grupa?
Grupa jest zbiorem indywidualnych kont użytkowników, z których każ-
dy dziedziczy pozwolenia i prawa przyznane całej grupie. Dzięki takie-
mu rozwiązaniu stosowne pełnomocnictwa mogą być udzielane jedno-
cześnie wszystkim kontom grupy, co znacznie ułatwia prace administra-
cyjne. Najlepszą kolejnością jest utworzenie grupy, przeznaczonej do
realizacji określonych zadań, udzielenie jej właściwych przywilejów,
a dopiero na końcu dodawanie kolejnych kont jako elementów grupy.
Grupy wykorzystuje się również do przekazywania wybranych zadań
administracyjnych odpowiednim użytkownikom.
Różnice między grupami globalnymi, a grupami lokalnymi
Grupa globalna może zawierać jedynie konta użytkowników indywidu-
alnych. Elementami grupy globalnej nie mogą być konta innych grup.
Pojęcie domen Windows NT
113
Konta należące do grupy globalnej muszą należeć do domeny, w której
grupa została założona. Grupom globalnym można co prawda przyzna-
wać pozwolenia dostępu, ale takie rozwiązanie nie jest zalecane.
Czemu zatem służą grupy globalne? Służą do umieszczenia stosownych
użytkowników w grupie lokalnej! Z konta użytkowników indywidual-
nych tworzy się grupę globalną. Z kont grup globalnych tworzy się grupę
lokalną. Zagadnienie ilustruje tabela 4.3.
Tabela 4.3 Stosowanie grup lokalnych i globalnych
Jeśli elementami grupy będą
konta typu
które potrzebują dostępu do
to zastosować
grupę
konta użytkowników domeny
lokalnej,
kontrolerów domeny, serwerów
samodzielnych i stacji roboczych
z domeny lokalnej lub domeny
upoważniającej,
globalną
konta użytkowników domeny
lokalnej lub domeny
upoważnionej,
kontrolerów domeny lokalnej,
lokalną
konta grup globalnych
z domeny lokalnej lub domeny
upoważnionej,
kontrolerów domeny lokalnej,
lokalną
Wszystko stanie się jaśniejsze, gdy zakończymy dyskusję o relacjach
upoważnienia. Na razie pamiętajmy, że zasięg grup globalnych może
wykraczać na domeny posiadające stosowne relacje upoważnienia. Za-
sięg grup lokalnych nie może wykraczać poza domenę, ale elementami
grupy lokalnej mogą być konta grup globalnych z domen upoważnio-
nych. Wkrótce wszystko nabierze sensu.
Grupy predefiniowane
System operacyjny Windows NT tworzy w
czasie instalacji kilka
predefiniowanych grup. Każdej z
nich są przyznane specyficzne
uprawnienia i
pozwolenia służące zazwyczaj członkom grup do
wypełniania różnych zadań administracyjnych. Na przykład: członkowie
grupy Print Operators (operatorzy drukarek) mogą uruchomić lub
zatrzymać wydzielone do wspólnego użytku drukarki. Przyznawanie
przywilejów administracyjnych drogą przyłączania wybranych
użytkowników do odpowiednich grup jest łatwe. Zazwyczaj jest to
zresztą jedyna sensowna droga, co nie wyklucza udzielenia, na przykład,
prawa do zmiany czasu systemowego wyłącznie jednemu kontu
indywidualnemu.
Większość predefiniowanych grup użytkowników należy do kategorii
grup lokalnych. Oznacza to, że mogą do nich należeć konta indywidual-
ne i konta grup globalnych zarówno z domeny lokalnej jak i z domeny
Część II Implementacja systemu ochrony Microsoft Windows NT
114
upoważnionej. Trzy predefiniowane grupy należą do kategorii global-
nych:
Domain Admins (administratorzy domeny)
Domain Users (użytkownicy domeny)
Domain Guest (goście domeny)
Członkowie tych grup mogą zostać uprawnieni do podejmowania dzia-
łań w innej domenie upoważniającej naszą. W tym celu należy uczynić
wybraną grupę elementem odpowiedniej grupy lokalnej na domenie
upoważniającej naszą. Rozważmy przykład: Domena ZASOBY upoważ-
nia domenę KONTA. Chcemy aby członkowie globalnej grupy Domain
Users, należącej do domeny KONTA, mogli administrować kontami
w domenie ZASOBY. W tym celu wystarczy tę grupę uczynić elementem
grupy Account Operators (operatorzy kont) w domenie ZASOBY. Rów-
nież ten przykład stanie się bardziej przejrzysty po dokładnej analizie
problematyki relacji upoważnienia. Na razie przyjrzyjmy się różnym
predefiniowanym kontom lokalnym. Spis grup, wraz z opisem przyzna-
nych im uprawnień zamieszcza tabela 4.4.
Tabela 4.4 Opis predefiniowanych grup lokalnych
Nazwa grupy
Położenie grupy
Opis
Administrators
(administratorzy)
Kontrolery domeny, serwery
samodzielne oraz stacje
robocze
Umożliwia członkom pełną kontrolę
administracyjną komputera
i kontrolerów domeny. Jest jedyną
grupą automatycznie wyposażoną we
wszystkie predefiniowane prawa
i pozwolenia. Grupa globalna Domain
Admins jest domyślnie członkiem tej
grupy, ale może być z niej usunięta.
Backup Operators
(operatorzy
archiwizacji)
Kontrolery domeny, serwery
samodzielne oraz stacje
robocze
Członkowie grupy mogą
archiwizować oraz odtwarzać pliki
kontrolerów domeny, niezależnie od
posiadanych pozwoleń.
Automatycznie wyposażeni są
również w prawo do lokalnej
rejestracji na serwerach oraz
wygaszania systemu.
Server Operators
(operatorzy
serwerów)
Kontrolery domeny, serwery
samodzielne oraz stacje
robocze
Członkowie grupy zarządzają
zasobami dostępnymi w domenie.
Mogą tworzyć, modyfikować,
konfigurować i usuwać zarówno
drukarki jak zasoby współdzielone.
Mogą również formatować twarde
dyski serwerów, archiwizować
i odtwarzać zbiory, zamykać
i otwierać serwery, zmieniać czas
Pojęcie domen Windows NT
115
Nazwa grupy
Położenie grupy
Opis
systemowy, rejestrować się lokalnie
oraz wyłączać serwery.
Account Operators
(operatorzy kont)
Kontrolery domeny, serwery
samodzielne oraz stacje
robocze
Przynależność do grupy uprawnia do
uruchamiania programu User
Manager for Domains i tworzenia,
modyfikowania oraz usuwania
większości kont użytkowników
i grup. Członkowie grupy nie mogą
modyfikować ani usuwać grupy
Domain Admins, pozostałych grup
operatorów, grupy Administrators
oraz członków tych grup. Mogą
rejestrować się lokalnie, wygaszać
serwer oraz dodać komputer do
domeny przy użyciu programu Server
Manager.
Print Operators
(operatorzy
drukarek)
Kontrolery domeny, serwery
samodzielne oraz stacje
robocze
Członkowie grupy mogą tworzyć,
usuwać i zarządzać współdzielonymi
zasobami drukarek na kontrolerach
domeny. Mogą rejestrować się
lokalnie i wygaszać serwery.
Users
(użytkownicy)
Kontrolery domeny
Umożliwia użytkownikom lokalną
rejestrację na stacjach roboczych (ale
nie na serwerze!). Grupa globalna
Domain Users jest elementem tej
grupy, lecz może być z niej usunięta.
Guests
(goście)
Kontrolery domeny
Pozwala na ograniczony
„jednorazowy” dostęp do systemu
okazjonalnym użytkownikom.
Przyznaje ograniczony dostęp do
stacji roboczej, nie dając żadnych
indywidualnych uprawnień do
serwera. Globalna grupa gości jest
elementem tej grupy, ale może być
z niej usunięta.
Replicator
(powielacz)
Kontrolery domeny
Ułatwia powielanie katalogów
i powinna zwierać jedynie konta
usług wykorzystywanych łącznie
z usługą powielania katalogów
(Replicator service). Grupa nie
powinna być elementem żadnej innej
grupy.
System tworzy jeszcze kilka grup specjalnych, które nie są wykazywane
przez program User Manager for Domains, ale pojawiają się czasami
podczas konfiguracji pozwoleń. Przynależność do grup specjalnych jest
Część II Implementacja systemu ochrony Microsoft Windows NT
116
określana automatycznie i nie podlega konfiguracji (dlatego menedżer
nie wykazuje tych grup). Oto one:
Everyone (wszyscy) - grupa zawiera wszystkich lokalnych i odległych
(interaktywnych i sieciowych) użytkowników systemu. Domyślnie
grupa posiada dostęp do sieci. Można jej przyznać pozwolenia dostę-
pu do drukarek i zasobów współdzielonych.
Interactive - grupę tworzą użytkownicy zarejestrowani lokalnie na
komputerze.
Network - grupę tworzą wszyscy użytkownicy zarejestrowani na
komputerze poprzez sieć.
System - system operacyjny.
Creator Owner- używane do wyznaczania i przenoszenia uprawnień
do tworzenia plików, katalogów i kolejek drukarek.
Omówienie predefiniowanych grup kończymy opisem grup globalnych
tworzonych na wszystkich kontrolerach domeny:
Domain Admins (administratorzy domeny) - z chwilą instalacji sys-
temu grupa staje się elementem lokalnej grupy administratorów do-
meny oraz lokalnych grup administratorów na serwerach oraz sta-
cjach roboczych. Predefiniowane konto Administrator jest domyślnym
elementem tej grupy. Przynależność do grupy umożliwia osobie zare-
jestrowanej na koncie administratora zarządzanie wszystkimi kontro-
lerami oraz wszystkimi serwerami oraz stacjami roboczymi NT nale-
żącymi do domeny. Dodanie konta do grupy upoważnia je do wyko-
nywania wszystkich funkcji administracyjnych - w domenie oraz na
samodzielnych serwerach i stacjach roboczych. Dodając globalną gru-
pę administratorów domeny upoważnionej do lokalnej grupy admini-
stratorów domeny upoważniającej umożliwiamy członkom grupy za-
rządzanie domeną upoważniającą. Jedynymi użytkownikami mogą-
cymi modyfikować grupę Domain Admins są członkowie grupy admi-
nistratorów. Grupa nie może być usunięta.
Domain Users (użytkownicy domeny) - wszystkie nowe konta two-
rzone w domenie stają się członkami tej grupy. Pierwszym elementem
grupy jest konto administratora. Grupa jest elementem lokalnych grup
Users domeny oraz wszystkich samodzielnych serwerów i stacji robo-
czych Windows NT. Dzięki temu nowy użytkownik może mieć dostęp
do zasobów udostępnionych w domenie, na samodzielnych serwerach
i stacjach roboczych. Grupę mogą modyfikować jedynie członkowie
grup administratorów oraz operatorów kont. Grupa nie może być
usunięta.
Pojęcie domen Windows NT
117
Domain Guest (goście domeny) - podczas instalacji elementem grupy
staje się predefiniowane konto Guest (gość). Grupa jest elementem lo-
kalnej grupy Guest. Charakterystyczną cechą kont należących do gru-
py jest ograniczony dostęp do zasobów domeny. Grupę mogą konfi-
gurować członkowie grup administratorów oraz operatorów kont.
Grupa nie może być usunięta.
W innych rozdziałach ...
W niniejszym rozdziale mogliśmy zobaczyć, w jaki sposób domeny two-
rzą wygodną do administrowania strukturę sieci. W następnym rozdziale
nauczymy się łączyć domeny relacjami upoważnienia. Informacje zawar-
te w kolejnej części książki powinny rozjaśnić ewentualne wątpliwości
dotyczące grup lokalnych i globalnych.
Rozdział 5 - Rola relacji upoważnienia między domenami w systemie
ochrony - wyjaśnia pojęcie relacji upoważnienia. Połączenie oddziel-
nych domen w jedną strukturę umożliwia scentralizowaną admini-
strację kontami użytkowników oraz zasobami sieci.
Rozdział 6 - Ochrona kont użytkownika w systemie Windows NT - przy-
bliża procesy weryfikacji tożsamości użytkownika z uwzględnieniem
działania systemu w złożonej strukturze domen połączonych relacja-
mi upoważnienia. Poznamy również niektóre parametry rejestrów
Windows NT związane z kontami użytkowników.
Rozdział 11 - Konfiguracja domeny głównej - jest studium tworzenia
instalacji według modelu z domeną główną, opracowanego w roz-
dziale dziesiątym. Obejrzymy budowanie struktury we wzorcowej
sieci.
Rozdział 12 - Konfiguracja relacji upoważnienia - jest kontynuacją przy-
kładu z poprzedniego rozdziału. Rozważania skupiają się w tej części
na dostosowaniu struktury sieci do postawionych wymagań za pomo-
cą różnych ustawień relacji upoważnienia.