Configurarea Active Directory. Creearea utilizatorilor. Definirea politicilor de securitate

Retele de calculatoare

Configurarea Active Directory. Creearea utilizatorilor. Definirea politicilor de securitate

Una dintre etapele esentiale in definirea unui domeniu W2k este reprezentata de creearea conturilor de utilizator, organizarea acestora pe grupuri organizationale si creearea unei politici de securitate pentru acestia.

Lansarea Active Directory in scopul configurarii: Start -> Programs -> Administrative Tools -> Active Directory Users and Computers.

Va recomandam, in schimb, sa va creeati o consola administrativa in care sa includeti mai multe componente de administrare pentru serverul d-voastra :

Start -> Run -> MMC ;

Meniul Console -> Add/Remove Snap-In -> Add -> Active Directory Users and Computers -> Add -> Computer Management -> Add -> Finish -> DNS -> Add -> Event Viewer -> Add -> Finish -> Close

Pentru configurarea extensiilor pentru fiecare categorie in parte din fereastra AddRemove Snap-in (figura 13.6.1), alegeti tab-ul Extensions, dezactivati Add all extensions si pastrati numai optiunea Group Policy, dupa care alegeti din lista urmatoarea componenta : Computer Management, dezactivati Add all extension si alegeti optiunile care va intereseaza pentru fiecare categorie in parte.

Dupa ce confirmati, puteti salva consola administrativa pentru utilizari ulterioare din meniul Console, optiunea Save. Va recomandam sa o salvati pe desktop-ul sistemului d-voastra pentru a putea fi accesibila cat mai usor.

Scurta prezentare a componentei Active Directory Users and Computers (A.D.U.C.)

A.D.U.C. pentru domeniul curent contine, in mod implicit, 5 categorii

• Builtin - care va contine un set de utilizatori predefiniti cu diferite roluri in cadrul domeniului d-voastra
• Computers - contine toate statiile incluse in domeniul curent.
• Domain Controllers - include toate serverele din domeniul curent care au instalat si configurat serviciul A.D.
• ForeignSecurityPrincipals - contine identificatorii de securitate (security identifiers - SIDs) asociati obiectelor A.D. din alte domenii decat cel curent.
• Users - contine informatii despre toti utilizatorii si grupurile de utilizatori implicite.

A.D.U.C. poate gestiona informatii despre calculatoare, grupuri de utilizatori, grupuri organizationale, imprimante, utilizatori si directoare puse la dispozitie in retea (shared folders).

Inainte de creearea unui utilizator va recomandam sa creeati intai un nou grup organizational care poate include si statii de lucru, si asupra caruia se poate creea o politica de securitate centralizata : Action -> New -> Organizational Unit -> introduce-ti o denumire sugestiva, (de exemplu, Vizitatori) -> OK.

La proprietatile unui grup organizational putem specifica urmatoarele informatii

• informatii generale (General). Contine informatii prinvind descrierea grupului si adresa la care poate fi localizat acesta
• informatii despre persoana, utilizatorul care gestioneaza grupul respectiv (Managed By). Persoana care se ocupa de gestiunea utilizatorului respectiv poate fi schimaba apasand butonul Change, datele de identificare despre acesta fiind preluate automat din A.D.
• politicile de securitate aplicate grupului respectiv (Group Policy) unde avem posibilitatea de creeare a unei noi politici de securitate sau importul unei politici deja existente. Nu activati optiunea Block Policy Inheritance pentru ca aceasta nu se va mai propaga automat asupra altor subsisteme organizationale din gurpul respectiv.

Creearea unei noi politici de securitate si cateva aspecte si motivatii ale unei politici de securitate

Din A.D.U.C., RClick (pe grupul organizational) -> Proprieties -> Group Policies -> New -> (se tasteaza numele politicii, de exemplu, vizPol - politica pentru vizitatori) -> Edit.

Fereastra Group Policy este impartita in doua mari categorii :

Computer Configuration (politica statiilor de lucru si a serverelor din domeniu)

User Configuration (politica de securitate pentru utilizatorii din grupul organizational respectiv)

Daca grupul organizational contine numai utilizatori sau calculatoare, cealalta optiune poate fi blocata din fereastra de proprietati a poiticii de securitate (RClick [pe numele politicii] -> Proprieties) (figura 13.6.2).

In momentul in care activati una dintre cele 2 optiuni, va aparea pe ecranul d-voastra o fereastra de atentionare cu privire la consecintele care pot fi generate in urma acestei operatiuni, respectiv faptul ca statiilor de lucru din acest grup organizational le va fi aplicata politica de securitate locala. Apasati cu inredere butonul Yes, pentru ca se poate reveni in orice moment la starea initiala.

Va recomandam sa creeati o politica de securitate cu preponderenta orientata spre utilizator, pentru ca pe aceeasi statie se pot conecta diferite categorii de utilizatori care pot avea diferite niveluri de acces la aceasta, anumite operatiuni fiindu-le private de o eventuala politica de securitate eronat specificata.

O prima subcategorie intalnita la ambele categorii este Software Settings ce contine optiunea Software installation, care presupune instalarea automata a unor aplicatii impachetate in prealabil in mod administrativ. Pachetele utilizate in acest scop sunt recunoscute sub extensia MSI. Cateva instrumente folosite pentru creearea pachetelor de instalare MSI sunt : Veritas Software Console, Install Shield Professional, Wise Package Studio. Aceste pachete se salveaza intr-un director pus la dispozitie in retea. Intrumentele respective se bazeaza pe creearea unei imagini (snapshot) a registrilor sistemului de operare, instalarea si configurarea aplicatiilor, repornirea sistemului, impachetarea aplicatiei prin preluarea fisierelor de pe disc, precum si a cheilor introduse in registrii. Din testele pe care le-am efectuat cu Veritas Software Console, acest sistem se aplica cu succes doar aplicatiilor de mici dimensiuni, gen arhivare.

In categoria Windows Settings exista optiunea Scripts care pentru Computer Configuration include suboptiunile Startup si Shutdown, iar la User Configuration include Log on si Log off. Aici se pot specifica diferite script-uri care sa se declanseze in momentul in care statia sau utilizatorul se autentifica in retea. Asupra catorva modele de scrip-uri vom reveni ulterior.

O optiune din politica de securitate poate avea 3 setari

Nedefinita neconfigurata (not defined/not configured)

Definita/Activa (specificarea unei valori/Enabled)

Indisponibila (Disabled).

Schimbarea valorilor se poate realiza prin actionarea dublu Click pe optiune sau din meniul Action, optiunea Security.

In continuare, com incerca sa explicam cateva dintre optiunile politicii uzuale de securitate, valorile aferente si, inainte de toate, calea de a ajunge la optiunea respectiva.

Computer Configuration Windows Settings Account Policies Password Policies:

• Maximum password age (durata maxima de valabilitate a unei parole) - forteaza utilizatorul ca dupa un anumit numar de zile (implicit 70) sa-si schimbe parola. Este in stransa legatura cu Minimum password age (durata minima de valabilitate a unei parole) (implicit 30 de zile).
• Passwords must meet complexity requirements (parola trebuie sa aiba un format complex) - care inseamna ca acesta nu trebuie sa contina o parte sau tot numele de utilizator ; sa nu fie mai mica de 6 caractere sa contina caractere mari, mici, numere si caractere non-alfanumerice (de exemplu, !, $->, %). De asemenea, se recomanda folosirea caracterelor speciale sau a caracterului spatiu in creearea parolelor. Activarea acestei optiuni forteaza utilizatorul sa nu mai foloseasca data nasterii, numarul de la masina sau nume familiare in creearea parolelor.

Computer Configuration Windows Settings Security Settings Account Policies Account Lockout Policy :

• Account lockout threshold (blocarea contului de utilizator) - se configureaza pentru a preveni incercarile repetate de conectare la retea in conditiile de necunoastere a parolei. Valorile pe care le poate lua sunt de la 1 la 999. Implicit aceasta optiune nu este configurata, iar valoarea 0 elimina posibilitatea de blocare a contului. Recomandam valoarea 3 pentru aceasta optiune.
• Account lockout duration (timpul de blocare a unui cont) specifica durata de blocare a unui cont care a fost blocat automat prin optiunea anterioara. Intervalul de valori este cuprins intre 1 si 99999 minute, valoarea implicita fiind de 30 de minute, configurabila automat in momentul in care se configureaza optiunea anterioara.

Computer Configuration Windows Settings Security Settings Local Policies Audit Policy :

• Audit account log-on events (inregistrarea evenimentelor de conectare in retea) - permite scrierea unei inregistrari in Event Viewer pentru fiecare operatiune de log in sau log off pe care o efectueaza un utilizator autentificat de o statie din domeniu. In stransa legatura cu aceasta este optiunea Audit logon events.
• Audit account management (inregistrarea evenimentelor de modificare a conturilor de utilizator) - optiune foarte utila in gestiunea unei retele, fiind foarte important de stiut cand si de catre cine au fost efectuate modificari asupra conturilor de utilizatori.
• Audit policy change (inregistrarea schimbarilor in politicile de securitate) - adauga in Event Viewer inregistrari despre modificarile drepturilor de acces la anumite resurese pe statia respectiva.

Computer Configuration Windows Settings Security Settings Local Policies User Rights Assignement :

• Add workstation to domain adaugarea de statii in domeniu) - se configureaza pentru a permite utilizatorilor sau unui grup de utilizatori sa adauge statii de lucru in domeniu. Implicit, grupul de utilizatori care poate adauga statii in domeniu este Authenticated Users, dar in aceasta categorie pot intra toti utilizatorii creeati in Active Directory, ceea ce diminueaza controlul asupra statiilor din domeniul respectiv. Va recomandam sa configurati aceasta politica de securitate cu specificarea stricta a grupului Administrators : Dublu Click (pe optiune) -> Define these policy settings in the template -> Add -> Browse -> Dublu Click (pe Administrators) -> OK -> OK -> OK.
• Change the system time (schimbarea timpului din sistem). In mod implicit, fiecare utilizator poate sa schimbe data si ora sistemului, dar nu recomandam acest lucru pentru ca poate duce la inregistrarea gresita din punctul de vedere al timpului a unor evenimente de retea. Schimbati asemnanator exemplului anterior aceasta optiune, definind dreptul de acces grupurilor administrative la nivel de domeniu.

Computer Configuration Windows Settings Security Settings Local Policies Security Options :

• Additional restrictions for anonymous access Acces limitat conexiunilor anonime Orice utilizator din domeniu curent sau din alte domenii poate vedea, in mod implicit, resursele puse la dispozitie in retea. Pentru a oferi o mai buna protectie domeniului recomandam optiunea Do not allow enumeration of SAM accounts and shares, care inlocuieste grupul de utilizatori Evreyone cu Authenticated Users in definirea politicilor locale de acces la diferite resurse. In acest fel, numai utilizatorii din Active Directory pot avea acces la resursele domeniului : share-uri, imprimante etc.
• Automaticallz log off users when logon time expires (Deconectarea automata de la retea in momentul expirarii timpului de lucru). Pentru anumite categorii de utilizatori sau in mod individual poate fi configurat un interval orar de acces in retea. In momentul in care utilizatorul depaseste timpul alocat, acesta este deconectat automat de la resursele retelelor. De asemenea, si versiunea urmatoare (local) trebuie activata pentru ca sistemul sa deconecteze automat utilizatorul.
• Do not display last user name in logon screen (Neafisarea numelui ultimului utilizator conectat pe statia curenta). In cazul retelelor cu mai multi utilizatori, activarea acestei optiuni aduce un spor de siguranta la conectarea in retea, multi utilizatori nefiind destul de atenti la ultimul User Name scris in fereastra de Log On. In cazul in care intr-o retea acelasi utilizator lucreaza cu preponderenta pe aceeasi statie, activarea acestei optiuni nu este recomandata.
• Message text for users attempting to log on (Mesajul pentru utilizatorii care doresc sa se conecteze in retea). Aici se poate trece un mesaj de informare a utilizatorilor care se conecteaza in retea. Optiunea Message title for users attempting to log on specifica titlul ferestrei de mesaj (de exemplu, Bun venit in cadrul retelei MXDOM).
• Number of previous logons to cache (in case domain controler is not available) (Numarul conectarilor anterioare salvate local in cazul in care serverul de domeniu nu este disponibil) - permite conectarea pe statii folosind utilizatorii de domeniu chiar si in cazul in care serverul de autentificare este temporar indisponibil. Aceasta optiune este recomandabila numai in cazul in care domeniul contine putini utilizatori, si acestia se conecteaza cu precadere pe aceeasi statie. In cazul domeniilor cu multi utilizatori, creearea profilurilor de utilizatori locali duce la o diminuare a spatiului disponibil pe disc. Valoarea 0 este corespondenta cazului al doilea.
• Prompt user to change password before expiration (Atentionarea utilizatorului pentru a-si schimba parola cu un anumit timp inainte de expirare). Se exprima in zile, valoarea implicita fiind 14. Va recomandam insa o valoare mai mica, 5 sau 7, pentru a nu deranja utilizatorul la fiecare conectare, Schimbarea parolei acestuia duce la anularea aparitiei mesajului de avertizare pana la urmatorul termen.
• Restrict CD-ROM access to locally logged-on user only (Blocarea accesului la CD-ROM utilizatorilor autentificati de statie si nu de serverul de domeniu). Se utilizeaza pentru prevenirea instalarii unor aplicatii, copierii de fisiere etc. de alti utilizatori decat cei autentificati in domeniu. De asemenea, se poate interzice accesul catre unitatea de discheta prin urmatoarea optiune : Restrict floppy access to locally logged-on user only.

Computer Configuration Windows Settings Security Settings Event Log Settings for Event Logs :

In aceasta sectiune, activarea optiunilor Retain application, system, security log si configurarea lor la un anumit numar de zile (implicit 7) aduce cu sine o configurare automata a optiunilor Retention method for care pot fi configurate implicit pe zile.

Computer Configuration Windows Settings Security Settings Restricted Groups

Este destinata limitarii drepturilor anumitor grupuri de utilizatori, prin adaugarea acestora in aceasta categorie RClick pe optiune -> Add Group -> Browse -> se alege grupul din lista -> OK -> OK.

Computer Configuration Windows Settings Security Settings System Services :

Este destinat configurarii serviviilor care vor rula pe statiile de lucru din domeniu. Se pot defini modul de pornire a serviciului, precum si grupurile de utilizatori care au dreptul de pornire a respectivului serviciu. De exemplu, dorim ca serviciul Telnet sa porneasca manual si numai administratorul de domeniu sa aiba drepturi de executie asupra acestuia : Dublu Click pe serviciu -> activati Define this policy settings in the template -> in fereastra Security for Telnet apasati Add -> se alege din lista grupul Administrators -> OK -> se apasa optiunea Allow, Full Control de la Permissions -> Click pe Evreyone -> Remove -> OK -> Manual -> OK. Atentie la modul de pornire a anumitor servicii. Testati in prealabil pe o statie obisnuita care dintre servicii va pot asigura o functionalitate optima si care pot fi oprite. Este bine cunoscut ca un numar mai mic de servicii aduce cu sine si o memorie RAM suplimentara.

Computer Configuration Windows Settings Security Settings Registry este optiunea prin intermediul careia administratorii pot defini permisul de acces utilizatorilor pe anumite sectiuni din registrii sistemului de operare de pe statiile de lucru.

Computer Configuration Windows Settings Security Settings File System permite administratorilor adaugarea si definirea politicii de securitate la nivelul directoarelor si fisierelor de pe statiile de lucru.

Computer Configuration Administrative Template contineo serie de sabloane de optiuni predefinite configurabile. Sabloanele implicite cunt conf, inetres, system. Adaugarea unui noi sablon aduce cu sine posibilitatea configurarii de noi optiuni de securitate : RClick (pe Administrative Templates) -> Add/Remove Templates -> Add -> se alege un cadru din lista (de exemplu, inetset) -> Open -> Close.

Optiunile din Administrative Templates sunt foarte multe, o sa amintim aici doar cateva, precizand ca o documentare completa a acestora puteti gasi la adresa https://msdn.microsoft.com/library/rn-us/gp/default.asp

• Incetarea aparitiei ferestrei de bun venit la conectarea in retea Computer Configuration Administrative Templates System Don't display welcome screen at logo.
• Blocarea rularii automate a unui CD in momentul introducerii acestuia in unitatea de CD-ROM : Computer Configuration Administrative Templates System Disable Autoplay.
• In cazul in care mai aveti mai multe servere de autentificare pentru domeniu, propagarea schimbarilor care se efectueaza pe acestea poate fi gonfigurata din : Computer Configuration Administrative Templates System Group Policy Group Policy refresh interval for domain controlers. Valoarea implicita este de 5 minute.

Prezentarea principalelor categorii din User Configuration

• Personalizarea titlului pentru Internet Explorer si a imaginii de pa bara cu instrumente: User Configuration Windows Settings Internet Explorer Maintenance Browser User Interface Browser Title -> Customize Title Bars -> scrieti textul dorit -> Customize Toolbar background bitmap -> Browse -> cautati imaginea care trebuie sa fie de tip bitmap (*.BMP) -> Open -> OK.
• Specificarea unui proxy pentru comunicarea pe Internet : User Configuration Windows Settings Internet Explorer Maintenance URLs Important URLs -> Cutomize Home PageSearch bar Online support page URL -> se tasteaza adresa paginilor dorite -> OK. Aceasta optiune este foarte importanta pentru configurarea paginii HTML drept desktop al statiilor din domeniu.
• Pentru specificarea altei locatii directorului My Documents : User Configuration Windows Settings Folder Redirection My Documents -> RClick (pe My Documents) -> Proprieties -> Target -> In lista Settings exista optiunea Basic - Redirect evreyone's folder to the same location (redirectarea tututor utilizatorilor catre aceeasi locatie), iar la Target folder location treceti adresa la care va fi redirectat automat directorul My Documents pentru fiecare utilizator in parte. Calea pe care v-o recomandam este nume_servernume_share in cazul nostru adresa fiind server-01%username%$, server-01 fiind numele serverului, iar ursername fiind variabila sistem care identifica numele de share pentru fiecare utilizator in parte. La optiunea Settings toate optiunile pot rimane in mod predefinit. Politica de securitate pentru My Pictures este configurata automat sa urmeze directorul My Documents (Folow the My Documents folder).
• Interzicerea schimbarii paginii de start (home page) : User Configuration Administrative Templates Windows Components Internet Explorer Disable changing home page settings.
• Ascunderea optiunii Folder Option din meniul Tools din Windows Explorer cu scopul de a nu permite utilizatorilor vizualizarea unor fisiere ascunse, sau fisiere sistem, in scop distructiv, sau a eliminarii lor din necunostinta de cauza: User Configuration Administrative Templates Windows Components Windows Explorer Removes the Folder Option meniu item from the Tools menu. Optiunea ascunderii fisierelor si eliminarea posibilitatii de dezascundere poate fi depasita cu utilitarul Comand Prompt, comanda attrib.
• Ascunderea anumitelor discuri in My Computer, pentru a restrictiona accesul la acestea: User Configuration Administrative Templates Windows components Windows Explorer Hide these specified drives in My Computer -> Enabled -> alegeti optiunile dorite din lista -> OK. Foarte multe erori care se intimla in utilizarea calculatoarelor sunt cauzate de mutarea accidentala prin drag-and-drop a directoarelor dintr-o locatie in alta. Pentru protejarea sistemului de operare, dar si pentru a pastra o ordine in organizarea fisierelor de pe discul C , va recomandam sa activati optiunea Restrict C drive only. De asemenea, puteti bloca accesul la discurile A: sau B: pentru a va proteja si prin aceasta cale de utilizaturii care pot transporta virusi pe dischete (Restrict A, B and C drives only).In cazul in care doriti blocarea accesului la CD-ROM, trebuie sa activati optiunea Restrict D drive only, cu specificarea faptului ca trebuie sa va configurati partitiile de pe statiile de lucru (Administrative Tools Computer Managment Disk managment) in asa fel incit discul de CD-ROM sa aiba asignata litera D. Daca statia d-voastra face parte  dintr-un domeniu public, gen i-cafe, puteti ascunde toate discurile de pe statie, prin activarea optiunii Restrict all drivers. Chiar daca activati aceasta politica de securitate, accesul la discuri este posibil din Command Prompt numai daca nu ati dezactivat aceasta optiune.
• Eliminarea iconitei My Network Places din Windows Explorer pentru a preveni accesul neautorizat in retea: User Configuration Administrative Templates Windows Components Windows Explorer No "Entire network" in My network Places. Oricit de protejati credem ca suntem, sa nu uitam niciodata ca un utilizator interesat in scop distructiv se "leaga" de orice informatie pe care o achizitioneaza pentru a-si testa "fortele". Intre 50 si 85% dintre incidentele de securitate provin din interiorul organizatiei.
• Specificarea numarului maxim de documentare stocate in lista documentelor recent apelate: User Cunfiguration Administrative Tmplates Windows Components Windows Explorer Maximum number of recent documents (valoare implicita: 15).
• Eliminarea optiunii Run din meniul Sart User cunfiguration Administrative templates Start Menu & Taskbar Remove Run Menu from Start Menu.
• Ascunderea iconitei de acces la retea de pe Desktop : User Configuration Administrative Templates Desktop Hide My Network Places icon on desktop.
• Interzicerea schimbarii destinatiei directorului sistem My Documnets User Configuration Administrative Templates Desktop Prohibit user from changing My Documents path
• Activarea desktop-ului activ : User Configuration Administrative Templates Desktop Active Desktop Enable Active Desktop si interzicerea modificarilor User Configuration Administrative Templates Desktop Active Desktop Prohibit changes.
• Adaugarea unei pagini web pe desktop-ul activ : User Configuration Administrative Templates Desktop Active Desktop Add/Delete Item -> Enabled -> specificarea adresei unei pagini web care se doreste a fi postata pe desktop-ul utilizatorilor -> OK.
• Ascunderea resursei Active Directory in retea : User Configuration Administrative Templates Desktop Active Directory Hide Active Directory Folder.
• Interzicerea accesului la tabloul de bord al calculatorului (Control Panel) : User Configuration Administrative Templates Control Panel Disable Control Panel.
• Daca doriti sa pastrati numai anumite componente in Control Panel,puteti alege optiunea Show only specified control panel applets si specificati numele componentelor pe care le doriti. Pentru a creea o lista de componente : Show -> Add -> introduceti numele componentelor -> Ok -> OK. Componentele pe care le puteti folosi le gasiti in directorul in care a fost instalat sistemul de operare, subdirectorul System 32, sub forma unor fisiere cu extensia CPL. Pot exista in schimb si neclaritati in legatura cu aceste componente pentru ca, de exemplu, nu exista nici un CPL care sa deschida fereastra de configurare a tatstaurii, si nici a imprimantelor. Daca in documentatie se exemplifica pe langa mai multe CPL-uri si Printers, inseamna ca putem incerca optiunea Keyboard pentru ca iconita pentru tatstatura sa fie singura vizibila in Control Panel. Noua nu ne-a functionat!
• Interzicerea modificarilor setarilor pentru display : User Configuration Administrative Templates Display Disable Display in Control Panel. Aceasta regula poate fi considerata una dintre cele mai drastice pentru utilizatorul final. De ce ar trebui sa implementam o astfel de politica in care utilizatorul nu-si poate adauga drept Wallpaper fotografia unui loc, a unei persoane sau animal drag? Va prezentam un caz practic, deosebit de real, concluziile urmand sa le trageti d-voastra. Intr-o onorabila institutie de invatamant, o onorabila profesoara de informatica a fost foarte aproape de pragul unui colaps psihic in momentul in care a intrat intr-un laborator, desktop-ul fiecarei statii de lucru fiind schibat cu fotografii din cea mai exotica zona a XXX-ului. Folosirea acestei politici de securitate diminueaza posibilitatea de aparitie a unor cazuri de acest gen, pentru ca in utilitarul Paint exista inca posibilitatea de setare a unei imagini drept fundal al desktop-ului d-voastra.
• Interzicerea modificarii parametrilor TCP/IP : User Configuration Administrative Templates Network Network and Dial-up Connections Allow TCP/IP advanced configuration -> Disable.
• Blocarea accesului la utilitarul de comenzi (Command Prompt) : User Configuration Administrative Templates System Disable the command prompt. In aceasta sectiune, la optiunea Enabled este foarte important modul in care se vor executa script-urile. Daca la procesul de autentificare de retea aveti script-uri de tip BAT pentru diferite operatiuni, alegeti din lista Disable the command prompt script processing also optiunea No.
• Interzicerea accesului la registrii sistemului de operare, activati optiunea Disable registry editing tools.
• Interzicerea accesului catre anumite aplicatii: Don't run specified Windows applications -> Enabled -> Show -> Add -> se trece numele aplicatiei a carei rulare dorim s-o interzicem, de exemplu, sol.exe, aplicatia pentru jocul Solitaire, dar lista aplicatiilor nu se limiteaza numai la aplicatii Windows, ci si la alte executabile, gen mIRC32.exe -> OK -> OK -> OK.
• Limitarea accesului la aplicatia de gestiune a proceselor (Task Manager) : User Configuration Administrative Templates System Logon Logoff Disable Task Manager ; recomadam aceasta optiune in momentul in care rulati aplicatii de monitorizare a statiilor de lucru sub forma de servicii, pentru a preveni oprirea neautorizata a acestora de catre utilizatori.

Detalii despre celelalte optiuni de configurare a policii de securitate puteti gasi la adresa specificata intr-un paragraf anterior.

In momentul in care inchideti fereastra Group Policy, toate configurarile pe care le-ati personalizat in aceasta sectiune se salveaza automat. De asemenea, trebuie sa inchideti si fereastra de proprietati a grupului organizational.

Creearea conturilor de utilizatori

Se spune ca o retea perfecta este cea fara utilizatori, dar insusi scopul acesteia este de a permite utilizatorilor o comunicare rapida si o stocare centralizata a fisierelor si aplicatiilor.

Organizarea utilizatorilor Windows 2000 se face pe grupuri, fiecare grup acand anumite drepturi si niveluri de acces la resursele retelei. Nu trebuie sa uitam grupurile organizationale care asigura o gestiune centralizata a resurselor disponibile.

Creearea unui cont de utilizator in A.D.U.C.

RClick (pe numele domeniului) -> New -> User -> in fereastra New Object - User completati campurile: prenume (First name), numele de familie (Last name), numele complet (Full name) se completeaza automat, numele de utilizator (User logon name) care va fi folosit la conectare ; va recomandam sa nu folositi spatii in numele utilizatorului -> Next.

Introduceti parola utilizatorului si confirmati parola (Confirm password), dupa care puteti activa urmatoarele optiuni:

Utilizatorul va fi obligat sa-si schimbe parola la prima autentificare in retea (User must change password at next logon), recomandam aceasta optiune cu preponderenta in retelele cu foarte multi utilizatori, in care parolele se creeaza dupa un anumit algoritm deductibil. Din experienta noastra putem afirma ca dupa conectare, utilizatorul se asteapta sa vada background-ul Windows-ului si nu o fereastra care-l mai intreaba inca o data ceva despre parola veche (Old Password), si una noua (New Password) care trebuie confirmata (Confirm New Password) si care mai trebuie sa fie diferita de cea veche ;

utilizatorul  nu va putea sa-si schimbe parola (User cannot change password) - optiune pe care o recomandam in cazul conturilor de utilizator destinate grupurilor de persoane. Schimbarea parolei de catre un utilizator duce la imposibilitatea conectarii celorlalti utilizatori la retea.

parola nu va expira niciodata (Password never expires), activarea acestei optiuni lasa la latitudinea utilizatorului politica de gestionare a propriei parole de access in retea, ceea ce nu este intotdeauna recomandat ,

contul va fi inactiv (Account is disabled), in cazul nostru contul va fi utilizat intr-o alta perioada de timp viitoare celei creearii contului.

Neactivarea nici unei optiuni lasa la latitudinea politicii de securitate aceste optiuni.

In mod implicit, utilizatorul va fi gasir in categoria Users din A.D.U.C.

La proprietatile utilizatorului nou creeat, vom gasi nu mai putin de 12 categorii de informatii foarte detaliate despre utilizatori :

General - se pot configura informatii despre datele de identificare a utilizatorului in mod electronic : e-mail, Web Page

Address - informatii despre adresa postala a utilizatorului strada (Street), orasul (City)

Account - contine o serie de informatii despre numele de utlizator (User logon name), cateva optiuni suplimentare (Account options), durata de valavilitate a contului (Account expires).

O sectiune importanta din aceasta categorie este reprezentata de posibilitatea de specificare a unui interval orar de conectare in retea

Implicit, fiecare utilizator se poate conecta la orice ora din zi sau din noapte la resursele retelei. Se poate configura insa posibilitatea de acces numai la anumite intervale orare, de exemplu, utilizatorul se poate conecta la retea numai in ziua de marti de la orele 9 la 15 : selectati tot intervalul orar ; Click pe All -> Logon Denied -> selectati de la ora 9AM la 3PM in dreptul zilei de marti (Tuesday) -> Logon Permitted -> OK.

Un exemplu destul de interesant pe care dorim sa il prezentam este acela al studentilor din cadrul unei institutii. Implicit, acestia au dreptul sa utilizeze toate calculatoarele din toate laboratoarele la orice ora cand este program sau nu sunt ore. Din pacate exista si persoane care din rea-vointa sau din necunosiinta de cauza in acest timp liber incarca eventualele regulamente in vigoare. Blocarea contului de acces la retea ar trebui sa fie prima actiune in astfel de cazuri, dar studentul are dreptul de a utiliza calculatorul in cadrul orelor de laborator, pentru ca chiar plateste acest lucru. In acest caz, am fost pusi in situatia de a implementa la scara destul de mare acest sistem de alocare a spatiului de lucru pe intervale orare.

Alt exemplu aplicabil in aceasta situatie este cel al unei biblioteci in care fiecarui utilizator ii sunt alocate un anumit numar de ore pe zi, intre anumite intervale orare.

O alta sectiune din proprietatile contului de utilizator este reprezentata de statiile de lucru pe care se poate conecta utilizatorul Log On To. Implicit, fiecare utilizator se poate conecta pe orice statie din domeniu (All computers) sau se pot configura anumite statii pe care se pot conecta utilizatorii.

• Profile - contine informatii despre profilul utilizatorului.

Profilul de utlizator contine setarile personale ale acestuia la nivel de interfata. In mod clasic, profilul utilizatorului contine urmatoarele informatii grupate pe directoarele Desktop, Favorites, My Documents, Recent, Send To, Start Menu, Templates. Profilul fiecarui utilizator se gaseste in directorul Documents and Settings de pe discul pe care a fost instalat sistemul de operare. Pe langa aceste directoare, profilul contine fisierele ntuser.dat si ntuser.dat.log. Un prifil de utlizator poate fi de tip roaming sau de tip mandatory. Profilul de tip roaming are drept caracteristica faptul ca se salveaza pe server si orice modificare a acestuia pe orice statie de lucru se va reflecta la conectarea pe oricare alta statie de lucru. Profilul mandatory (obligatoriu) se creeaza pe server si se pune la dispozitie in retea prin sharing, mai multi utilizatori putand partaja profilul respectiv. Caracteristica profilului obligatoriu este aceea ca acest profil nu poate fi modificat, eventualele modificari nefiind salvate pe server.

Creearea unui profil se realizeaza automat la conectarea pe o statie de lucru. Copierea acestuia intr-un profil de tip template se realizeaza parcurgand urmatoarele etape

Creeati un director pe server pentru profilul utilizatorul (Exemplu, ProfilTmp).

Puneti-l la dispozitie in retea si dati drept acces drupului Evreyone (numele de share, in exemplul nostru, este profiltmp$ adica este un share de tip administrativ).

Creeati un utilizator obisnuit (de exemplu, nume utlizator profiltmp).

La proprietatile utilizatorului nou creeat in sectiunea Profile la casuta Profile path treceti adresa de acces prin retea la share-ul respectiv de exemplu, server-01profiltmp$

La Connect alegeti din lista o litera disponibila, iar la To aceeasi adresa ca la pasul anterior

Dupa ce apasati butonul OK sau Apply o sa vi se afiseze fereastra de mesaje din figura

care ne atentioneaza ca nu s-a creeat directorul pentru stocarea profilului pentru ca acesta deja exista. Ni se sugereaza, de asemenea, sa alegem un alt nume de share pentru directorul profilului, dar din experienta noastra va informam ca aceasta este calea functionala a lucrurilor.

Conectati-va la o statie de lucru cu utilizatorul nou creeat. Va recomandam ca statia sa fie proaspat instalata.

Se realizeaza configurarile la nivel de interfata, dar si pentru anumite aplicatii, cu precadere aplicatiile de tip Office si pentru Internet : modul de asezae a toolbar-urilor, utitatile de masura, modul de vizualizare a unei pagini, locul in care se salveaza implicit documentele, contul de e-mail, paginile favorite, iconitele de pe desktop etc.

Dupa delogarea de pe statia de lucru, pe server in directorul alocat utilizatorului ProfilTmp vor aparea o serie de fisiere si directoare prezentate in figura

Conectarea pe oricare alta statie de lucru din domentiu aduce cu sine incarcarea profilului de utilizator direct de pe server, pastrand toate setarile facute in timpul sesiunilor de lucru. Singurele informatii care nu se transporta o data cu profilul utilizatorului sunt fisierele temporare.

Vizualizarea profilurilor de utilizator inregistrate pe o statie de lucru se realizeaza parcurgand urmatoarele etape : RClick (pe My Computer, de pe Desktop sau din meniul Start) -> Proprieties -> Advanced -> Settings (de la User Profiles).

Copierea unui profil se realizeaza prin actionarea butonului Copy To, se stabileste calea de salvare prin actionarea butonului Browse si se tribuie drept utilizare grupului de lucru Evreyone prin actionarea butonului Change.

Schimbarea tipului unui profil se poate realiza numai in cazul profilurilor de tip Roaming, prin actionarea butonului Change Type.

Schimbarea profilului de tip Roaming in prifilul obligatoriu (Mandatory) se realizeaza prin schimbarea extensiei fisierului NTUSER.DAT in NTUSER.MAN, din profilul utilizatorului de pe server.

In cazul in care profilul de pe server nu este disponibil, se va creea un profil local utilizatorului.

Este foarte important ca un profil sa fie cat mai mic pentru a fi transportat rapid prin retea. De aceea incercati sa eliminati cat mai multe informatii din profilul obligatoriu pe care-l creeati. Pentru a pune acelasi profil la dispozitia mai multor utilizatori, va recomandam sa copiati continutul directorului in care a fost creeat profilul template intr-un alt director, de exemplu Profile, pe care puneti-l la dispozitie in retea cu dreptul de citire pentru grupul Evreyone.

Revenind la fereastra de proprietati a utilizatorului, la Profile

La Profile path trecem calea de acces prin retea la profilul utilizatorului, Daca este un profil obligatoriu (Mandatory), se trece aceeasi cale pentru mai multi utilizatori. In cazul profilurilor Roaming, trebuie creeat pentru fiecare utilizator un director pe server si pus la dispozitie in retea cu drepturi de acces numai pentru acesta.

Logon Script reprezinta nume unui eventual script care se executa in momentul in care s-a conectat utilizatorul respectiv. Aceste scrip-uri se executa anetrior script-urilor specificate prin prolitica de securitate (vezi inceputul capitolului). Script-urile din aceasta categorie sunt savalte in directorul C:WINNTSYSVOLsysvolmydom.myrog,ro scripts si sunt puse la dispozitie in retea sub denumirea de NETLOGON, putand fi accesate la adresa : server-01NETLOGON. Implicit, in acest director nu se afla nici un fisier.

Connect To se foloseste pentru conectarea utilizatorului, in mod automat, la o resursa de pe server.

Celelate proprietati configurabile sunt :

Telephones - pentru configurarea direfitelor numere de telefoane la care poate fi contactat utilizatorul respectiv.

Organization - diferite date despre pozitia in cadrul organizatiei.

Remote Control - modul de acceptare a accesului la distanta si de interactiune cu utilizatorul.

Terminal Services Profile - profil de acces pe server folosind Terminal Services

Member Of - carui grup de utilizatori apartine utilizatorul curent.

Dial-in - personalizarea accesului in retea prin dial-up.

Enviroment - specificarea aplicatiilor care vor fi startate dupa conectarea la server prin Terminal Services.

Sessions - personalizarea modului de sfarsit al unei sesiuni de lucru.

In momentul creearii contului de utilizator, acesta va fi stocat, in mod implicit, in categoria Users din Active Directory Users and Computers. Mutarea utilizatorului intr-un grup organizational se realizeaza cu : RClick (pe utlizator) -> Move -> se alege grupul organizational din lista -> OK. In momentul mutarii utilizatorului, acesta va prelua toate configurarile efectuate in politica de securitate a grupului respectiv.

Pentru o aplicare mai stricta a politicii de securitate pentru un domeniu de calculatoare, va recomandam sa adaugati si statiile de vucru in grupul organizational dorit prin mutarea din categoria Computers, Dupa adaugarea la grupul organizational, statiile de lucru trebuie repornite pentru aplicarea politicii.

Etapa esentiala pentru aplicarea politicii de securitate pe o statie din domeniu este lucrul ci grupul de utilizatori si adaugarea la acestea a utlizatorilor. Politica de securitate se aplica asupra utilizatorilor prin aceste grupuri de utilizatori.

Creearea unui grup:

RClick pe grupul organizational dorit -> New -> Group.

Scrieti numele grupului la Group Name -> OK

Adaugarea unui utilizator intr-un grup de utilizatori :

Dublu Click pe grupul de utilizatori creat -> Members.

Add Dublu Click pe numele utilizatorului dorit din lista sau scrieti de la tastatura numele utilizatorului -> OK -> OK.

Cateva elemente de administrare

A.    Regasirea utilizatorilor in Active Directory

In A.D.U.C., RClick (pe numele domeniului) -> Find -> la Name se specifica numai utilizatorului -> Find Now.

Daca nu cunoasteti numele utilizatorului sau doriti o cautare avansata, apasati pe Advanced, putand realiza cautari dupa diferite caracteristici ale utilizatorilor (Butonul Field, optiunea Users), ale grupurilor sau ale persoanelor de contact. La conditii se pot specifica diferite criterii de cautare

care s[ inceapa cu (Start with) ;

care sa se termine cu (Ends with)

este (Is exactly) ;

nu este (Is Not) ;

care contine (Present) ;

care nu contine (Not Present) ;

B.     Blocarea/Deblocarea unui cont de utilizator

Blocarea RClick (pe numele utilizatorului) -> Disable Account.

Deblocarea : RClick (pe numele utilizatorului) -> Enable Account.

C.     Active Directory Schema

Reprezinta un set de optiuni extinse de administrare a unui domeniu Windows 2000.

Pentru a putea extinde schema Active Directory, trebuie sa instalati in prealabil instrumentele de administrare ale Windows 2000 Server

Start -> Settings -> Control Panel

Dublu Click Add/Remove Programs.

Selectati Windows 2000 Administration Tools -> Change -> Next.

Install All Administrative Tools -> Next

Dupa ce se termina de copiat si instalat fisierele, Finish -> Close

Adaugarea Active Directory Schema intr-o consola de administrare

Start -> Run -> scrieti MMC in casuta Open -> OK

In meniul Console -> Add/Remove Snap-in -> Add -> Active Directory Scheme -> Add -> Close -> OK

Consola administrativa poate fi salvata cu un anumit nume in meniul Console - Save As, scrieti numele pe care doriti sa-l dati consolei (de exemplu, Schema) - Save.

Un exemplu clasic de utilizare a schemei Active Directory este aceea a adaugarii unei noi proprietati utilizatorilor din domeniu, gen nivelul salariului, codul numeric personal etc.

Creearea utilizatorilor folosind comenzi

Comanda de creeare a unui utilizator este : NET USER care are urmatoarea sintaxa

in care

username reprezinta numele de utilizator. Pentru numele de utilizator cu spatii acesta se va trece intre ghilimele

password reprezinta parola de acces in retea. Caracterul asterix (*) se foloseste pentru a intrerupe executia comenzii Net cu scopul introducerii parolei de utilizator

/domain reprezinta domeniul in care va fi adaugat utilizatorul respectiv. Daca contul de utilizator se creeaza pe serverul de domeniu, aceasta optiune nu mai este necesara ;

/add - parametru care specifica faptul ca utilizatorul este nou ;

/delete se specifica o actiune de stergere a utilizatorului

optiunile principale intalnite la creearea unui cont sunt :

o       /active [yes|no] - implicit valoarea este Yes ;

o       /comment : "text" - specificarea unui comentariu pentru utilizator. Acest text apare la Description din proprietatile generate ale utilizatorului din A.D.

o       /expires [date|never] - data de expirare a contului de utlizator sau specificarea faptului ca acestea nu va expira niciodata

o       /fullname : "name" - specificarea numelui complet al utilizatorului

o       /homedir : pathname - specificarea directorului la care se conecteaza automat utilizatorul. Este echivalent lui ConnectTo de la proprietatile utilizatorului din Active Diretory. Acest director trebuie sa existe si sa fie pus la dispozitie in retea!

o       /passwordchg : [yes|no] - specifica posibilitatea de schimbare a parolei. Implicit este Yes ;

o       /profilepath [:path] - specificarea caii de acces la profilul utilizatorului, Acest director trebuie sa existe si sa fie pus la dispozitie in retea ;

o       /scriptpath : pathname - calea catre scrip-urile de logon sau mai bine spusm numele scripului respectiv

o       /usercomment : "text" - alte comentarii care pot fi specificare pentru utilizatorul respectiv.

Exemplu - Creearea unui utilizator cu numele DimaR.

Date preliminare

Exitenta posibilitatii de creeare a utilizatorilor folosind script-uri are rol foarte important in procesul de automatizare a activitatilor, mai ales cand exista informatii stocate in diferite tipuri de baze de date.

De exemplu, in Visual Fox, operatiunea de automatizare a creearii utilizatorilor consta in creearea unui set de variabile compuse (echivalente fiecarei linii de executie) din siruri de caractere (aferente comenzilor si parametrilor) si campuri din baza de date, aferente datelor despre utilizatori, precum si configurarile necesare de genul nume de servere, domenii etc. Informatiile se folosesc pentru inserarea intr-o tabela cu o singura coloana, fiecarei comenzi corespunzandu-i cate o linie. Informatiile din tabela cu comenzi vor fi trensferate intr-un fisier de tip BAT ci ajutorul secventei de program