Windows 2000 Server - Vademecum profesjonalisty cz.2 [818 stron].pdf - server - glewoc

Rozdział 10.

Zarządzanie

zabezpieczeniami Active

Directory

Duże projekty, takie jak rozprzestrzenianie Windows 2000, składają się zazwyczaj

z kilku etapów, którym z powodzeniem mogłyby towarzyszyć różne podkłady

muzyczne. Pierwszy etap znakomicie pasuje do „Itsy-Bitsy Spider”, w którym to

prezentowanych i poznawanych jest wiele rewelacyjnych rozwiązań nowego

systemu. Następnie nadchodzi etap Benny Goodmana, w którym wszyscy

zaczynają zastanawiać się nad realizacją nowych rozwiązań. Kolejnemu etapowi

towarzyszy Jerry Lee Lewis, którego utwory znakomicie pasują do wszystkich

wykonywanych operacji. W tym etapie będziemy musieli sprostać wyzwaniu

zabezpieczeń Active Directory, by móc ostatecznie usłyszeć „Schody do nieba”

Led Zeppelin. Cały czas trzeba być bardzo uważnym, gdyż w przeciwnym

wypadku w następnym etapie można usłyszeć marsz żałobny.

Informacje zamieszczone w tym rozdziale poruszają następujące zagadnienia:

• Prawa kontroli dostępu i zabezpieczenia katalogu.

• Prawa zarządzania delegacjami i kontrolowanie praw dziedziczenia.

• Tworzenie i zarządzanie obiektami użytkowników i grup.

• Używanie grup do zarządzania obiektami katalogu.

• Używanie usługi pomocniczego logowania i polecenia RunAs.

Omówienie zabezpieczeń katalogu

Strategia zarządzania katalogiem musi bazować na strukturze zabezpieczeń.

Zanim zagłębimy się w szczegóły zarządzania obiektami użytkowników i grup,

plik: Dokument1, strona 1

Rozdział 1. u Instalowanie i konfigurowanie Windows 2000

warto zapoznać się z zabezpieczeniami Windows 2000 używanymi do obiektów

katalogu. Jeżeli jesteś doświadczonym administratorem NT, możesz pominąć

większą partię tej części rozdziału. Windows 2000 używa tego samego

obiektowego mechanizmu zabezpieczeń, co klasyczny system NT. Warto

jednakże zapoznać się z częścią omawiającą delegacje i zarządzanie grupami,

gdyż Windows 2000 oferuje kilka nowych i ciekawych właściwości dotyczących

tych zagadnień.

Pryncypia zabezpieczeń

Pryncypium zabezpieczeń jest ktoś (albo coś), kto posiada prawo dostępu do

obiektu zabezpieczeń Windows 2000. Obiektami zabezpieczeń są katalog z całą

jego zawartością, pliki i katalogi NTFS oraz klucze rejestru. Pryncypiami

zabezpieczeń są natomiast użytkownicy, grupy i komputery. Pryncypia

zabezpieczeń różnią się od innych obiektów tym, że posiadają identyfikatory

zabezpieczeń (SID — Security ID), które jednoznacznie identyfikują je w

podsystemie zabezpieczeń.

Obiekty OU NDS i OU Active Directory

Administratorzy NetWare powinni zwrócić uwagę, że obiekty OU (jednostki organizacyjne)

Windows 2000 nie mogą być używane jako pryncypia zabezpieczeń. Jest to spowodowane tym,

że obiekty OU nie posiadają identyfikatorów zabezpieczeń. Z tego też powodu obiekt OU w

zabezpieczeniu Windows 2000 pełni funkcję druhny, a nigdy panny młodej.

Windows 2000 posiada dwa typy grup, z których jedną stanowi grupa pryncypiów

zabezpieczeń — grupa zabezpieczeń . Drugim typem jest grupa dystrybucyjna ,

która jest nową właściwością Windows 2000. Używana w połączeniu z zasadami

grup, grupa dystrybucyjna określa użytkowników i komputery, którzy otrzymują

dane pakiety oprogramowania.

Komputery również są pryncypiami zabezpieczeń. Co prawda, administratorzy

rzadko przypisują prawa komputerom , lecz system bardzo często korzysta z kont

komputerów. Komputer ma konto w katalogu, do którego przypisane jest losowe

hasło. Hasło jest automatycznie zmieniane co 28 dni przez kontroler domeny.

Konto komputera jest uwierzytelniane przez Kerberos.

Konto komputera jest częścią miniaturowej relacji zaufania utworzonej pomiędzy

komputerem i domeną. System używa tej relacji zaufania do tworzenia połączeń

RPC (Remote Procedure Call — zdalne wywołanie procedury), które obsługuje

uwierzytelnianie użytkownika i inne transakcje zabezpieczeń.

plik: Dokument1, strona 2

Rozdział 1. u Instalowanie i konfigurowanie Windows 2000

Header = Nagłówek

Owner SID = Właściciel identyfikatora zabezpieczeń

Owner’s Primary Group SID = Identyfikatora zabezpieczeń

podstawowej grupy właściciela

Access Denied ACE = Odmowa dostępu ACE

Security Principal SID = Identyfikator pryncypium

zabezpieczeń

Access Mask = Maska dostępu

Access Allowed ACE = Zezwolenie dostępu ACE

System Audit ACE = Kontrola systemu ACE

Deskryptor zabezpieczeń zawiera sześć składników:

• Nagłówek . Opisuje zawartość deskryptora zabezpieczeń. Zawiera również

strukturę kontroli, która definiuje, czy obiekt może dziedziczyć prawa ze

swojego kontenera.

• Identyfikator zabezpieczeń właściciela . Wszystkie obiekty zabezpieczeń

Windows 2000 posiadają swoich właścicieli. Za wyjątkiem administratorów

identyfikator zabezpieczeń właściciela będzie identyfikatorem użytkownika,

który utworzył obiekt. Właścicielem obiektów tworzonych przez członków

grupy Administrator jest administrator.

• Identyfikator zabezpieczeń podstawowej grupy właściciela . Nie jest używany

przez obiekty katalogu, lecz jest stosowny dla obiektów NTFS. Więcej

informacji znajdziesz w rozdziale 13. „Zarządzanie systemami plików”.

• Lista kontroli dowolnego dostępu (DACL — Discretionary access control

list) . Lista kontroli dostępu identyfikuje pryncypia zabezpieczeń, które

uzyskały albo nie uzyskały dostępu do obiektu. Dowolny dostęp w nazwie

oznacza, że właściciele i administratorzy mogą dokonywać zmian na liście.

• Lista kontroli dostępu systemowego (SACL — System access control list) . Ta

dodatkowa lista kontroli dostępu jest używana przez system kontrolny. Lista

SACL nie może być modyfikowana przy użyciu standardowych narzędzi

zarządzania i jest dostępna tylko z interfejsu programowego.

Lista kontrolna zawiera jeden albo większą ilość wpisów ACE ( Access Control

Entries — Wpisy kontrolne dostępu). Wpis ACE składa się z dwóch części:

1. Identyfikatora zabezpieczeń reprezentującego pryncypia zabezpieczeń.

2. Maski dostępu definiującej zezwolenie dla tego pryncypium zabezpieczeń.

plik: Dokument1, strona 3

Deskryptory zabezpieczeń i listy kontroli dostępu

Każdy obiekt zabezpieczeń w Windows 2000 posiada specjalną strukturę danych

o nazwie deskryptor zabezpieczeń . Deskryptor identyfikuje pryncypia

zabezpieczeń chcące uzyskać dostęp do obiektów, jak również definiuje pole

działania po uzyskaniu dostępu. Na rysunku 10.1 widoczny jest schemat blokowy

deskryptora zabezpieczeń.

Rysunek 10.1.

Schemat

blokowy

deskryptora

zabezpieczeń

przedstawiając

y wpisy ACE,

oraz tablice

DACL i SACL

Rozdział 1. u Instalowanie i konfigurowanie Windows 2000

Podczas logowania użytkownicy otrzymują żetony dostępu, które zawierają

identyfikator zabezpieczeń użytkownika i identyfikatory grup, do których należy

użytkownik. Gdy proces użytkownika próbuje uzyskać dostęp do obiektu

zabezpieczeń, Security Reference Monitor znajdujący się w programie

wykonawczym Windows 2000 sprawdza identyfikatory w żetonie użytkownika

dla każdego wpisu ACE na liście kontroli dostępu do obiektu. Dzięki temu system

może określić, czy użytkownik posiada dostęp do danego obiektu. Jest to rdzeń

możliwości operacyjnych systemu.

Przeglądanie wpisów kontroli dostępu

Istnieje możliwość przeglądania deskryptorów zabezpieczeń dla obiektu katalogu

za pomocą dowolnej konsoli zarządzania Active Directory. Na przykład, otwórz

konsolę Active Directory Users and Groups (Użytkownicy i grupy Active

Directory) i rozwiń drzewo katalogowe. Prawym przyciskiem myszy kliknij

wybrany obiekt i z wyświetlonego menu wybierz polecenie Properties

(Właściwości) . Następnie otwórz zakładkę Security (Zabezpieczenia) .

Przedstawione będą tam wszystkie wpisy kontroli dostępu dla obiektu. Na

rysunku 10.2 przedstawione zostały wpisy kontroli dostępu dla użytkownika o

nazwie Average User.

Rysunek 10.2.

Właściwości

zabezpieczeń

dla

przykładowego

użytkownika —

widoczne są

wpisy kontroli

dostępu do

obiektu

W rozdziale 14. „Bezpieczeństwo systemów plików” przedstawiona została pełna

lista standardowych pryncypiów zabezpieczeń w Windows 2000 i ich funkcji.

Poniżej przedstawionych zostało tylko kilka pryncypiów, aby zaprezentować ich

ogólny charakter:

• Authenticated User (Uwierzytelniony użytkownik) . Specjalny, dobrze

znany identyfikator zabezpieczeń przypisany do każdego użytkownika,

który został uwierzytelniony w domenie.

• System . Kolejny dobrze znany identyfikator reprezentujący system.

• Self (Własny) . Jeszcze jeden dobrze znany identyfikator reprezentujący

grupę zawierającą jednego członka — użytkownika. Grupa ta różni się od

grupy Authenticated User (Uwierzytelniony użytkownik), gdyż

plik: Dokument1, strona 4

Rozdział 1. u Instalowanie i konfigurowanie Windows 2000

użytkownik może zalogować się do lokalnego komputera i nie musi

logować się do domeny.

• Domain Admins (Administratorzy domeny) . Globalna grupa zabezpieczeń

utworzona podczas promowania pierwszego kontrolera domeny Windows

2000. Grupa ta pojawia się we wszystkich listach dostępu. W ten sposób

centralne przywileje administratora są propagowane do serwerów i stacji

roboczych domeny.

• Enterprise Admins (Administratorzy przedsiębiorstwa) .

Globalna/uniwersalna grupa dziedziczona z obiektu Domain-DNS

dc=Company, dc=com . Grupa posiada ten sam rodzaj przywilejów, co

grupa Domain Admins (Administratorzy domeny) z tą różnicą, że

przywileje dotyczą całego lasu katalogowego, a nie tylko jednej domeny.

• Account Operators (Operatorzy konta) . Wbudowana grupa globalna, która

jest ograniczona do realizacji przywilejów związanych z obsługą konta

użytkownika.

• Cert Publishers (Wydawcy certyfikatów) . Grupa globalna używana do

zarządzania certyfikatami kluczy prywatnych (lub publicznych) (X.509).

Na liście kontroli dostępu użytkownika znajdują się prawa do odczytu i

zapisu informacji certyfikatów obiektu użytkownika.

• RAS and IAS Servers (Serwery RAS i IAS) . Grupa globalna używana do

zarządzania zdalnym dostępem i internetowymi usługami

uwierzytelniania. Konta serwerów RAS (Remote Access Server —

Serwer zdalnego dostępu) i serwerów IAS (Internet Authentication Server

— Serwer uwierzytelniania internetowego) znajdują się właśnie w tej

grupie, dlatego też serwery mogą przeszukiwać katalog weryfikując

uprawnienia użytkownika.

• Pre-Windows 2000 Compatible Access (Kompatybilność z poprzednimi

wersjami Windows 2000) . Grupa ta obsługuje serwery NT4 RAS, które

potrzebują dodatkowych praw do sprawdzania uprawnień użytkowników

w katalogu. Więcej informacji na ten temat znajdziesz w uwadze

„Kompatybilność z poprzednimi wersjami Windows 2000”.

Niektóre pryncypia zabezpieczeń wyświetlane w oknie Properties (Właściwości)

posiadają więcej niż jeden wpis ACE. Gdy zaznaczysz jeden z wpisów, system

poinformuje Cię o istnieniu dodatkowych uprawnień. Kliknij przycisk Advanced

(Zaawansowane) , aby zobaczyć więcej informacji dotyczących listy zabezpieczeń

— rysunek 10.3.

Rysunek 10.3.

Okno Access

Control

Settings

(Ustawienia

plik: Dokument1, strona 5

Windows 2000 Server - Vademecum profesjonalisty cz.2 [818 stron].pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: