Light-electric.com

IT Журнал
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Доступ к папкам в домене

Для системного администратора

Контроль доступа к ресурсам

Все знают, что очень важно защищать ресурсы в сети. Ресурсы, которые необходимо защищать, включают в себя папки и содержащиеся в них файлы, а также некоторые ключи реестра (Registry keys), которые размещаются на серверах и рабочих станциях по всей корпорации. Мы не должны забывать о тех объектах Active Directory, которые размещаются на контроллерах доменов (domain controller). Все эти ресурсы необходимо охранять таким образом, чтобы доступ к ним имели лишь те пользователи, которые должны его иметь. Для контроля прав к этим ресурсам у вас есть несколько вариантов. Некоторые их этих вариантов более привлекательны, чем другие, но необходимо рассмотреть все варианты.

Права на ресурсы 101

Прежде чем перейти к рассказу о правах на ресурсы, я должен объяснить, о каких ресурсах идет речь, а также как защищать ресурсы при помощи прав. Существует огромное число ресурсов в каждой сети, поэтому я не смогу перечислить все из них. Однако, я расскажу об основных ресурсах, которые вы захотите контролировать.

Перед тем, как я приведу список ресурсов, я хочу пояснить кое-что, что смущает даже опытных администраторов. Существует два типа прав, которые можно настроить на ресурсе. Есть NTFS права, а также права на общий доступ (share permission). Мы будем обсуждать права NTFS. Права на общий доступ в действительности не обеспечивают должной безопасности ресурса, т.к. эти ресурсы контролируют лишь доступ в общую папку (shared folder), вместо обеспечения последовательного доступа к дочерним папкам и файлам, которые в ней содержаться. Чтобы пояснить, где настраиваются каждые из этих прав, то права на общий доступ настраиваются с помощью закладки Share (Доступ), как показано на Рисунке 1.


Рисунок 1: Права на общий доступ контролируют вход к общей папки из сети

Права NTFS задаются в закладке Security (безопасность), как показано на рисунке 2.


Рисунок 2: Права NTFS размещаются и задаются в закладке Security (безопасность)

Примечание: Закладка Security (безопасность) не доступна для компьютеров, на которых не настроена тома NTFS. Эти тома, которые не являются NTFS, настроены в файловых системах FAT или FAT32.

Ресурсы, с которыми связаны права NTFS, включают в себя:

  • Папки
  • Файлы
  • Ключи реестра
  • Принтеры
  • Объекты Active Directory

Этот список ресурсов очень важен, т.к. только эти ресурсы могут иметь список контроля доступа Access Control List (ACL) в системе Windows. В этой статье мы сфокусируемся на том, как модифицировать права для папок, файлов и объектов Active Directory.

Ручная настройка прав для ресурсов для фалов и папок

Как я уже говорил ранее, вы можете перейти к закладке Security (безопасность) для файла или папки, чтобы получить доступ к списку прав. Есть несколько ключевых моментов, о которых необходимо помнить, при ручной настройке прав для этих ресурсов.

Во-первых, когда вы настраиваете права для файлов и папок, то лучше всего задавать права для групп, а не для отдельных пользователей. Во-вторых, вы должны задать уровень доступа для файла или для папки. Как показано на рисунке 3, существуют некоторые стандартные ресурсы, которые можно задать, не касаясь дополнительных прав для учетной записи.


Рисунок 3: Стандартные права для ресурса можно задать для каждой учетной записи

Рисунок 4 показывает, что вы также можете использовать дополнительные права (Advanced permission), и задать очень подробный уровень прав для каждого ресурса.


Рисунок 4: Дополнительные права позволяют настроить более четкий уровень доступа к ресурсу

Примечание:Нажав на кнопку Edit (редактировать), изображенную на рисунке 4, вы сможете увидеть полный список дополнительных прав. Это не лучший способ для управления ресурсами, т.к. приводит к дополнительным накладным расходам при настройке, управлении и отладке доступа к ресурсам.

Ручная настройка прав для ресурсов для объектов Active Directory

Процесс ручной настройки объектов Active Directory аналогичен, но существует мастер (Wizard), который может значительно облегчить настройку. Это очень удобный мастер, т.к. существует свыше 1000 персональных прав на некоторые объекты Active Directory, такие как организационные единицы, изображенные на рисунке 5.


Рисунок 5: Частичный список прав для организационной единицы

Для доступа к мастеру просто нажмите правой кнопкой мыши на узел, который хотите настроить. Появится меню Delegate Control. После его выбора появится диалоговое окно мастера Delegation of Control Wizard. Этот мастер позволяет вам задать “кто” (пользователь или группа) будет иметь “этот” уровень доступа (эти права) для объектов в Active Directory.

Примечание: Можно использовать закладку Security (безопасности) для объектов Active Directory, точно также, как для настройки прав для файлов или папок. Однако, это очень унылое занятие, которое может озадачить даже самых опытных администраторов.

Настройка прав для ресурсов с помощью политики групп (Group Policy)

Когда дело доходит до управления правами на ресурсы с помощью политик групп (Group Policy), то с ее помощью вы можете управлять лишь файлами и папками, но не объектами Active Directory. (Ключами реестра также можно управлять с помощью политик групп Group Policy). Настройки для управления этими правами расположены в разделе Computer Configuration (конфигурация компьютера) Group Policy, как показано на рисунке 7.


Рисунок 7: В узле File System (файловая система) можно настроить права на файлы и папки с помощью политики групп Group Policy

Чтобы воспользоваться этой возможностью вы должны создать объект политики группы Group Policy Object (GPO) и связать его с узлом, который содержит учетную запись компьютера, которую вы хотите настроить. После этого отредактируйте GPO и щелкните правой кнопкой на узле File System (файловая система). После выбора пункта меню Add File (добавить файл), вы сможете указать путь к файлу и/или папке, для которой вы хотите установить права. После того, как вы зададите путь, вы увидите закладку Security (безопасность) для этого ресурса, что видно на рисунке 8.


Рисунок 8: Права на безопасность можно задать для файлов и папок с помощью GPO

Хотя это и возможно, но не рекомендуется использовать политику групп Group Policy для редактирования или установки прав на эти ресурсы из-за производительности приложения. Доказано, что если слишком много прав задать с помощью политики групп Group Policy, то существенно замедляется начальный вход, а также работа системы из-за регулярного интервала обновления. Если используется эти настройки, то их следует использовать отдельно для нескольких ресурсов.

Настройка прав для ресурсов с помощью сценариев

После долгих исследований и анализа, я обнаружил, что использование сценариев для установки прав для ресурсов – это очень неэффективный способ установки прав, как для файлов и папок, так и для объектов Active Directory. Однако, я хочу упомянуть некоторые инструменты, которые могут помочь, если вы решите использовать сценарии.

Для установки прав для файлов и папок с помощью сценариев, вы можете использовать CACLS. CACLS позволяет вам задать и получать права для файлов и папок. Это бесплатный инструмент от компании Microsoft, который может использоваться отдельно или совместно с VB или другим языком для написания сценариев.

Для установки прав на объекты Active Directory вы можете использовать новые возможности PowerShell. PowerShell – это новинка, и доступна лишь для Windows XP и более поздних версий. PowerShell имеет мощь для управления правами Active Directory и многое другое.

Я разговаривал со специалистами по написанию сценариев и по PowerShell, и они сообщили мне, что хотя и существует такая возможность, гораздо более проще и эффективнее использовать стандартные метода для установки прав.

Резюме

Контроль над сетевыми ресурсами и правами очень важен для защиты ресурсов вашей компании. Если вам нужно контролировать файлы HR, секреты компании, группы, организационные единицы или любые другие ресурсы, то вы должны установить права на каждый такой ресурс. В вашем распоряжении много возможностей, но этот выбор может сильно повлиять на эффективность и управляемость вашей сети. Ручные методы не очень просты и эффективны, но более точны и перегружают компьютеры в рабочее время. Политики группы (Group Policy) – это другой вариант, но убедитесь, но лучше ограничиться использованием его лишь для нескольких файлов и папок, так как применение этих прав может занять долгое время. Сценарии – это еще один вариант, но помните, что на написание и отладку сценария может уйти гораздо больше времени, чем на ручную установку прав.

Читать еще:  Добавьте доменное имя в настройках сообщества

Автор: Дерек Мелбер (Derek Melber)
Источник: www.winsecurity.ru

Этот пост February 15, 2008 at 11:08 am опубликовал molse в категории администрирование Windows. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

One Comment

Спасибо, напомнили. А то уже и подзабыл, как эти права устанавливаются, а вот потребность появилась в связи с последними вирусами против WebMoney. Попробую немного ужесточить доступ.

Доступ к папкам в домене

Настройка службы каталогов Active Directory

После установки службы Active Directory ( AD ) её необходимо настроить, создать учетные записи всех пользователей домена, задать свойства каждой из них, объединить их в группы.

Для настройки AD необходимо перейти к пункту: Пуск-> Программы-> Администрирование-> Active Directory – пользователи и компьютеры , после чего появляется консоль, при помощи которой производятся все необходимые настройки.

Создание пользователя администратор домена

Щелкнуть правой кнопкой мыши (ПКМ) на объекте User (Пользователь) , выбрать из выпадающего меню Создать- > Пользователь .

В окне «Новый объект — пользователь» ввести имя входа пользователя (например, admin ) и нажать « Далее ».

В следующем окне — ввести пароль администратора домена с подтверждением , выбрать режим « Срок действия пароля не ограничен » и нажать « Далее ».

Появится окно с выбранными компонентами, в котором следует нажать « Готово ».

Учетная запись admin создана. Для настройки свойств пользователя необходимо щелкнуть ПКМ на созданной учетной записи admin , выбрать из выпадающего меню команду « Свойства ».

Для определения группы, в которую входит пользователь достаточно на вкладке « Член групп » щелкнуть кнопку « Добавить », в окне «Выбор: Группы»

необходимо щелкнуть кнопку « Дополнительно », затем — «Поиск».

В появившемся окне выбирается группа « Domain Admins ».

Происходит возврат в окно свойств.

На вкладку «Профиль» никакая информация не заносится, так как профиль администратора домена является локальным.

Создание группы пользователей

Щелкнуть ПКМ на объекте User (Пользователь) , выбрать из выпадающего меню Создать- > Группа.

В появившемся окне задается имя группы (например, students ), выбирается область действия группы – Локальная в домене , тип группы – Группа безопасности.

Группа пользователей students создана.

Создание группы привилегированных пользователей

Создание привилегированной группы аналогично созданию группы students . Отличие этих групп определится в дальнейшем при установлении прав доступа и других настроек для этих групп.

Щелкнуть ПКМ на объекте User , выбрать из выпадающего меню Создать- > Группа.

В первом окне задается имя группы (например, priv ), выбирается область действия группы – Локальная в домене , тип группы – Группа безопасности.

Группа привилегированных пользователей priv создана.

Создание сценария входа в сеть

Сценарий входа в сеть (сценарий регистрации), представляет собой командный файл, имеющий расширение bat, или исполняемый файл с расширением ехе, который выполняется при каждой регистрации пользователя в сети. Сценарий может содержать команды операционной системы, предназначенные, например, для создания соединения с сетью или для запуска приложения. Кроме того, с помощью сценария можно устанавливать значения переменных среды, указывающих пути поиска, каталоги для временных файлов и другую подобную информацию.

Для пользователей домена создаются различные сценарии входа. Это осуществляется следующим образом: создается текстовый файл, например, с именем time . txt (имя файла может быть любым, соответствующим правилам записи имен в Windows ), расширение изменяется на . bat и сохраняется в папке TEST NETLOGON , где TEST – имя контроллера домена. Сценарий входа может содержать различную информацию.

Для привилегированного пользователя создаваемого домена он может иметь вид:

где test – имя контроллера домена. Данный сценарий входа позволяет синхронизировать время на локальных компьютерах и сервере TEST .

Создание объекта пользователь с перемещаемым профилем

Создание осуществляется аналогично созданию admin -а.

Создается пользователь (например, user — remove ).

вводится его пароль входа в систему с подтверждением , выбирается режим « Срок действия пароля не ограничен ».

Выбранные параметры подтверждаются нажатием кнопки «Готово».

Для настройки перемещаемого профиля необходимо на вкладке меню свойств « Профиль » прописать путь к папке, в которой хранится профиль данного пользователя: \ test netlogon user _ remove profile . dat , где test — имя контроллера домена, user _ remove – имя пользователя с перемещаемым профилем.

Если пользователи будут использовать для работы предыдущие версии Windows , достаточно на вкладке « Член групп » щелкнуть « Добавить ». В окне «Выбор: Группы»

щелкнуть «Дополнительно», «Поиск» и выбрать группу « Pre — Windows 2000 Compatible Access .

Аналогичным образом добавляется группа priv .

Осуществляется возврат в окно свойств, где нажимается « ОК ».

Пользователь с перемещаемым профилем, входящий в группу привилегированных, создан.

Создание объекта пользователь с локальным профилем

Создание осуществляется аналогично созданию пользователя с перемещаемым профилем.

Создается пользователь (например, a055) ,

вводится его пароль входа в систему с подтверждением , устанавливаются режимы « Запретить смену пароля пользователям », « Срок действия пароля не ограничен »,

выбранные параметры подтверждаются нажатием кнопки « Готово ».

Создается сценарий входа с именем students . bat и сохраняется в папке TEST NETLOGON , где TEST – имя контроллера домена. Сценарий входа может содержать различную информацию. Для пользователя группы students создаваемого домена он может иметь вид:

где test – имя контроллера домена. Данный сценарий входа позволяет синхронизировать время на локальных компьютерах и сервере TEST , подключить сетевые диски.

Для локального профиля поле «Путь к профилю» остается пустым.

Для размещения пользователя в группе достаточно на вкладке « Член групп » щелкнуть кнопку « Добавить »,

«Дополнительно», «Поиск» и выбрать группу « Pre — Windows 2000 Compatible Access », так как пользователи будут использовать для работы предыдущие версии Windows ,

Осуществляется возврат в окно свойств пользователя.

Пользователь с локальным профилем создан.

Доступ к системным папкам

Для того, чтобы пользователь с перемещаемым профилем мог использовать и изменять свой профиль следует установить для него определенные права доступа к папке c : windows sysvol sysvol domain 1. local scripts , где domain 1 –имя созданного домена. В данном случае пользователи с перемещаемыми профилями относятся к группе priv , поэтому необходимо разрешить изменение вложенных файлов и папок для этой группы.

На папке c : windows sysvol sysvol domain 1. local scripts щелкнуть ПКМ и из выпадающего меню выбрать « Свойства ». Появится окно «Свойства: scripts ».

На вкладке «Безопасность» устанавливаются следующие параметры для группы пользователей priv , имеющих перемещаемые профили:

Выбор подтверждается нажатием « ОК ».

На вкладке «Доступ» по умолчанию открыт общий доступ к этой папке под именем NETLOGON , необходимо нажать «Разрешения « для установки разрешений на этот объект.

В окне разрешений требуется разрешить вносить изменения в папку NETLOGON для привилегированных пользователей ( priv ), для чего устанавливаются следующие параметры:

и нажимается « ОК » в этом и следующем окне.

На этом настройка службы каталогов Active Directory завершена.

Настройка прав доступа к общим папкам в ОС Windows

Ниже будет рассказано как настроить различные права доступа для конкретной директории в режиме работы нескольких пользователей. Операционная система в моем примере — Microsoft Windows Server 2008 R2. Но для других ОС семейства Windows действия будут аналогичными.

0. Задача:

На сервере в терминальном режиме работают несколько пользователей. Необходимо для папки «С:Общий ресурс» настроить права таким образом, чтобы у группы «Пользователи» были права только на чтение в этой директории, а у Администраторов и пользователя «Онянов» были права и на чтение, и на запись.

1. Решение:

Находим в проводнике необходимую папку, кликаем по ней правой кнопкой мыши и в контекстном меню выбираем «Свойства» (Properties).

В открывшемся окне свойств папки, переходим на вкладку «Безопасность» (Security) и нажимаем «Изменить…» (Edit…). Откроется окно «Разрешения для группы...» в котором видим, что для 3 системных групп уже определены параметры безопасности. В частности для группы «Администраторы» установлен полный доступ к папке. Для добавления групп и пользователей нажмем кнопку «Добавить…» (Add…).

В окне выбора пользователей и групп, нажмем «Дополнительно» (Advanced…), а в окне подбора кнопку «Поиск» (Find Now), чтобы вывести все группы и всех пользователей, существующих в системе. Выберем в результатах поиска необходимую нам группу «Пользователи» и нажмем «ОК» для добавления ее в список.

Читать еще:  Gmail привязать домен

Аналогичным образом добавим в список пользователя «Онянов» и нажмем «ОК» для завершения подбора.

Теперь выберем разрешения для каждой добавленной позиции. Для группы «Пользователи» установим права только для просмотра списка, чтения и выполнения файлов и, соответственно, для пользователя «Онянов» отметим флаг «Полный доступ» .

(Здесь же можно как разрешить какие либо действия с папкой для выбранного пользователя, так и запретить, установив соответствующий флаг. Необходимо помнить, что запрещающие правила всегда в большем приоритете чем разрешающие. )

Выбрав необходимые параметры жмем «Применить» (Apply) для сохранения настроек и нажимая «ОК» закрываем все открытие окна.

Вот и все. Мы установили настройки безопасности для выбранной директории в соответствии с поставленной задачей.

Смотрите также:

Ниже подробно рассмотрим процесс изменения параметров сети (параметров IP) в Microsoft Windows 7. В частности будет рассказано как установить автоматическое получение IP-адреса, или же как задать IP-адрес, маску подсети, основной…

Не все знают, что в некоторых редакциях Windows 8 имеется встроенный гипервизор Huper-V. Просто по умолчанию эта роль отключена. Ниже будет рассказано как активировать виртуальную машину Hyper-V в Windows 8,…

По умолчанию поиск в Windows (в данном примере в Windows 7) ищет файлы по имени. Содержимое учитывает только в проиндексированных расположениях. Чтобы поиск искал по содержимому всех документов, нужно изменить…

Настройка доступа к папкам для разных пользователей ПК

Дата публикации: 2010-02-21

В результате такой настройки разграничение доступа получилось на папках профилей пользователей.

В этой статье я опишу, как можно настроить доступ к произвольным папкам и файлам для разных пользователей в ОС Windows XP Pro.

В примерах я буду использовать настройки пользователей ОС из предыдущей статьи.

Также для простоты изложения я буду считать группу пользователей «Все» одной учетной записью.

Сначала надо загрузить ОС под учетной записью администратора ПК. Затем надо проверить, что в ОС настроена возможность изменения прав на папки и файлы.

Для этого надо открыть «Мой компьютер» или «Проводник», выбрать в меню пункт «Сервис» — «Свойства папки».

Должно появиться окно «Свойства папки», в нем надо переключиться на закладку «Вид», в списке «Дополнительные параметры» проверить галочку на пункте «Использовать простой общий доступ к файлам (рекомендуется)», как показано на картинке ниже.

Для дальнейшей настройки необходимо, чтобы эта галочка была снята.

Если на Вашем ПК она установлена, тогда снимайте ее, потом жмите кнопку «Применить», потом «Ок».

Теперь настройки безопасности должны быть доступны.

Для примера я создам папку «Test» на диске «D».

После этого открываю свойства этой папки (правый клик на папке и выбор из меню пункта «Свойства»; или выбор этой папки, затем пункт меню «Файл» — «Свойства»).

В окне «Свойства: test» должна быть закладка «Безопасность», как показано на картинке ниже.

Как видно, сейчас все пользователи ОС имеют полный доступ к этой папке.

Теперь для примера запретим пользователю «Дети» доступ в эту папку.

Для этого добавляем пользователя в группу: жмем кнопку «Добавить», в появившемся окне «Выбор: Пользователи или Группы» жмем кнопку «Дополнительно», затем кнопку «Поиск».

Выбираем в списке учетную запись «Дети», жмем «ОК».

Аналогичные действия описаны в предыдущей статье при добавлении пользователя в группу.

В окне «Выбор: Пользователи или Группы» в поле «Введите имена …» должна появиться запись такого вида «MICROSOF-9960C1Дети», как показано на картинке ниже.

Теперь на закладке «Безопасность» в поле «Группы или пользователи» должна добавиться запись «Дети».

Выбираем эту запись и в нижней области «Разрешения для Дети» ставим галочку на «Полный доступ» — «Запретить».

В результате должно получиться так, как показано на картинке ниже.

Жмем «Применить», затем «ОК», здесь ОС выдаст предупреждение о том, что запрещение прав имеет более высокий приоритет, чем разрешение, и предложит продолжить выполнение или отказаться.

Для применения настроек надо выбрать продолжение настроек.

В результате должна получиться такая логика доступа к этой папке: все пользователи ОС имеют полный доступ, а Дети не имею никакого доступа.

Это как раз и достигается тем, что запрет прав имеет более высокий приоритет, чем разрешение.

Теперь проверяем – заходим в ОС под учетной записью «Дети».

Пробуем открыть эту папку, и получаем ответ ОС – «недостаточно прав».

Таким образом можно закрывать доступ и к уже существующим папкам и файлам. При этом те пользователи, которым закрываем доступ, не должны иметь прав администратора на ПК, чтобы они сами не убрали этот запрет.

Без прав администратора недоступна закладка «Безопасность» в свойствах папок и файлов.

Если на ПК установлена одна ОС, то такой способ подойдет для большинства семей.

Небольшое дополнение для продвинутых пользователей.

Если на ПК установлено две и более ОС, то, при такой настройке доступа, как описано выше, из других ОС доступ к указанной папке «Test» на диске « будет неограниченный.

Для того, чтобы закрыть доступ из других ОС, надо на закладке безопасность удалить учетную запись «Все», и добавить записи «Admin» и «Родители», и дать им полный доступ на эту папку.

В ОС Windows XP Pro используется принцип наследования прав.

Он заключается в следующем: обычно (без дополнительных настроек) при получении прав на папку пользователь получает те же права на все подпапки и файлы в этой папке. В большинстве случаев это полезно, т.к. пользователь сразу получает одинаковые права на все объекты в папке, администратору ОС не надо дополнительно настраивать доступ на каждый объект в этой папке.

При создании папки в настройках безопасности сразу появляется учетная запись «Все», которая наследуется от целого диска.

В моем примере папка «Test» унаследовала эту запись от диска «.

Пока наследование включено, удалить или изменить наследуемые права или учетную запись нельзя, поэтому на странице безопасности изменение этих галочек недоступно.

Для изменения правил наследования надо нажать кнопку «Дополнительно», как показано на картинке ниже.

Должно появиться окно настройки дополнительных параметров безопасности для папки «Test».

На рисунке ниже я показал, какая галочка отвечает за наследование прав, и где видно, откуда наследуются права.

Вот эту галочку надо снять, после этого ОС предложит права скопировать, права удалить или отменить действие.

Надо выбрать «Копировать», потом в окне дополнительных параметров нажать кнопки «Применить» и «ОК».

После этого на закладке «Безопасность» можно удалить учетную запись «Все» или изменить ее настройки.

В примере я разрешил доступ к папке пользователям «Admin» и «Родители», запретил доступ пользователю «Дети».

В настройках безопасности группу учетных записей от отдельной учетной записи можно отличить по значку: значок группы содержит две головы, значок учетной записи – одну голову.

Выше по тексту я для упрощения изложения писал «учетная запись Все», но на самом деле это встроенная группа, которая включает все учетные записи.

Исключить учетную запись из этой группы нельзя. Поэтому, если группу «Все» вместо удаления оставить в настройках безопасности и запретить ей доступ к папке, то в результате получится, что ни один пользователь не будет иметь доступ к папке.

Такой итог получается в силу большего приоритета запрета прав над разрешением прав.

В результате такой настройки безопасности папки пользователь из другой ОС без прав администратора не получит доступ в папку «Test».

Пользователь с правами администратора может получить права на доступ к этой папке после выполнения некоторых действий.

Это позволяет получить данные в случае сбоя исходной ОС при загрузке другой ОС с жесткого диска или сд/двд.

Автор статьи: Максим Тельпари
Пользователь ПК с 15-ти летним стажем. Специалист службы поддержки видеокурса «Уверенный пользователь ПК», изучив который Вы научитесь собирать компьютер, устанавливать Windows XP и драйверы, восстанавливать систему, работать в программах и многое другое. Узнать подробности.

Заработайте на этой статье!
Зарегистрируйтесь в партнерской программе. Замените в статье ссылку на курс на свою партнерскую ссылку. Добавьте статью на свой сайт. Получить версию для перепечатки можно здесь.

Читать еще:  Dns серверы домена

Настройка доступа к ресурсам в сети домена Active Directory

Настройка доступа к ресурсам в сети домена Active Directory

Цель работы: изучение практических способов создания домена Active Directory на базе Windows 2003 Server и организации доступа к сетевым ресурсам.

Рисунок 1. Схема полигона для выполнения лабораторной работы №8

Выполнение работы осуществляется на виртуальном полигоне VMWare, состоящем из пяти виртуальных машин (см. рис.1): на одной машине под управлением Windows server 2003 (PServ) настроен брандмауэр ISA Server 2004 – эта машина используется в качестве шлюза доступа в глобальную сеть; на другой машине под управлением Windows Server 2003 (Serv01) настроены службы, обеспечивающие работу инфраструктуры сети; три машины под управлением Windows XP (WinXP1, WinXP2 и WinXP3 соответственно) используются для настройки рабочих мест пользователям сети. Настройки брандмауэра ISA Server 2004 соответствуют настройкам, выполненным в лабораторной работе №7.

Виртуальный полигон соответствует локальной сети некоторой организации, в которой на компьютере serv01 работает главный бухгалтер организации, на компьютере WinXP1 – бухгалтер, компьютеры WinXP2 и WinXP3 используются двумя операторами и работником отдела кадров. На компьютере serv01 установлены следующие службы для поддержки и управления инфраструктурой сети: DNS, WINS, DHCP, POP и SMTP.

1. Требуется перейти на новую модель управления ресурсами сети — домен Active Directory. Для этого:

1.1. Удалить всех локальных пользователей со всех рабочих станций (кроме встроенных учетных записей локальных администраторов)

1.2. Установить службу контроллера домена на сервере serv01 (для выбора названия домена см. табл. 1)

1.3. Переустановить службу POP3 на сервере serv01, для того чтобы переконфигурировать ее на использование базы данных Active Directory для аутентификации пользователей

1.4. Спроектировать и реализовать для данного домена структуру организационных единиц

1.5. Создать учетные записи для всех компьютеров полигона и ввести все компьютеры в домен.

1.6. Создать доменные учетные записи для всех пользователей организации.

1.7. Для главного бухгалтера организовать рабочее место на компьютере serv01.

1.8. Для бухгалтера, операторов и работника отдела кадров настроить перемещаемые профили.

1.9. Для операторов необходимо настроить единый профиль и запретить возможность операторам выполнять какие-либо изменения в нем

1.10. Создать, предоставить в общее пользование и опубликовать в базе Active Directory следующие общие ресурсы сети:

1.10.1. Локальный принтер, установленный на компьютере WinXP1

1.10.2. Локальный принтер, установленный на компьютере WinXP2

1.10.3. Сетевую папку transfer на сервере serv01 для обмена данными между пользователями сети

1.10.4. Сетевую папку docs на сервере serv01 для хранения документов

1.10.5. Сетевую папку 1c_bases на сервере serv01 для хранения конфигурации 1С

1.11. Спроектировать и реализовать систему групп с учетом следующих ограничений на доступ к общим ресурсам, принятым в организации:

1.11.1. Принтер, установленный на компьютере WinXP1 должен быть доступен для всех бухгалтеров

1.11.2. Принтер, установленный на компьютере WinXP2 должен быть доступен для всех пользователей сети

1.11.3. Сетевая папка Transfer должна быть доступна всем пользователям сети.

1.11.4. К сетевой папка Docs должны иметь доступ бухгалтера, работник отдела кадров и операторы. Бухгалтера и работник отдела кадров должны иметь возможность просмотра документов их изменения и создание новых, а операторы должны иметь возможность только просмотра документов. Никто кроме администратора не должен иметь возможности удалять документы.

1.11.5. К сетевой папке 1c_bases должны иметь доступ только бухгалтера и операторы. Эти пользователи должны иметь полный доступ к этой папке

1.11.6. Бухгалтера должны иметь возможность работы на компьютерах с использованием удаленного рабочего стола

1.12. Подключить общие сетевые папки и принтеры для всех пользователей сети в соответствии с правами доступа к ним

1.13. Создать почтовые учетные записи для всех пользователей сети (бухгалтеров, операторов, работника отдела кадров) и настроить почтовые клиенты для этих сотрудников.

2. Реализовать средствами Microsoft ISA Server 2004 следующие правила доступа к ресурсам глобальной сети:

2.1. Предоставить доступ в глобальную сеть по протоколам HTTP и HTTPS только бухгалтерам и работнику отдела кадров.

2.2. Разрешить доступ в глобальную сеть по протоколу FTP только для администратора домена.

2.3. Разрешить доступ в глобальную сеть по протоколам POP3 и SMTP для всех пользователей домена

2.4. Разрешить для бухгалтеров удаленный доступ к сети полигона по протоколу PPTP. Разрешить этим удаленным пользователям доступ только ко всем компьютерам локальной сети и только с помощью удаленного подключения к рабочему столу.

3. Настроить возможность доступа к некоторым локальным ресурсам домена пользователям из другого домена (согласно табл. 1). Для этого:

3.1. Настроить VPN-соединение site-to-site между виртуальными полигонами

3.2. Настроить внешние двусторонние доверительные отношения между доменами

3.3. Настроить возможность входа на компьютеры домена под учетными записями из доверяемого домена

3.4. Настроить возможность доступа к общей папке transfer, всем пользователям доверяемого домена

3.5. Настроить возможность доступа к общей папке docs только бухгалтерам из доверяемого домена

3.5. Сделать принтер на компьютере WinXP2 доступным для пользователей другого домена

3.6. Настроить возможность доступа к удаленному рабочему столу для пользователей своего домена, зашедших на рабочие станции доверяемого домена.

1. Титульный лист.

2. Список используемых виртуальных машин с указанием путей их размещения

3. Схема полигона с указанием имен и IP-адресов компьютеров

4. Схема созданной структуры организационных единиц AD

5. Список созданных учетных записей пользователей с логинами и паролями

6. Список созданных доменных групп с указанием их членов и назначения каждой группы

7. Описание разрешений и прав доступа для всех сетевых ресурсов

8. Описание всех правил доступа и публикации серверов, созданных на брандмауэре ISA Server 2004

1. Настроенные перемещаемые профили главного бухгалтера, бухгалтера, операторов и работника отдела кадров в соответствие с п. 1.8.

2. Невозможность сохранить изменения в профиле для операторов

3. Доступность принтера, установленного на компьютере WinXP1 для всех пользователей сети

4. Доступность общей сетевой папки Transfer для всех пользователей локальной сети

5. Корректно настроенные права доступа для сетевой папки Docs (см. п. 1.11.4)

6. Невозможность доступа к сетевой папке 1C_bases для работника отдела кадров.

7. Отправку почты между пользователями домена и внешними адресатами

8. Возможность отправки ping-запросов из локальной сети в глобальную

9. Возможность отправки и получения почты пользователями локальной сети с использованием локального почтового сервера.

10. Возможность отправки и получения почты пользователями локальной сети с использованием почтового сервера, находящегося вне локальной сети (другой виртуальный полигон, asuserv).

11. Возможность доступа к почтовому серверу, находящемуся в локальной сети, пользователей из глобальной сети (другой виртуальный полигон, локальная сеть кафедры АСУ)

12. Невозможность доступа из локальной сети в глобальную по протоколам отличным от POP(S), SMTP(S), FTP, HTTP(S) (например доступ к удаленному рабочему столу или по telnet)

13. Возможность доступа в глобальную сеть (asuserv) по протоколам HTTP и HTTPS только для бухгалтеров и работника отдела кадров.

14. Возможность доступа в глобальную сеть (asuserv) по протоколу FTP только для администратора.

15. Возможность удаленного подключения по PPTP к локальной сети виртуального полигона удаленного пользователя (бухгалтера и главного бухгалтера)

16. Возможность доступа ко всем компьютерам сети по протоколу удаленного рабочего стола VPN-клиентов

17. Невозможность доступа ко всем компьютерам сети VPN-клиентов по протоколам отличным от протокола доступа к удаленному рабочему столу.

18. Возможность установки VPN-соединения типа site-to-site по протоколу PPTP между виртуальными полигонами.

19. Возможность локального входа на рабочих станция домена пользователей под учетными данными доверяемого домена (в соответствие с табл. 1)

20. Возможность доступа к сетевой папке transfer пользователей доверяемого домена и не возможность доступа к ней пользователей других доменов.

21. Возможность доступа к содержимому папке docs бухгалтерами из доверяемого домена

22. Возможность доступа к принтеру на компьютере WinXP2 для всех пользователей доверяемого домена

1. Понятие домена AD.

2. Доверительные отношения между доменами

3. Организационные единицы

5. Стратегии применения групп AD

Таблица 1. Таблица настройки взаимодействия между виртуальными полигонами:

Домен Active Directory

Список доменов, с одним из которых необходимо настроить доверительные отношения

Домен Active Directory

Список доменов, с одним из которых необходимо настроить доверительные отношения

Ссылка на основную публикацию
Adblock
detector