CATEGORII DOCUMENTE |
Controlul accesului la obiectele Active Directory.
Fiecare obiect din serviciile de catalog Active Directory are un descriptor de securitate care defineste obiectele ce au permisiunea de acces la obiectul respectiv, precum si tipul de acces permis. Windows 2000 foloseste acesti descriptori de securitate pentru a controla accesul la obiecte. Pentru reducerea supraincarcarii administrative, puteti grupa obiectele cu cerinte de securitate identice intr-o unitate de organizare. Ulterior, puteti atribui permisiuni de acces intregii unitati de organizare si tuturor obiectelor incluse in aceasta.
Dupa aceast paragraf veti putea sa:
q Explicati modul de control al accesului la obiectele din serviciile de catalog Active Directory folosind permisiunile;
q Vizualizati permisiunile aferente obiectelor Active Direcoty;
q Delegati controlul asupra unei unitati de organizare.
Prezentarea permisiunilor Active Directory
Permisiunile Active Directory asigura securitatea resurselor prin aceea ca permit utilizatorului sa controleze accesul la obiecte individuale sau la atributele obiectelor, precum si tipul de acces permis. Puteti folosi permisiuni pentru a atribui privilegii administrative-pentru o unitate de organizare, pentru o ierarhie de unitati de organizare sau pentru un singur obiect-unui anumit utilizator sau grup.
Un administrator sau un posesor de obiecte trebuie sa atribuie permisiuni obiectului respectiv inainte ca utilizatorul sa poata obtine accesul la obiect. Windows 2000 memoreaza o lista cu permisiuni de acces utilizator, denumita lista de control al accesului discretionar(discretionary access control list-DACL) pentru fiecare obiect din serviciile de catalog Active Directory. Lista DACL pentru un obiect arata cine poate accesa obiectul, precum si actiunile bine determinate pe care fiecare utilizator le poate executa asupra obiectului.
Tipul de obiect determina permisiunile care pot fi selectate. Permisiunile variaza pentru diferite tipuri de obiect. De exemplu, puteti atribui permisiunea Reset Password (resetare parola) pentru un obiect utilizator, nu pentru un obiect imprimanta.
Permisiuni efective
Un utilizator poate fi un membru al mai multor grupuri, fiecare cu permisiuni diferite, care asigura diferite niveluri de acces la obiecte. Cand atribuiti unui utilizator o permisiune de acces la un obiect, iar utilizatorul respectiv este un membru al unui grup caruia i-ati atribuit o alta permisiune, permisiunile efective ale utilizatorului reprezinta o combinatie intre permisiunile utilizatorului si cele ale grupului. De exemplu, daca un utilizator are permisiunea Read(citire) si este membru al unui grup cu permisiunea Write(scriere), permisiunile efective ale utilizatorului vor fi Read si Write.
Puteti accepta sau interzice permisiunile. Permisiunile interzise au prioritate fata de orice alte permisiuni acordate conturilor de utilizator sau grupurilor. Daca interziceti o permisiune pentru accesul utilizatorului la un obiect, utilizatorul nu va avea permisiunea respectiva, chiar daca acea permisiune a fost acceptata pentru un grup din care face parte utilizatorul. Se recomanda interzicerea permisiunilor numai atunci cand aceasta actiune este necesara pentru un anumit utilizator, care este membru al unui grup cu permisiuni acceptate.
OBSERVATIE: Asigurati-va intotdeauna ca toate obiectele dispun de cel putin un utilizator cu permisiunea Full Control(control total). Nerespectarea acestei reguli poate duce la inaccesibilitatea unor obiecte, chiar si pentru un administrator care foloseste instrumentul Active Directory Users And Computers pentru administrare.
Permisiuni standard si permisiuni speciale
Puteti atribui obiectelor permisiuni standard si permisiuni speciale. Permisiunile standard sunt cel mai frecvent atribuite si sunt alcatuite din permisiuni speciale. Permisiunile speciale ofera utilizatorului un control mai riguros pentru atribuirea accesului la obiecte.
De exemplu, permisiunea Write standard este alcatuita din permisiunile speciale Write All Properties(scrierea tuturor proprietatilor), Add/Remove Self As Member(adaugarea sau eliminarea proprie ca membru) si Read Permissions(permisiuni de citire).
Tabelul 5.4 prezinta permisiunile obiect standard disponibile pentru majoritatea obiectelor(unele tipuri de obiecte au permisiuni suplimentare disponibile) si tipul de acces acceptat de fiecare permisiune.
Tabelul 10.4 Permisiuni standard pentru obiecte
Permisiune pentru obiecte Actiune autorizata
Full Control(control total) Modificarea permisiunilor si preluarea dreptului de proprietate; in plus, pot fi exe-ate operatiile autorizate de toate celelalte permisiuni standard.
Read (citire) Vizualizarea obiectelor si atributelor acestora, a proprietarilor obiectelor si a per-
misiunilor Active Directory.
Write (scriere) Modificarea atributelor de obiect.
Create All Child Objects Adaugarea oricarui tip de obiect copil la o unitate de organizare.
(crearea tuturor obiectelor copil)
Delete All Child Objects Eliminarea oricarui tip de obiect copil dintr-o unitate de organizare.
(stergerea tuturor obiectelor copil)
Mostenirea permisiunilor
Mostenirea permisiunilor in cadrul serviciilor de catalog Active Directory reduce la minimum numarul de atribuiri ale permisiunilor pentru obiecte.
Aplicarea permisiunilor pentru obiectele copil
La atribuirea permisiunilor, puteti opta pentru aplicarea permisiunilor catre subobiecte (obiecte copil), ceea ce propaga permisiunile pentru toate subobiectele unui obiect dat. Pentru a indica faptul ca permisiunile sunt mostenite, casetele de validare pentru permisiunile mostenite nu sunt disponibile in interfata cu utilizatorul.
De exemplu, puteti atribui permisiunea Full Control pentru un grup asupra unei unitati de organizare care contine imprimante, dupa care aplicati aceasta permisiune pentru toate subobiectele. Consecinta este ca toti membrii grupului pot administra toate imprimantele din unitatea de organizare.
Prevenirea mostenirii permisiunii
Puteti preveni mostenirea permisiunii, astfel incat un obiect copil sa nu mosteneasca permisiunile de la obiectul sau parinte. Cand preveniti mostenirea, acest lucru este valabil numai pentru permisiunile atribuite in mod explicit obiectului.
Pentru a preveni mostenirea permisiunilor se poate folosi rubrica Security a casetei de dialog Properties.
Cand preveniti mostenirea, Windows 2000 va permite urmatoarele:
q Copierea in obiect a permisiunilor mostenite anterior. Noile permisiuni explicite pentru un obiect sunt o copie a permisiunilor pe care acesta le-a mostenit anterior de la obiectul sau parinte. Apoi, in conformitate cu necesitatile dvs., puteti opera asupra permisiunilor toate modificarile necesare.
q Eliminarea din obiect a permisiunilor mostenite anterior. Prin eliminarea acestor permisiuni, veti elimina toate permisiunile aferente obiectului. Apoi, in conformitate cu necesitatile dvs., puteti atribui orice noua permisiune pentru obiectul dorit.
Atribuirea permisiunilor Active Directory
Windows 2000 determina dreptul unui utilizator de a folosi un obiect prin consultarea listei DACL privind permisiunilor acordate utilizatorului asupra obiectului respectiv. Pentru a adauga sau a elimina permisiuni pentru un obiect, efectuati urmatoarele actiuni:
q Pentru a adauga o permisiune noua, efectuati clic pe Add, efectuati clic pe contul de utilizator sau pe grupul caruia doriti sa-i atribuiti permisiuni, efectuati clic pe Add, dupa care efectuati clic pe butonul OK.
q Pentru a modifica o permisiune existenta, efectuati clic pe contul de utilizator sau pe grup.
In caseta Permissions, selectati caseta de validare Allow (autorizare) sau Deny (interzicere) pentru fiecare permisiune pe care doriti sa o adaugati sau sa o eliminati.
Permisiunile standard sunt suficiente pentru majoritatea sarcinilor administrative. Cu toate acestea, uneori este necesar sa vizualizati permisiunile speciale care alcatuiesc o permisiune standard. Pentru a vizualiza permisiunile speciale, parcurgeti urmatoarele etape:
Modificarea dreptului de proprietate asupra unui obiect
Fiecare obiect are un proprietar. Persoana care creeaza obiectul devine in mod automat proprietarul acestuia. Proprietarul controleaza permisiunile atribuite unui obiect si persoanele carora le sunt atribuite acestea.
Ca administrator, puteti prelua dreptul de proprietate asupra oricarui obiect, dupa care puteti modifica permisiunile aferente obiectului respectiv. Daca un membru al grupului Administrators creeaza un obiect sau preia dreptul de proprietate asupra unui obiect, grupul Administrators devine proprietarul obiectului, si nu un anumit membru al grupului.
Dreptul de proprietate asupra unui obiect se modifica la aparitia uneia dintre urmatoarele situatii:
q Proprietarul curent, sau orice utilizator cu permisiunea Full Control, acorda permisiunea Modify Owner (modificare proprietar) unui alt utilizator, care preia dreptul de proprietate asupra obiectului.
De exemplu, daca un salariat care detine un obiect paraseste firma, puteti permite unui alt utilizator sa preia dreptul de proprietate asupra obiectului respectiv, determinand astfel o reatribuire a responsabilitatii pentru obiectul respectiv.
q Un membru al grupului Administrators preia dreptul de proprietate asupra obiectului respectiv.
OBSERVATIE: Desi membrii grupului Administrators pot prelua dreptul de proprietate asupra oricarui obiect, acestia nu pot transfera dreptul de proprietate. Aceasta restrictie asigura responsabilitatea asupra obiectului.
Pentru a prelua dreptul de proprietate asupra unui obiect, veti parcurge urmatoarele etape:
Delegarea controlului administrativ asupra obiectelor Active Directory
Structura serviciilor de catalog Active Directory propune prin ea insasi o gestiune mai eficienta, prin intermediul delegarii controlului administrativ asupra obiectelor. Puteti folosi aplicatia Delegation of Control Wizard si aplicatiile personalizate Microsoft Management Consoles pentru a acorda anumitor utilizatori drepturile de a efectua diferite operatii administrative si de gestiune, reducand astfel sarcinile administratorului si reflectand ierarhia operativa a firmei prin reatribuirea responsabilitatii pentru resursele de retea persoanelor adecvate.
Controlul administrativ asupra obiectelor poate fi delegat prin atribuirea sarcinilor la nivelul unitatii de organizare, permitand astfel utilizatorilor sau grupurilor de utilizatori sa administreze urmatoarele tipuri de control:
q Atribuirea catre un utilizator a permisiunilor de creare sau modificare a obiectelor intr-o anumita unitate de organizare.
q Atribuirea catre un utilizator a permisiunilor de modificare a permisiunilor specifice atributelor unui obiect, cum ar fi permisiunea de resetare a parolelor unui cont de utilizator.
Deoarece operatiile de urmarire (sau permisiunea de efectuare a anumitor operatii) la nivelul unitatii de organizare sunt mai simple decat aceleasi operatii aplicate asupra obiectelor sau atributelor acestora, cea mai comuna metoda de delegare a controlului administrativ este de a atribui sarcini (sau permisiunea de efectuare a anumitor operatii) la nivelul unitatii de organizare. Atribuirea sarcinilor la nivelul unitatii de organizare va permite sa delegati controlul administrativ pentru obiectele incluse in cadrul unitatii de organizare.
De exemplu, puteti delega controlul administrativ al unei unitati de organizare managerului corespunzator. Prin delegarea controlului asupra unitatii de organizare catre managerul respectiv, puteti descentraliza operatiile si aspectele administrative. Astfel se reduc timpul si costurile de administrare prin distribuirea controlului administrativ mai aproape de punctul sau de operare.
Puteti folosi aplicatia Delegation Of Control pentru a atribui permisiuni la nivelul unitatii de organizare. Pentru permisiuni mai specializate, trebuie sa atribuiti permisiuni manual, la nivel de obiect.
Folosind instrumentul Active Directory Users And Computers, efectuati clic cu butonul drept de mouse pe unitatea de organizare pentru care doriti sa delegati controlul, dupa care efectuati clic pe Delegate Control pentru a lansa aplicatia Wizard.
Tabelul 5.5 descrie optiunile aplicatiei Delegation of Control Wizard.
Tabelul 5.5 Optiunile aplicatiei Delegation of Control Wizard
Optiune Permite utilizatorului sa seteze .
Users Or Groups Conturile de utilizator sau grupurile carora urmeaza a li se delega controlul.
(utilizatori sau grupuri)
Tasks To Delegate Sarcinile care urmeaza a fi atribuite obiectului sau obiectelor.
(sarcini de delegat)
Crearea de instrumente administrative personalizate
Una dintre noile facilitati ale sistemului Windows 2000 o reprezinta posibilitatea de a crea instrumente administrative personalizate folosind utilitarul Microsoft Management Console (MMC). Dupa ce ati delegat controlul administrativ asupra unei portiuni a serviciilor de catalog Active Directory, va puteti crea propriul dvs. set unic de instrumente administrative, pe care sa le distribuiti administratorilor delegati. Salvate sub forma de fisiere .MSC, aceste instrumente administrative personalizate pot fi trimise prin e-mail, stocate intr-un dosar partajat sau publicate pe Web. De asemenea, pot fi atribuite utilizatorilor, grupurilor sau calculatoarelor folosind setarile Group Policy (politica de grup).
Crearea consolelor personalizate
Puteti crea console MMC personalizate care sa indeplineasca anumite cerinte administrative prin combinarea programelor snap-in folosite pentru executia operatiilor administrative comune intr-o singura consola. Pentru a deschide MMC cu o consola vida, efectuati clic pe Start, efectuati clic pe Run, tastati mmc in caseta Open si apoi efectuati clic pe butonul OK. Efectuati clic pe New in meniul MMC Console, adaugati programele snap-in si extensiile dorite, denumiti consola si apoi salvati-o.
Tabelul 5.6 descrie modul de utilizare a diferitelor comenzi din meniul MMC Console.
Tabelul 5.6 Comenzile din meniul MMC Console
Comanda Actiune efectuata
New Crearea unei noi console personalizate MMC.
Open Utilizarea unei console MMC salvata.
Save sau Save As Utilizarea consolei MMC la un moment ulterior.
Add/Remove Snap-In Adaugarea sau eliminarea unuia sau mai multor programe snap-in si a extensiilor asociate a -
cestora in sau dintr-o consola MMC.
Options Configurarea modului consolei si crearea unei console MMC personalizate.
Salvarea unei console in mod autor
Cand creati o consola MMC, puteti stabili modul in care se va deschide aceasta. Pentru a seta modul, din meniul Console selectati Options. Puteti selecta Author Mode (mod autor) sau User Mode (mod utilizator).
Cand salvati o consola MMC in modul autor, activati accesul total la toate functionalitatile MMC, ceea ce include modificarea consolei MMC. In mod prestabilit, toate noile console MMC sunt salvate in modul autor. Puteti folosi modul autor in urmatoarele scopuri:
q Adaugarea sau eliminarea programelor snap-in.
q Crearea de ferestre noi.
q Vizualizarea tuturor portiunilor din arborele de console.
q Salvarea consolelor MMC.
Salvarea unei console in mod utilizator
Daca intentionati sa distribuiti o consola MMC altor administratori si nu doriti sa le permiteti sa modifice consola, salvati-o in mod utilizator (User Mode). Cand setati o consola MMC in modul utilizator, utilizatorii acesteia nu pot adauga sau elimina programe snap-in si nici nu pot salva consola. Exista trei tipuri de moduri utilizator, fiecare cu nivelul sau propriu de acces si functionalitate.
Tabelul 5.7 descrie trei tipuri de moduri utilizator.
Tabelul 5.7 Tipuri de mod utilizator
Tip de mod utilizator Actiuni permise sau interzise utilizatorilor
Full Access (acces complet) Sunt permise navigarea printre programele snap-in, deschiderea de ferestre noi si obti-
nerea accesului la toate portiunile arborelui de console.
Limited Access, Multiple Window Nu este permisa utilizatorilor deschiderea de ferestre noi si nici obtinerea accesului la o
(acces limitat, ferestre multiple) portiune a arborelui de console. Este permisa vizualizarea mai multor ferestre in consola.
Limited Access, Single Window Nu este permisa utilizatorilor deschiderea de ferestre noi si nici obtinerea accesului la o
(acces limitat, fereastra unica) portiune a arborelui de console. Este permisa vizualizarea unei singure ferestre in con-
sola.
Exercitii: Delegarea controlului
In acest exemplu, veti trece in revista setarile de securitate prestabilite ale componentelor Active Directory. Apoi veti delega unui utilizator controlul asupra obiectelor dintr-o unitate de organizare.
Exercitiul 1: Recapitularea permisiunilor pentru componentele Active Directory
In acest exercitiu, veti trece in revista setarile de securitate prestabilite pentru componentele Active Directory.
OBSERVATIE: Nu modificati nici una dintre setarile de securitate din serviciile de catalog Active Directory decat atunci cand vi se solicita in mod expres acest lucru pe parcursul exercitiilor. Operarea unor modificari poate provoca pierderea accesului la portiuni ale serviciilor de catalog Active Directory.
Pentru a crea obiecte in serviciile de catalog Active Directory
Intrati in sistem ca Administrator.
Deschideti instrumentul Active Directory Users And Computers.
Extindeti domain.com.
Efectuati clic cu butonul drept de mouse pe domain.com, indicati spre New si apoi efectuati clic pe Organizational Unit.
In caseta Name, tastati Security si apoi efectuati clic pe butonul OK.
In unitatea de organizare Security, creati un cont de utilizator cu numele Assistant si cu numele de logon Assistant@domain.com. Atrubuiti parola password si acceptati valorile prestabilite ale tuturor celorlator optiuni.
In aceeasi unitate de organizare, creati un alt cont de utilizator cu numele Secretary si numele de logon Secretary@domain.com. Atribuiti parola password si acceptati valorile prestabilite ale tuturor celorlaltor optiuni.
Pentru a vizualiza permisiunile Active Directory prestabilite pentru o unitate de organizare
Din meniul View, verificati daca este selectata Advanced Features.
In arborele de console, efectuati clic cu butonul drept de mouse pe Security si apoi efectuati clic pe Properties.
Efectuati clic pe rubrica Security.
In tabelul urmator, notati grupurile care au permisiuni pentru unitatea de organizare Security. Daca un cont are permisiuni speciale, treceti in tabel mentiunea Special Permissions. Veti avea nevoie de aceste permisiuni in exercitiul urmator.
Cont de utilizator sau grup Permisiuni atribuite
Account Operators
Administrators
Authenticated Users
Domain Admins
Entreprise Admins
Pre-Windows 2000 Access
Print Operators
System
De ce toate casetele de validare de permisiune sunt necompletate pentru unele grupuri?
Daca vreuna dintre permisiunile prestabilite este mostenita din dimeniu, care este obiectul parinte? Cum ati remarcat?
Pentru a vizualiza permisiunile speciale al unei unitati de organizare
In caseta de dialog Security Properties, in rubrica Security, efectuati clic pe butonul Advanced.
Va aparea caseta de dialog Access Control Settings For Security (setari de control al accesului pentru
securitate.
Pentru a vizualiza permisiunile grupului Account Operators, in caseta Permission Entries (intrari de permisiune) efectuati clic pe fiecare intrare aferenta acestui grup, dupa care efectuatt clic pe View/Edit.
Va aparea caseta de dialog Permission Entry for Security (intrare de permisiune pentru securitate).
Ce permisiuni de obiect sunt atribuite grupului Account Operators ? Care sunt actiunile permise membrilor grupului in aceasta unitate de organizare ?
Exista vreun obiect din cadrul acestei unitati de organizare care sa mosteneasca permisiunile atribuite grupului Account Operators ? De ce sau de ce nu ?
3. Inchideti toate casetele de dialog deschise si inchideti sesiunea de lucru.
Exercitiul 2 : Delegarea controlului
In acest exercitiu, veti delega unui utilizator controlul asupra obiectelor dintr-o unitate de organizare. Pentru a raspunde la intrebarile de mai jos, consultati tabelul completat in exercitiul anterior.
Pentru a testa permisiunile curente
1. Conectati-va la domeniul dvs., ca Assistant folosind parola password.
Windows 2000 afiseaza un mesaj in care se spune ca politica locala a sistemului dvs. Nu va permite sa va
conectati la server in mod interactiv ca Assistant.
2. Intrati in sistem ca Administrator, adaugati contul Assistant la grupul Print Operators, iesiti din sistem si
reintrati ulterior folosind contul Assistant.
3. Deschideti instrumentul Active Directory Users And Computers.
4. In arborele consolei, extindeti domeniul dvs. Si apoi efectuati clic pe Security.
Care sunt obiectele utilizator vizibile in unitatea de organizare Security ?
Care sunt permsiunile care va permit sa vedeti aceste obiecte? (Sugestie: Consultati raspunsurile din exer-
citiul anterior.)
Incercati sa modoficati orele de conectare la sistem pentru Security. Ati reusit ? De ce sau de ce nu ?
Incercati sa modificati orele de conectare la sistem pentru Assistant. Ati reusit ? de ce sau de ce nu ?
5. Inchideti instrumentul Active Directory Users And Computers si inchideti sesiunea de lucru.
Pentru a folosi aplicatia Delegation of Control Wizard pentru a atribui permisiuni obiectelor Active Directory
1.Intrati in sistem ca Administrator, cu parola password
2. Deschideti instrumentul Active Directory Users And Computers.
3. In arborele de console, extindeti domeniul dvs.
4. Efectuati clic cu butonul drept de mouse pe Security, dupa care efectuati clic pe Delegate Control.
5. In aplicatia Delegation of Control Wizard, efectuati clic pe butonul Next.
Aplicatia Delegation of Control Wizard afiseaza pagina Users Or Groups (utilizatori sau grupuri).
6. Efectuati clic pe Add.
7. In caseta de dialog Select Users, Computers Or Groups, efectuati clic pe Assistant, efectuati clic pe Add si
apoi efectuati clic pe butonul OK.
8. Efectuati clic pe butonul Next.
Aplicatia Delegation of Control Wizard afiseaza pagina Tasks To Delegate (sarcini to delegat). Daca doriti
sa delegati controlul pentru anumite tipuri de sarcini, cum ar fi gestiunea imprimantelor, puteti selecta una
sau mai multe sarcini predefinite.
9. Efectuati clic pe optiunea Create, Delete, And Manage User Accounts (creare, stergere si gestionare a con-
turilor de utilizator), dupa care efectuati clic pe butonul Next.
10.Efectuati clic pe Finish.
11. Inchideti fereastra Active Directory Users And Computers si inchideti sesiunea de lucru.
Pentru a testa permisiunile delegate
Rezumatul lectiei
Permisiunile Active Directory asigura securitatea resurselor prin aceea ca permit exercitarea unui control asupra persoanelor care pot avea acces la obiecte individuale sau la atribute ale acestora, precum si asupra tipului de acces care va fi permis. Windows 2000 memoreaza o lista de permisiuni de acces al utilizatorilor, denumita lista de control al acestui discretionar (Disscretionary Access Control List-DACL) pentru fiecare obiect din serviciile de catalog Active Directory. Lista DACL pentru un obiect arata cine poate accesa obiectul, precum si actiunile bine determinate pe care fiecare utilizator le poate executa asupra obiectului.
Permisiunile pot fi acceptate sau interzise. Permisiunile interzise au prioritate fata de orice alte permisiuni acordate conturilor de utilizator sau grupurilor. Daca interziceti o permisiune pentru accesul utilizatorului la un obiect, utilizatorul nu va avea permisiunea respectiva, chiar daca ati acceptat permisiunea respectiva pentru un grup din care face parte utilizatorul. Se recomanda interzicerea permisiunilor numai atunci cand aceasta actiune este necesara pentru un anumit utilizator, care sete membru al unui grup cu permisiuni acceptate.
La atribuirea permisiunilor, puteti opta pentru aplicarea permisiunilor catre subobiecte (obiecte copil), ceea ce propaga permisiunile pentru toate subobiectele unui obiect dat.
Pentru a indica faptul ca permisiunile sunt mostenite, casetele de validare pentru permisiunile mostenite nu sunt disponibile in interfata cu utilizatorul. Puteti preveni mostenirea permisiunii, astfel incat un obiect copil sa nu mosteneasca permisiunile de la obiectul sau parinte. Cand preveniti mostenirea, acest lucru sete valabil numai pentru permisiunile atribuite in mod explicit obiectului.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1322
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved