12 Zarzadzanie NT, 12 Zarzadzanie NT, Zarządzanie użytkownikami i grupami


Zarządzanie użytkownikami i grupami

Głównym celem każdego sieciowego systemu operacyjnego jest dostarczenie wspólnego dostępu do plików, drukarek i innych zasobów przypisanych do sieci. Tak jak ważna, jest zdolność systemu do współużytkowania zasobów przypisanych do sieci, tak samo ważna, jest zdolność sprawowania kontroli nad tym, kto może mieć dostęp i na jakim poziomie. Zdolność kontrolowania, kto może wykonywać funkcje administracyjne, jest innym krytycznym punktem bezpieczeństwa sieci.

Windows NT Server stosuje koncepcję kont użytkowników sieci i wyznaczania im przywilejów. NT wykorzystuje program User Manager for Domains pracujący w trybie graficznym i pamięta informacje o użytkownikach i grupach w bazie danych Security Access Manager, która jest rozproszona na wszystkich kontrolerach domeny w danej domenie. Zarządzenie użytkownikami i grupami jest realizowane na poziomie całej sieci. Narzędzia do zarządzania użytkownikami i grupami są wygodne w obsłudze.

Charakterystyka użytkowników i grup

Windows NT Server używa następującej terminologii dla zarządzania użytkownikami i grupami:

Domena

Logiczna grupa komputerów, zawierająca serwery i stacje robocze. Domena jest tym dla komputerów, czym grupa dla użytkowników. Domeny są ustalane najczęściej ustalane geograficznie lub funkcjonalnie. Na przykład, firma z biurami w Chicago, Pittsburgu i Winston-Salem może założyć domeny dla każdej lokalizacji. Wszystkie serwery i stacje robocze, fizyczne zlokalizowane w biurze w Chicago, będą przypisane do domeny Chicago i tak dalej. Jeśli firma posiada działy księgowości, administracji i sprzedaży w każdym biurze może również wybrać utworzenie trzech domen nazwanych Księgowość, Administracja i Sprzedaż. W tym przypadku, serwery i stacje robocze należą do działów administracji, będą przypisane do domeny Księgowość, niezależnie od ich fizycznej lokalizacji.

Prawa

Prawa (rights) kontrolują, kto może wykonać specyficzne działania. Na przykład członkowie grup Administrators i Server Operators mają prawo resetowania zagara / kalendarza w serwerze. Członkowie innych grup nie mają takiego prawa i w związku z tym nie mogą zmienić czasu i daty w serwerze. Prawa mogą być przyznawane prawa i w związku z tym nie mogą zmienić daty i czasu w serwerze. Prawa mogą być przyznawane użytkownikom, jak też grupom.

Zezwolenia

Zezwoleń (permissions) kontrolują dostęp do wspólnych zasobów w sieci. Przyznanie użytkownikowi zezwolenia do specyficznego zasobu, umożliwia mu dostęp do tego zasobu na dozwolonym poziomie. Na przykład, możesz przyznać użytkownikowi smith zezwolenie read-only do wspólnego foldera C:\WINNT, umożliwiające mu czytanie, ale nie zmiany, plików zawartych w tym folderze. Zezwolenia mogą przyznane zarówno użytkownikom, jak też grupom.

Użytkownik

Konto użytkownika zawiera całą informację potrzebną poszczególnemu użytkownikowi. Konto użytkownika może być kontem globalnym, przypisywanym zwykłemu użytkownikowi w domenie lub może być kontem lokalnym, przypisywanym użytkownikom z domen o ograniczonym dostępie, Konto użytkownika zawiera następujące informacje:

Grupa

Użytkownicy mogą być przypisani do jednej lub większej ilości grup. Podobnie jak konta użytkownika, grupy mogą mieć użyczone prawa i zezwolenia. Użytkownik, który należy do pewnej grupy, korzysta z praw i zezwoleń, wyraźnie użyczonych grupie, do której należy. Właściciele użycie grup pozwala na bardziej efektywnie zarządzanie prawami i zezwoleniami użytkowników. Zamiast użyczać wyraźnie praw i zezwoleń, a następnie przypisać wielu użytkowników do tej grupy. Gdy potrzeba zmienić prawa i zezwolenia dla szeregu podobnych użytkowników, członków jakiejś grupy, prościej jest zmodyfikować prawa i zezwolenia dla całej grupy, niż dla każdego użytkownika z osobna.

NT Server posiada dwa rodzaje grup:

UWAGA

Łatwo jest pomylić cele i funkcje grup lokalnych i globalnych. Terminologia Microsoftu wygląda trochę mętnie, ponieważ grupa lokalna może zawierać użytkowników z każdej (globalnej) domeny, podczas gdy grupa globalne może zawierać użytkowników tylko z lokalnej domeny. Wszystko się wyjaśnia, gdy rozważymy aspekt lokalna / globalna z punktu widzenia praw i zezwoleń. Członkom grupy lokalnej można przypisać prawa i zezwolenia zarówno w lokalnej domenie, jak też w innych, ufnych domenach (trusted domains), podczas gdy członkom grupy lokalnej można przypisać prawa i zezwolenia tylko w domenie lokalnej, w której ta grupa została utworzona. Wykorzystuj grupy globalne do zarządzania prawami i zezwoleniami zasadniczych użytkowników - z lokalnej domeny. Wykorzystuj grupy globalne do użyczenia praw i zezwoleń drugorzędnym użytkownikom ze zdalnych nieufnych domen (untrusted domanis).

Domyślni użytkownicy

Windows NT Server tworzy podczas instalacji dwa domyślne konta użytkowników. Możesz zmienić nazwy kont wbudowanych, ale nie możesz ich skasować:

Administrator

Podczas instalacji NT tworzy automatycznie to konto i domaga się przypisania mu hasła. Konto Administrator jest automatycznie przypisywane do grupy lokalnej Administrators i do grup globalnych Doma-in Admins i Domain Users.

Guest

Konto Guest dostarcza ograniczonego dostępu do zasobów serwera i jest przeznaczone dla rzadkich, jednorazowych lub przypadkowych użytkowników. Po zainstalowaniu systemu jest ono zablokowane i wymaga ręcznego odblokowania. Jest ono automatycznie przypisywane do grupy globalnej Domain Guests. Do zasad dobrej pracy należy, żeby nie używać konta Administrator do wykonywania rutynowych prac. Zamiast niego utworzyć konto robocze i przypisać je do grup Admionistrators, Domain Admins i Domain users. Powstanie konto równoważne kontu administratora, posiadające wszystkie prawa i zezwolenia konta Administrator.

Domyślne grupy

NT tworzy podczas instalacji 11 domyślnych grup. Można zmieniać prawa do nich przypisane, ale nie można zmieniać im nazwy, ani ich skasować. Są to:

Account Operators

Użytkownicy przypisani do tej grupy lokalnej mogą tworzyć i zarządzać kontami użytkowników i grup w domenie, ale nie mogą przyznawać praw użytkownikom. Operatorzy Kont mogą jednak przypisać użytkowników do grup utworzonych przez Administrotora. Grupa lokalna Domain Admins ma automatycznie przypisane członkostwo w grupie Accunt Operators.

Administrators

Użytkownik przypisany do tej grupy lokalnej ma prawie całkowity dostęp do serwera i kontrolę nad nim. Może on mieć dostęp do każdego pliku lub katalogu na wolumenie FAT, lecz może mieć zakazany przez zezwolenia plikowe NTFS lub zezwolenia katalogowe bezpośredni dostęp do zasobów wolumenu NTFS. Członek tej grupy może przejąć własność zasobów i ten sposób ominąć ograniczenia NTFS. Grupa globalna Domain Admins i konto Administrator mają automatycznie przypisane członkostwo w grupie Administrators.

Backup operators

Członkostwo w tej grupie nadaje prawa potrzebne do wykonywania kopii archiwalnych zasobów serwera. Prawa te obejmują lokalne logowanie się na serwerze, zamykanie serwera i omijanie zezwoleń plikowych i katalogowych NTFS w rozmiarze koniecznym do wykonania archiwizacji. Prawo do przywracanie serwera musi ręcznie nadać Administrator. Żadne grupy i użytkownicy nie mają automatycznie przypisanego członkostwa w grupie Backuop Operators, z wyjątkiem użytkownika przypisanego do grupy lokalnej replikator, który jest także automatycznie przypisany jako członek grupy Backup Opera-tors.

Domain Admins

Członkowstwo w tej grupie globalnej domyślnie zawiera przywileje Administratora. Kontu użytkownika Administrator domyślnie przypisane jest członkostwo w tej grupie, nadając lokalnemu administrato-rowi przywileje administratora domeny. Grupie Domain Admins jest z kolei automatycznie przypisywane członkostwo z grupie lokalnej Administrators, przez co każdy członek grupy Domain Admins ma nadane przywileje lokalnego administratora. Możesz usunąć grupę globalną Domain Admins z grupy lokalnej Administrators, jeśli chcesz ograniczyć władzę lokalną członkom grupy Domain Admins.

Domain Guests

Członkowstwo w tej grupie globalnej nadaje ograniczone prawa związane z kontem gościa. Domyslnie użytkownik Guest jest członkiem grupy Domain Guests, a grupa Domain Guests jest z kolei członkiem grupy lokalnej Guests. Wbudowane konto użytkownika Guest ma automatycznie przypisane członkostwo w grupie Domain Guests.

Domain Users

Członkowstwo w tej grupie globalnej nadaje standardowy zestaw praw, dostatecznych dla "zwykłego" użytkownika w sieci. Grupa Domain Users jest członkiem grupy lokalnej Users. Domyślnie wszystkim nowo tworzonym użytkownikom jest przypisywane członkostwo w grupie Domain users.

Guests

Członkostwo w tej grupie lokalnej nadaje bardzo ograniczone przywileje i jest przeznaczone dla rzadkich lub jednorazowych użytkowników. Grupie globalnej Domain Guests jest automatycznie przypisywa-ne członkostwo w grupie Guests.

Print Operators

Członkostwo w tej grupie lokalnej nadaje prawa konieczne do tworzenia i zarządzania wspólnym wydrukiem w domenie, włączając w to lokalne logowanie się w serwerze i zamykanie systemu. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie.

Server Replicator

Członkostwo w tej grupie lokalnej nadaje prawa konieczne do obsługi powielania katalogów. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie. Członkostwo może być przypisane tylko specjalnym użytkownikom, tworzonym podczas realizacji usługi powielania katalogów.

Server Operators

Członkostwo w tej grupie nadaje prawa niższe od praw grupy Administators. Członkowie tej grupy mogą archiwizować i przywracać pliki oraz katalogi, zmieniać czas systemowy, wymuszać zdalne za-mknięcie, logować się lokalnie do konsoli serwera i zamykać serwer. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie.

Users

Członkostwo w tej grupie nadaje standardowy zestaw praw, dostatecznych dla "zwykłego" użytkownika sieci. Lokalni użytkownicy (w przeciwieństwie do użytkowników globalnych) są przypisani do tej grupy. Grupie Domain users jest automatycznie przypisywane członkostwo w grupie Users.

Power Users

Nowa instalacja Windows NT 4.0 tej grupy nie tworzy. Grupa ta wystąpi przy aktualizacji z Windows NT 3.5x lub wersji beta Windows NT 4.0. Zostanie ona zaimportowana i wystąpi jako grupa systemowa na liście grup. Członkostwo w grupie Power Users rozszerza nieznacznie uprawnienia standardowego konta użytkownika, pozwalając mu na tworzenie i zarządzanie innymi użytkownikami. Żadni użytkownicy, ani grupy nie są automatycznie przypisywane do grupy Power Users.

12 Zarządzanie Windows NT4 Server 4 z 4



Wyszukiwarka