|
|
>>> Перейти на мобильный размер сайта >>> Учебное пособие Самоучитель системного администратора4.4. Создание и удаление учетных записейПосле установки операционной системы вы начинаете работу с правами учетной записи Администратор (Administrator — для интернациональных версий ОС). Пользователь Администратор обладает максимальными правами в данной операционной системе; используя права администратора можно создавать, модифицировать, удалять другие учетные записи, выполнять любые операции по настройке системы и т. п.
Обратите внимание, что после использования мастера установки Windows XP в режиме отображения страницы приветствий во время входа в систему название учетной записи администратора не показано на экране. Однако эта учетная запись может быть применена для работы с системой, причем обычно администраторы забывают о необходимости установки для нее пароля, что позволяет легко локально зайти в систему с правами администратора, предъявив "пустой" пароль. Целесообразно назначить этой учетной записи длинный и сложный пароль, состоящий из цифр и символов только английского алфавита. Это упростит возможные операции по восстановлению операционной системы. Кроме того, в целях безопасности рекомендуется переименовать учетные записи администраторов (сделать это в домене можно централизованно, используя групповую политику) и запретить для анонимных пользователей просмотр базы идентификаторов безопасности. Для управления учетными записями используются специальные оснастки (рис. 4.11): управления компьютером в локальном случае и оснастка управления AD Пользователи и компьютеры при создании доменных пользователей.
Рис. 4.11. При создании новых пользователей домена рекомендуется устанавливать для них требование смены пароля при первом входе в сеть. Управлять учетной записью можно из командной строки. Так, добавить пользователя можно командой NET USER <имя> <пароль> /add, а удалить — net user <имя> /DELETE.
В домене Windows учетные записи создаются и для компьютеров с операционными системами Windows 200x/Windows XP. Эти учетные записи можно использовать для контроля доступа к сетевым ресурсам. Если в организации используются дополнительные параметры учетной записи (название отдела, адрес и т. п.), то более удобно при создании нового пользователя перенести в его учетную запись максимум настроек, которые имеют аналогичные пользователи. Для этих целей можно воспользоваться операцией копирования учетной записи. При копировании программа создает новую учетную запись, в настройки которой будут перенесены те параметры, которые не являются личными характеристиками. Например, новая учетная запись будет уже включена в те группы, в которые входила исходная учетная запись, но такой параметр, как номер телефона (который также может являться одной из характеристик пользователя) скопирован не будет. Дополнительные параметры учетной записиКаждая учетная запись имеет существенное количество дополнительных параметров, значения которых могут быть использованы в работе организации. Это дает администратору возможность объединять пользователей в группы, учитывая содержимое того или иного поля. Например, можно создать группу, объединяющую пользователей, находящихся в определенном офисе, и присвоить ей почтовый адрес. Поля учетной записи могут заполняться с помощью окна свойств, вызываемого из оснастки управления службой каталогов (или управления компьютером — при правке локальных пользователей). Эти свойства можно запрашивать и устанавливать с помощью достаточно простых сценариев, однако более удобно выполнять соответствующие операции поиска и изменения данных на основе протокола LDAP (см. разд. "LDAP-управление"ранее в данной главе), при этом администратору доступны практически любые критерии поиска необходимых записей. Права учетной записиКроме разрешений доступа к файлам, пользователь может быть ограничен в выполнении ряда операций. Например, проверяется наличие у пользователя разрешения на локальный вход в систему и на завершение работы компьютера, на установку нового оборудования и на удаление учетной записи, право на доступ к компьютеру по сети или право на отладку программ и т. д. Причем основная масса прав после установки системы даже не задействована: администратор может использовать имеющиеся параметры при последующей точной настройке системы. Права пользователей в системе назначаются через оснастку Локальная политика безопасности, расположенную в группе административных задач (рис. 4.12). В случае работы в составе домена администраторы регулируют права пользователей с помощью соответствующих групповых политик. Использование этих инструментов достаточно очевидно, и мы не будем подробно описывать такие операции.
Рис. 4.12. Восстановление параметров безопасности по умолчаниюВ случае смены администраторов новому специалисту обычно не известны, например, те изменения прав доступа, которые выполнил прежний сотрудник. В некоторых случаях некорректное назначение прав может повлиять на стабильность работы системы. В Windows существуют специальные средства, которые позволяют вернуть параметры безопасности к тем значениям, которые определены для вновь устанавливаемой операционной системы. С этой целью используется оснастка Анализ и настройка безопасности. По умолчанию эта оснастка не включена в меню. Чтобы начать работу с ней, следует открыть консоль управления (команда mmc) и выполнить операцию добавления оснастки. В окне Добавить изолированную оснастку следует отметить строку Анализ и настройка безопасности и закрыть все последующие окна, нажимая на кнопки подтверждения операции. В операционной системе хранятся шаблоны безопасности (шаблоны по умолчанию размещены в папке %windir%\Security\Templates), разработанные поставщиком, для нескольких типовых конфигураций компьютера. Это шаблон настроек безопасности, соответствующий установке системы, шаблоны безопасности для компьютеров (отдельно для рабочих станций, серверов и контроллеров домена), соответствующие различным уровням защищенности: совместимого с программным обеспечением предыдущих версий и т. д. Программа позволяет сравнить значения, определенные в этих шаблонах, с фактическими параметрами настройки системы. Полученные результаты сохраняются в виде базы данных, которая может быть проанализирована пользователем: все отличия настроек специально выделены в отчете программы. Строго говоря, можно проанализировать следующие параметры:
Если администратор сочтет необходимым, то он может с помощью данной оснастки применить один из шаблонов безопасности — применение шаблона фактически означает установку соответствующих параметров системы (разрешений, прав) в те значения, которые определены в данном шаблоне. Для анализа или применения настроек необходимо выполнить следующие действия:
Для применения шаблона следует выполнить команду Настроить компьютер. В завершение желательно проанализировать результаты операции.
Обратите внимание на шаблон compatws.inf, который позволяет перейти в режим совместимости с предыдущей версией ОС. В этом режиме учетным записям пользователей даются дополнительные права на доступ к ресурсам системы. В результате появляется возможность запуска программ, не в полной мере совместимых с последними версиями операционной системы. Эта операция в новых ОС разрешена только администраторам, но после применения данного шаблона необходимые разрешения будут предоставлены. Автоматически создаваемые учетные записиПри установке операционной системы автоматически создается несколько учетных записей пользователей. Ранее мы упоминали учетную запись Администратор. Эта учетная запись особая. Ранее ее нельзя1 было даже удалить или исключить из группы администраторов. Сделано это было из соображений безопасности, чтобы пользователь случайно не удалил всех администраторов и система не стала неуправляемой. В Windows 7 учетная запись Администратор как бы разделилась на две: одна учетная запись соответствует той, с которой вы входите в систему, другая — учетная запись, которая используется, если вызывается команда Запустить от имени администратора. С этим связаны некоторые ошибки, когда пользователи не могут понять, почему не выполняется сценарий, исполняемый от имени Администратор. А потому, что фактически учетных записей две и права у них отличаются. Другая автоматически создаваемая учетная запись — это Гость (Guest). Она не имеет пароля и предназначена для обеспечения возможности работы с данным компьютером пользователя, у которого в системе нет учетной записи. К примеру, вы приезжаете со своим ноутбуком в другую организацию и хотите распечатать документ. Если в той организации принтер предоставлен в совместное использование и действует учетная запись Гость, то вы можете подключиться к принтеру и выполнить печать, в противном случае вам должны сообщить имя входа и пароль, которые можно использовать для подключения к серверу печати. Учетная запись Гость по соображениям безопасности заблокирована. Однако если ваша сеть полностью автономна и объединяет немного компьютеров, то для облегчения использования сетевых ресурсов вы можете ее разблокировать. Так делает, например, мастер конфигурирования домашней сети: если вы определили, что компьютер используется в рамках домашней сети, то мастер разрешает использование учетной записи Гость. В этом случае, если вы разрешите совместное использование ресурсов компьютера, то к ним будет возможно подключение любых пользователей, независимо от того, существуют ли для них учетные записи на вашем компьютере или нет. Учетная запись HelpAssisstant применяется в случаях обращения к удаленному помощнику. Удаленный пользователь подключается к компьютеру с правами, предоставленными данной учетной записи. Учетная запись SUPPORT_номер используется службами технической поддержки Microsoft. Обычно рекомендуют просто удалить эту учетную запись. Если на компьютере устанавливается информационный сервер Интернета (Internet Information Server, IIS), то создаются две учетных записи. Это IUSR_имя_ компьютера и IWAM_имя_компьютера. Учетная запись IUSR_имя_компьютера применяется при предоставлении Web-ресурсов анонимному пользователю. Иными словами, если информационный сервер Интернета не использует аутентификацию пользователя (предоставляет ресурсы анонимно), то в системе такой пользователь регистрируется под именем IUSR_имя_компьютера. Вы можете, например, запретить анонимный доступ к каким-либо ресурсам информационного сервера, если исключите чтение таких файлов данным пользователем. Пароль пользователя IUSR_имя_компьютера создается автоматически и синхронизируется между операционной системой и информационным сервером. Пароли учетных записей IUSR_имя_компьютера и IWАМ_имя_компьютера легко можно узнать при помощи сценария, имеющегося на компьютере. Найдите файл Adsutil.vbs (обычно он расположен в папке административных сценариев IIS, например, InetPub\AdminScripts), замените в текстовом редакторе строку сценария (иначе сценарий покажет пароль в виде звездочек)
на
и выполните:
для отображения пароля IUSR-пользователя или
для показа пароля IWAM-пользователя. Учетная запись IWAM_имя_компьютера используется для запуска процессов информационного сервера (например, для обработки сценариев на страницах с активным содержанием). Если вы случайно удалите какую-либо из этих записей и вновь создадите одноименную, то, скорее всего, столкнетесь с неработоспособностью информационного сервера. Конечно, можно обратиться к справочной базе разработчика, правильно настроить службы компонентов на использование новой учетной записи, синхронизовать с помощью специальных сценариев пароли учетных записей и т. п. Но гораздо эффективнее в этой ситуации будет просто удалить службу информационного сервера и вновь добавить этот компонент, предоставив программе установки выполнить все эти операции. Кроме перечисленных учетных записей новые пользователи системы часто создаются прикладными программами в процессе их установки. Обычно создаваемые таким образом учетные записи имеют необходимое описание в своих свойствах. Учетная запись СистемаПри необходимости можно настроить службы для старта от имени любого пользователя. Однако в этом случае вам необходимо установить соответствующей учетной записи постоянный пароль и предоставить ей достаточно большие права по отношению к локальному компьютеру. Из такого сочетания требований очевидно вытекает настоятельная рекомендация: не использовать учетные записи пользователей для запуска служб по соображениям безопасности. Учетная запись Система (Local System) предназначена для запуска служб компьютера. Она обладает полными правами по отношению к локальному компьютеру и фактически является частью операционной системы. Ее права существенно выше, чем права любой учетной записи пользователя. Для учетной записи Система выполняется обход проверок безопасности, поэтому для нее не существует пароля, который можно было бы дешифровать или взломать. Учетная запись Система не может быть использована для доступа к сетевым ресурсам. Использования учетной записи Система для запуска служб компьютера без особых на то причин следует избегать, поскольку данное решение понижает уровень безопасности. Например, если пользователю удастся подменить запускаемый файл службы на пакетный файл и затем прервать выполнение этого пакетного файла нажатием комбинации клавиш <Ctrl>+<C>, то он получит возможность запуска в этом командном окне задач с приоритетом Системы. Поэтому для использования при запуске служб введены еще две учетных записи. Это Local Service и Network Service. Так же, как и учетная запись Система, эти учетные записи являются частью самой операционной системы и не имеют паролей. При этом они обладают гораздо меньшими правами, чем учетная запись Система. Но большими правами, чем пользователь. Обе учетные записи по умолчанию имеют права пользователя и аутентифицированного пользователя и привилегии SE_AUDIT_NAME, SE_CHANGE_ NOTIFY_NAME, SE_UNDOCK_NAME. Если учетная запись Local Service используется также только при запуске локальных программ, то Network Service может осуществлять доступ к сетевым ресурсам. При этом данная учетная запись аутентифицируется в удаленной системе как учетная запись соответствующего компьютера.
Следует быть внимательным при назначении прав доступа к локальным ресурсам компьютера. Автор неоднократно сталкивался с ситуацией, когда недостаточно опытные пользователи, желая ограничить доступ к ресурсам своего компьютера, работающего в составе сети, запрещали доступ к файлам на диске всем, кроме самого себя. Исключив специальных пользователей, они сделали невозможным запуск многих служб, необходимых для работы операционной системы. Встроенные группыПри установке операционной системы на компьютере автоматически создается несколько групп. Для большинства случаев персонального использования этих групп достаточно для безопасной работы и управления системой. Администраторы (Administrators).
Пользователи (Users).
Опытные пользователи (Power Users).
Операторы резервного копирования (Backup Operators).
Учетная запись с правами оператора резервного копирования является достаточно серьезной брешью в системе безопасности организации. Как правило, особое внимание "безопасников" уделяется пользователям, имеющим административные права. Да, они могут стать владельцами любой информации, доступ к которой для них явно запрещен. Но при этом такие действия протоколируются и контролируются службой безопасности предприятия. Пользователь, на которого возложена рутинная вроде бы обязанность резервного копирования, легко может выполнить резервную копию всех данных и восстановить секретную информацию из этой копии на другой компьютер, после чего говорить о наличии установленных прав доступа к файлам и папкам уже бессмысленно. Но есть и более простые способы копирования информации, право доступа к которой запрещено на уровне файловой системы. В Windows имеется утилита для массового копирования файлов — robocopy.exe. Эта программа может выполнять копирование данных в режиме использования права резервного копирования (естественно, что она должна быть запущена пользователем, состоящим в группе операторов резервного копирования). В результате в новую папку будут скопированы все файлы, причем пользователю даже не нужно становиться владельцем файлов — все запреты будут уже сняты.
Программа Robocopy предназначена для того, чтобы скопировать структуру файлов из одной папки в другую. Если на файлы наложены ограничения доступа, то выполнять такую операцию штатными средствами (через резервное копирование и восстановление данных) не всегда удобно. Robocopy позволяет переместить данные, сохранив всю структуру прав. Возможность "снятия" ограничений, описываемая в настоящем разделе, просто является одной из функций данной утилиты. Гости (Guests).
HeplSevicesGroup.
Remote Desktop Users.
DHCP Administrators.
DHCP Users и WINS Users.
Network Configuration Operators.
Print Operators.
В системе присутствуют и другие группы, на описании которых мы не будем особо останавливаться (Account Operators, Pre-Windows 2000 Compatible Access, Server Operators и т. д.). Специальные группыВ операционной системе существуют так называемые специальные группы, членством в которых пользователь компьютера управлять не может. Они не отображаются в списке групп в оснастках управления группами, но доступны в окнах назначения прав доступа. Это группы Все (Everyone), Интерактивные пользователи (Local Users), Сетевые пользователи (Network Users), Пакетные файлы (Batch), Прошедшие проверку (Authenticated) и т. д. Предназначение групп ясно уже по их названию. Так, в группу Интерактивные пользователи автоматически включаются все пользователи, осуществившие вход в систему с консоли (клавиатуры). Сетевые пользователи — это те пользователи, которые используют ресурсы данного компьютера через сетевое подключение и т. п. Данные группы предназначены для более точного распределения прав пользователей. Например, если вы хотите, чтобы с каким-либо документом была возможна только локальная работа, то можно просто запретить доступ к нему сетевых пользователей. Заострим внимание читателей на группе Все, поскольку именно с ней связано наибольшее количество ошибок в предоставлении прав доступа. Эта группа включает не любых пользователей, а только тех, кто имеет учетную запись на данном компьютере. Иными словами, если вы предоставили ресурс в общий доступ с правами чтения для группы Все, то использовать его могут только те, кто "прописан" на данном компьютере. Если вы предпочитаете, чтобы ресурс мог использовать действительно "кто угодно", то для этого нужно разрешить использование учетной записи Гость.
В последних версиях Windows пересматривался состав группы Все. Во избежание ошибок следует уточнить состав данной группы в каждом конкретном случае. Рекомендации по использованию операции Запуск от имени...По соображениям безопасности не рекомендуется использовать для текущей работы учетную запись, обладающую административными правами. Смысл этого требования очень прост. Если на компьютере работает неопытный пользователь, то он не сможет что-либо испортить в настройках системы и привести ее в нерабочее состояние. Кроме того, в повседневной практике очень легко встретиться с какой-либо скрытой вредоносной программой. Если при запуске такой программы она не будет обладать административными правами, то возможностей нанести вред компьютеру у нее будет существенно меньше. Однако на практике пользователям периодически приходится выполнять различные административные действия. Например, установить драйвер для нового внешнего устройства хранения информации, на котором вы принесли для просмотра взятый у приятеля видеофильм, и т. п. Понятно, что несмотря на все рекомендации, большинство пользователей для удобства работали с правами учетной записи администратора. В операционных системах Windows 7 по умолчанию максимальные права не предоставлены и администратору. Чтобы выполнить действия, меняющие системные настройки, предусмотрен специальный механизм для быстрого запуска программ с использованием административных прав. Это операция Запуск от имени Администратора. Эта команда доступна в динамическом меню соответствующего ярлыка. Кроме того, если при запуске программы система обнаружила попытку выполнения действий, для которых требуется подобная эскалация прав, то пользователь увидит на экране запрос на продолжение, который он должен подтвердить (или отказаться, если подобная операция не планировалась).
Обратите внимание, что учетная запись Администратор и учетная запись, которая используется при запуске от имени администратора, — это различные учетные записи. Если не учитывать данный момент, то это может привести к неожиданным результатам, например, при выполнении сценариев входа в домен. 1В версиях, более ранних чем Windows XP. В новых версиях Windows упомянутые операции допустимы.
|
|
|