Zarządzanie użytkownikami i grupami
Głównym celem każdego sieciowego systemu operacyjnego jest dostarczenie wspólnego dostępu do plików, drukarek i innych zasobów przypisanych do sieci. Tak jak ważna, jest zdolność systemu do współużytkowania zasobów przypisanych do sieci, tak samo ważna, jest zdolność sprawowania kontroli nad tym, kto może mieć dostęp i na jakim poziomie. Zdolność kontrolowania, kto może wykonywać funkcje administracyjne, jest innym krytycznym punktem bezpieczeństwa sieci.
Windows NT Server stosuje koncepcję kont użytkowników sieci i wyznaczania im przywilejów. NT wykorzystuje program User Manager for Domains pracujący w trybie graficznym i pamięta informacje o użytkownikach i grupach w bazie danych Security Access Manager, która jest rozproszona na wszystkich kontrolerach domeny w danej domenie. Zarządzenie użytkownikami i grupami jest realizowane na poziomie całej sieci. Narzędzia do zarządzania użytkownikami i grupami są wygodne w obsłudze.
Charakterystyka użytkowników i grup
Windows NT Server używa następującej terminologii dla zarządzania użytkownikami i grupami:
Domena
Logiczna grupa komputerów, zawierająca serwery i stacje robocze. Domena jest tym dla komputerów, czym grupa dla użytkowników. Domeny są ustalane najczęściej ustalane geograficznie lub funkcjonalnie. Na przykład, firma z biurami w Chicago, Pittsburgu i Winston-Salem może założyć domeny dla każdej lokalizacji. Wszystkie serwery i stacje robocze, fizyczne zlokalizowane w biurze w Chicago, będą przypisane do domeny Chicago i tak dalej. Jeśli firma posiada działy księgowości, administracji i sprzedaży w każdym biurze może również wybrać utworzenie trzech domen nazwanych Księgowość, Administracja i Sprzedaż. W tym przypadku, serwery i stacje robocze należą do działów administracji, będą przypisane do domeny Księgowość, niezależnie od ich fizycznej lokalizacji.
Prawa
Prawa (rights) kontrolują, kto może wykonać specyficzne działania. Na przykład członkowie grup Administrators i Server Operators mają prawo resetowania zagara / kalendarza w serwerze. Członkowie innych grup nie mają takiego prawa i w związku z tym nie mogą zmienić czasu i daty w serwerze. Prawa mogą być przyznawane prawa i w związku z tym nie mogą zmienić daty i czasu w serwerze. Prawa mogą być przyznawane użytkownikom, jak też grupom.
Zezwolenia
Zezwoleń (permissions) kontrolują dostęp do wspólnych zasobów w sieci. Przyznanie użytkownikowi zezwolenia do specyficznego zasobu, umożliwia mu dostęp do tego zasobu na dozwolonym poziomie. Na przykład, możesz przyznać użytkownikowi smith zezwolenie read-only do wspólnego foldera C:\WINNT, umożliwiające mu czytanie, ale nie zmiany, plików zawartych w tym folderze. Zezwolenia mogą przyznane zarówno użytkownikom, jak też grupom.
Użytkownik
Konto użytkownika zawiera całą informację potrzebną poszczególnemu użytkownikowi. Konto użytkownika może być kontem globalnym, przypisywanym zwykłemu użytkownikowi w domenie lub może być kontem lokalnym, przypisywanym użytkownikom z domen o ograniczonym dostępie, Konto użytkownika zawiera następujące informacje:
Informacja identyfikacyjna. Nazwa użytkownika i hasło niezbędne do zalogowania się w komputerze lub w domenie. NT Sever nie pozwala na powtarzanie się nazw, ponadto każde konto w momencie powstawania uzyskuje unikalny Security Identyfication (SID). SID nie może być modyfikowany przez administratora. Pojęcie SID ma zastosowanie ma także zastosowanie przy instalowaniu samego serwera i jest powodem, dlaczego musisz ponownie instalować NT, aby zmienić samodzielny serwer w kontroler domeny
Informacja o grupie. Grupa do której należy ten użytkownik.
Informacja o ograniczeniach konta i profilu. Położenie informacji o profilu dla tego użytkownika i jego ograniczeniach np. blokada konta lub logowanie ograniczone do określonej pory dnia lub określonej stacji roboczej.
Grupa
Użytkownicy mogą być przypisani do jednej lub większej ilości grup. Podobnie jak konta użytkownika, grupy mogą mieć użyczone prawa i zezwolenia. Użytkownik, który należy do pewnej grupy, korzysta z praw i zezwoleń, wyraźnie użyczonych grupie, do której należy. Właściciele użycie grup pozwala na bardziej efektywnie zarządzanie prawami i zezwoleniami użytkowników. Zamiast użyczać wyraźnie praw i zezwoleń, a następnie przypisać wielu użytkowników do tej grupy. Gdy potrzeba zmienić prawa i zezwolenia dla szeregu podobnych użytkowników, członków jakiejś grupy, prościej jest zmodyfikować prawa i zezwolenia dla całej grupy, niż dla każdego użytkownika z osobna.
NT Server posiada dwa rodzaje grup:
Grupa globalna. Grupa globalna zawiera tylko konta użytkowników, z domeny w której grupa została utworzona. Grupa globalna może mieć przypisane prawa i zezwolenia w innej domenie jeśli taka domena ufa domenie, do której należy grupa globalna. Pozwala to użytkownikowi, przypisanemu do grupy globalnej, na dostęp do zasobów w innej domenie bez wymagania tego, by miał konto w tej domenie. Grupa globalna nie może zawierać innych grup.
Grupa lokalna. Grupa lokalna może zawierać zarówno użytkowników, jak też i grupy globalne. Grupa lokalna może mieć przypisane prawa i zezwolenia tylko w domenie, w której została utworzona. Prawa i zezwolenia użyczone grupie lokalnej są dziedziczone przez wszystkich użytkowników i grupy globalne, członków danej grupy lokalnej. Możesz przypisać grupy globalne z różnych domen do pojedynczej grupy lokalnej i zarządzać tą grupą lokalną jak pojedynczą jednostką. Upraszcza to sposób użyczania dostępu do zasobów w domenie użytkownikom spoza domeny.
UWAGA
Łatwo jest pomylić cele i funkcje grup lokalnych i globalnych. Terminologia Microsoftu wygląda trochę mętnie, ponieważ grupa lokalna może zawierać użytkowników z każdej (globalnej) domeny, podczas gdy grupa globalne może zawierać użytkowników tylko z lokalnej domeny. Wszystko się wyjaśnia, gdy rozważymy aspekt lokalna / globalna z punktu widzenia praw i zezwoleń. Członkom grupy lokalnej można przypisać prawa i zezwolenia zarówno w lokalnej domenie, jak też w innych, ufnych domenach (trusted domains), podczas gdy członkom grupy lokalnej można przypisać prawa i zezwolenia tylko w domenie lokalnej, w której ta grupa została utworzona. Wykorzystuj grupy globalne do zarządzania prawami i zezwoleniami zasadniczych użytkowników - z lokalnej domeny. Wykorzystuj grupy globalne do użyczenia praw i zezwoleń drugorzędnym użytkownikom ze zdalnych nieufnych domen (untrusted domanis).
Domyślni użytkownicy
Windows NT Server tworzy podczas instalacji dwa domyślne konta użytkowników. Możesz zmienić nazwy kont wbudowanych, ale nie możesz ich skasować:
Administrator
Podczas instalacji NT tworzy automatycznie to konto i domaga się przypisania mu hasła. Konto Administrator jest automatycznie przypisywane do grupy lokalnej Administrators i do grup globalnych Doma-in Admins i Domain Users.
Guest
Konto Guest dostarcza ograniczonego dostępu do zasobów serwera i jest przeznaczone dla rzadkich, jednorazowych lub przypadkowych użytkowników. Po zainstalowaniu systemu jest ono zablokowane i wymaga ręcznego odblokowania. Jest ono automatycznie przypisywane do grupy globalnej Domain Guests. Do zasad dobrej pracy należy, żeby nie używać konta Administrator do wykonywania rutynowych prac. Zamiast niego utworzyć konto robocze i przypisać je do grup Admionistrators, Domain Admins i Domain users. Powstanie konto równoważne kontu administratora, posiadające wszystkie prawa i zezwolenia konta Administrator.
Domyślne grupy
NT tworzy podczas instalacji 11 domyślnych grup. Można zmieniać prawa do nich przypisane, ale nie można zmieniać im nazwy, ani ich skasować. Są to:
Account Operators
Użytkownicy przypisani do tej grupy lokalnej mogą tworzyć i zarządzać kontami użytkowników i grup w domenie, ale nie mogą przyznawać praw użytkownikom. Operatorzy Kont mogą jednak przypisać użytkowników do grup utworzonych przez Administrotora. Grupa lokalna Domain Admins ma automatycznie przypisane członkostwo w grupie Accunt Operators.
Administrators
Użytkownik przypisany do tej grupy lokalnej ma prawie całkowity dostęp do serwera i kontrolę nad nim. Może on mieć dostęp do każdego pliku lub katalogu na wolumenie FAT, lecz może mieć zakazany przez zezwolenia plikowe NTFS lub zezwolenia katalogowe bezpośredni dostęp do zasobów wolumenu NTFS. Członek tej grupy może przejąć własność zasobów i ten sposób ominąć ograniczenia NTFS. Grupa globalna Domain Admins i konto Administrator mają automatycznie przypisane członkostwo w grupie Administrators.
Backup operators
Członkostwo w tej grupie nadaje prawa potrzebne do wykonywania kopii archiwalnych zasobów serwera. Prawa te obejmują lokalne logowanie się na serwerze, zamykanie serwera i omijanie zezwoleń plikowych i katalogowych NTFS w rozmiarze koniecznym do wykonania archiwizacji. Prawo do przywracanie serwera musi ręcznie nadać Administrator. Żadne grupy i użytkownicy nie mają automatycznie przypisanego członkostwa w grupie Backuop Operators, z wyjątkiem użytkownika przypisanego do grupy lokalnej replikator, który jest także automatycznie przypisany jako członek grupy Backup Opera-tors.
Domain Admins
Członkowstwo w tej grupie globalnej domyślnie zawiera przywileje Administratora. Kontu użytkownika Administrator domyślnie przypisane jest członkostwo w tej grupie, nadając lokalnemu administrato-rowi przywileje administratora domeny. Grupie Domain Admins jest z kolei automatycznie przypisywane członkostwo z grupie lokalnej Administrators, przez co każdy członek grupy Domain Admins ma nadane przywileje lokalnego administratora. Możesz usunąć grupę globalną Domain Admins z grupy lokalnej Administrators, jeśli chcesz ograniczyć władzę lokalną członkom grupy Domain Admins.
Domain Guests
Członkowstwo w tej grupie globalnej nadaje ograniczone prawa związane z kontem gościa. Domyslnie użytkownik Guest jest członkiem grupy Domain Guests, a grupa Domain Guests jest z kolei członkiem grupy lokalnej Guests. Wbudowane konto użytkownika Guest ma automatycznie przypisane członkostwo w grupie Domain Guests.
Domain Users
Członkowstwo w tej grupie globalnej nadaje standardowy zestaw praw, dostatecznych dla "zwykłego" użytkownika w sieci. Grupa Domain Users jest członkiem grupy lokalnej Users. Domyślnie wszystkim nowo tworzonym użytkownikom jest przypisywane członkostwo w grupie Domain users.
Guests
Członkostwo w tej grupie lokalnej nadaje bardzo ograniczone przywileje i jest przeznaczone dla rzadkich lub jednorazowych użytkowników. Grupie globalnej Domain Guests jest automatycznie przypisywa-ne członkostwo w grupie Guests.
Print Operators
Członkostwo w tej grupie lokalnej nadaje prawa konieczne do tworzenia i zarządzania wspólnym wydrukiem w domenie, włączając w to lokalne logowanie się w serwerze i zamykanie systemu. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie.
Server Replicator
Członkostwo w tej grupie lokalnej nadaje prawa konieczne do obsługi powielania katalogów. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie. Członkostwo może być przypisane tylko specjalnym użytkownikom, tworzonym podczas realizacji usługi powielania katalogów.
Server Operators
Członkostwo w tej grupie nadaje prawa niższe od praw grupy Administators. Członkowie tej grupy mogą archiwizować i przywracać pliki oraz katalogi, zmieniać czas systemowy, wymuszać zdalne za-mknięcie, logować się lokalnie do konsoli serwera i zamykać serwer. Żadnym użytkownikom ani grupom nie jest przypisywane automatycznie członkostwo w tej grupie.
Users
Członkostwo w tej grupie nadaje standardowy zestaw praw, dostatecznych dla "zwykłego" użytkownika sieci. Lokalni użytkownicy (w przeciwieństwie do użytkowników globalnych) są przypisani do tej grupy. Grupie Domain users jest automatycznie przypisywane członkostwo w grupie Users.
Power Users
Nowa instalacja Windows NT 4.0 tej grupy nie tworzy. Grupa ta wystąpi przy aktualizacji z Windows NT 3.5x lub wersji beta Windows NT 4.0. Zostanie ona zaimportowana i wystąpi jako grupa systemowa na liście grup. Członkostwo w grupie Power Users rozszerza nieznacznie uprawnienia standardowego konta użytkownika, pozwalając mu na tworzenie i zarządzanie innymi użytkownikami. Żadni użytkownicy, ani grupy nie są automatycznie przypisywane do grupy Power Users.
12 Zarządzanie Windows NT4 Server 4 z 4