CATEGORII DOCUMENTE |
Crearea si gestionarea conturilor utilizator
Crearea si gestionarea grupurilor
Politici locale de securitate
Cum anumite resurse ale unui domeniu sunt utilizate in comun, vor trebui implementate anumite restrictii cu privire la accesul utilizatorilor vor la aceste resurse. Atunci cand vorbim despre modul de implementare a securitatii datelor in retea de calculatoare, cronologic putem pune in evidenta trei tipuri de implementare ale acesteia:
Securitate cu acces simplu - este implementarea cea mai simpla a securitatii. Conectarea la sistem se face pe baza unui cont utilizator si a unei parole. O data intrat in sistem, un utilizator poate folosi fara restrictii resursele acestuia in totalitate. Are urmatoarele avantaje:
este foarte simplu de administrat si asigura o securitate acceptabila in sisteme simple;
principalul dezavantaj este ca permite tuturor utilizatorilor, ca o data intrati in sistem, sa aiba acces fara restrictii;
Accesul la resurse pe baza de parole - accesul la fiecare resursa comuna este realizat pe baza unei parole. Astfel se face de exemplu accesul in retelele Windows cu sisteme conectate in workgrupuri.
avantaje - asigura un control mai strict al accesului la resurse iar sistemul de securitate este relativ simplu de initializat;
dezavantaje - ansamblul este destul de dificil de administrat, trebuie memorate o multime de parole pentru fiecare resursa in parte. In plus, toti utilizatorii, indiferent de importanta lor, vor avea aceleasi drepturi la o resursa, daca cunosc parola, sau nu vor avea drepturi de loc.
Accesul la resurse pe baza de cont utilizator - este modelul de securitate implementat de sistemele de operare bazate pe nucleu Windows NT. Operatia de accesare a resurselor incepe cu o autentificare a identitatii utilizatorului, pe baza unui nume de cont si a unei parole de acces. Dupa autentificare, sistemul de operare verifica numele utilizatorului intr-o lista cu restrictii de acces la resurse si ii permite acestuia acces doar in forma si la resursele precizate.
avantaje - asigura mai multe nivele de securitate, permitand fiecarui utilizator in parte sa aiba acces doar la anumite resurse, in modul in care este autorizat. Vor putea exista utilizatori care au mai multe drepturi decat altii, coexistand pe acelasi sistem.
dezavantaje: de stabilit mai greu drepturile si permisiunile, dar asigura o foarte buna rigurozitate;
Apare ca evident faptul ca in aceasta situatie vor putea exista mai multi utilizatori care vor trebui sa aiba aceleasi drepturi de baza. Acestia vor apartine unui acelasi grup, drepturile de acces fiind stabilite la nivelul grupului si mostenite de membri acestuia.
Pentru a putea accesa resursele puse la dispozitie de un domeniu, va trebui sa aveti creat un cont utilizator. Contul utilizator are rolul de a autentifica utilizatorul si de a-i atribui permisiuni in obtinerea accesului la resursele retelei. Un cont utilizator poate fi creat la nivelul unui domeniu, sau la nivelul unei unitati de organizare. Puteti crea un cont utilizator pe oricare din cotrolerele din domeniu, acestea fiind apoi replicate pe toate celelalte controlere.
Instrumentul utilizat pentru crearea si gestionarea conturilor utilizator este Active Directory Users and Computers, care se gaseste in Administrative Tools
Pentru crearea unui nou cont utilizator, veti apasa
click dreapta pe catalogul Users, iar in meniul contextual
veti alege New si User. In
acest fel vi se afisa caseta de introducere a unui nou cont utilizator.
In aceasta caseta va trebui sa completati mai multe campuri, necesare pentru definirea noului cont utilizator:
First name: - in acest camp veti introduce prenumele utilizatorului care este proprietarul acestui cont;
Initials: - initiala tatalui;
Last name: - numele utilizatorului proprietar. In principiu, nu este necesara completarea decat a cel putin unuia din aceste campuri, dar e bine sa le completati pe toate.
Full name: - numele complet al utilizatorului. Acest nume trebuie sa fie unic la nivelul domeniului sau al unitatii de organizare. El va fi afisat de catre serviciile de catalog Active Directory in domeniul sau in unitatea de organizare in care este localizat contul utilizator.
User logon name: - numele contului (numele sub care se va face logarea). Si acest nume trebuie sa fie unic in cadrul domeniului sau unitatii de organizare. El trebuie sa respecte conventiile de nume descrise in capitolul anterior;
User logon name (pre-Windows 2000): - numele de logare al utilizatorului, accesibil sistemelor de operare anterioare Windows 2000 Windows NT 0 sau ). Este obligatoriu sa completati acest camp, care de asemenea va trebui sa aiba o valoare unica in cadrul domeniului (indiferent de unitatea de organizare in care este localizat, daca o astfel de unitate a fot creata). Apasati apoi Next
Figura 3 Crearea unui nou cont
Figura 4 Optiunile de parola
Va fi afisata apoi o caseta de dialog in care se pot configura optiunile de parola. Veti avea posibilitatea sa completati:
Password: - parola necesara pentru autentificarea utilizatorului. Este bine ca, pentru sporirea securitatii accesului sa specificati intotdeauna o parola. La nivelul parolei, sunt interpretate diferit caracterele majuscule si minuscule. Parola nu apare niciodata in clar, de aceea, pentru a se evita erorile, parola va trebui confirmata;
Confirm password: - va trebui sa introduceti aceeasi parola ca si in caseta precedenta. Daca exista diferente, va trebui sa completati din nou ambele casete;
User must change password at next logon: - daca aceasta optiune este selectata, utilizatorul va trebui sa-si schimbe parola la fiecare logare. Se asigura astfel faptul ca utilizatorul este singura persoana care cunoaste parola, dar procesul de logare devine greoi;
User cannot change password: - in acest caz, utilizatorul nu va avea dreptul sa-si modifice parola, aceasta putand fi schimbata doar de administrator. Este util sa validati aceasta optiune atunci cand exista mai multi utilizatori care folosesc acelasi cont, in scopul de a impiedica acapararea contului de catre un singur utilizator;
Password never expires: - daca validati aceasta caseta, parola nu va trebui modificata niciodata. Evident, parola va putea fi modificata la dorinta utilizatorului, dar acest lucru nu este obligatoriu;
Account is disabled: - daca ati validat aceasta caseta, contul nu va fi disponibil, chiar daca se introduce parola corecta
Apasati din nou Next si noul cont va fi adaugat in containerul Active Directory
Acum, putem face o serie de configurari. Pentru aceasta, apasati click dreapta pe noul cont aparut in panoul Active Directory Users and Computers si in meniul contextual alegeti Properties. Va apare caseta de dialog Properties pentru contul dumneavoastra.
Puteti observa ca aveti acces la mai multe tab-uri. Nu le vom discuta pe toate, pentru informatii suplimentare sunteti incurajati sa consultati bibliografia.
Figura 6 Tab-ul General
Figura 7 Tab-ul Account
la tab-ul General, veti putea completa o serie de informatii despre contul nou creat, cum ar fi: o descriere a contului, numar de telefon, s.a.m.d.
la tab-ul Account, puteti modifica optiunile asupra parolei, sau puteti stabili durata de existenta a contului. In gruparea Account Expires: este bifata implicit optiunea Never, adica contul va exista pana cand administratorul il va sterge. Puteti valida optiunea End of: si sa introduceti o data. In acest caz, la data respectiva, contul va fi automat sters de sistemul de operare. Aceasta optiune este utilizata in general pentru conturi create pentru utilizatori ocazionali, care pot avea acces la domeniu o perioada bine definita de timp. In acest fel, administratorul nu va fi nevoit sa tina evidenta acestor conturi, ele fiind automat sterse la plecarea utilizatorului ocazional. Un utilizator isi poate modifica parola apasand Ctrl Alt Del si apasand apoi butonul Change Password pe statia proprie, sau click dreapta si Reset password
Daca apasati butonul Logon Hours, veti putea stabili intervale de timp in care utilizatorii acestui cont pot avea acces la domeniu. Prin apasarea butonului, va apare caseta de dialog Logon hours, in care se poate observa ca este afisata intreaga durata a unei saptamani. Implicit, nu exista restrictii de timp. Daca doriti sa stabiliti restrictii de timp, nu aveti decat sa selectati cu mouse-ul perioada de timp in care doriti sa impiedicati accesul utilizatorului la domeniu si sa selectati optiunea Logon Denied. In perioada respectiva, daca utilizatorul va incerca sa se logeze, cererea va fi respinsa, fiind afisat doar un mesaj de justificare.
Daca doriti sa restabiliti drepturi de acces intr-un interval de timp in care acestea sunt anulate, veti selecta din nou intervalul de timp dorit si veti selecta optiunea Logon Permitted, iar drepturile de logare vor fi restabilite.
Figura 8 Stabilirea accesului in timp
Figura 9 Stabilirea statiilor de acces
Daca veti apasa butonul Log On To veti putea preciza de la ce calculatoare utilizatorul poate accesa domeniul. Implicit este validata optiunea All computers, ceea ce permite logarea la domeniu cu contul utilizator respectiv de la orice calculator. Daca veti valida optiunea The following computers, va trebui sa precizati o lista de nume de calculatoare de la care logarea este permisa (scrieti pe rand numele in caseta. Computer name: si apasati butonul Add. Numele va fi adaugat in lista. Puteti edita numele unui calculator din lista selectandu-l si apasind butonul Edit, sau puteti elimina un calculator din lista, selectandu-l si apasand Remove. In acest caz, accesul la domeniu utilizand contul respectiv va fi permis doar de la calculatoarele din lista.
la tab-ul Profile, printre altele puteti preciza pentru contul utilizator un director implicit. Directorul implicit este un director asupra caruia contul utilizator are drepturi depline. Acest director nu este creat implicit in cursul crearii contului utilizator, el trebuie creat separat (cu ajutorul Windows Explorer). Dupa creare, acest director va putea fi declarat ca director implicit pentru contul dvs. Directorul implicit poate fi creat local, prin completarea caii spre acest director in caseta Local path:. Dezavantajul acestui tip de director implicit este ca el va trebui creat pe fiecare calculator de pe care utilizatorul proprietar se poate conecta la domeniu. O alta metoda este de a crea un director implicit la distanta (uzual pe discul unuia dintre controlerele de domeniu). In acest caz veti valida optiunea Connect:, veti alege o litera pentru o unitate logica si veti completa in caseta de editare To: numele directorului dupa formalismul nume-servernume-partajat pentru directorul respectiv (ce reprezinta un nume partajat se va vedea in capitolul urmator). In acest caz, la conectarea utilizatorului, directorul implicit va apare in Explorer ca fiind unitatea logica aleasa in caseta Connect: si va putea fi utilizat ca un disc de sine statator.
Figura 10 Director implicit local
Figura 11 Director implicit la distanta
Serviciile de catalog Active Directory ofera spre utilizare doua tipuri de grupuri:
grupuri de securitate - sunt grupurile utilizate in general de Windows 2000. Sunt utilizate pentru a asigura modul de acces la resurse a grupurilor de utilizatori si calculatoare, prin definirea drepturilor si permisiunilor. Un grup de securitate are in plus toate caracteristicile grupurilor de distributie.
grupuri de distributie - sunt grupuri care nu pot fi utilizate pentru atribuirea de drepturi si permisiuni. Sunt utilizate atunci cand grupul in cauza nu are nici o legatura cu securitatea (de exemplu grupuri utilizate pentru trimiterea de measje e-mail).
Grupurile, indiferent daca sunt de securitate sau de distributie, au un anumit domeniu de existenta, care precizeaza cine poate fi membru al grupului respectiv si locul din retea in care poate fi folosit grupul. Vom avea din acest punct de vedere trei tipuri distincte de grupuri:
grupuri universale - pot contine grupuri universale, grupuri globale sau conturi utilizator din orice domeniu Windows 2000 dintr-o padure. Nu se pot crea grupuri universale daca domeniul functioneaza in mod pre-Windows 2000. Permisiunile acordate unui grup global sunt respectate in toate domeniile din padure, indiferent de locatia grupului universal.
grupuri globale - pot contine grupuri globale si conturi utilizator din domeniul in care exista grupul. Daca modul de lucru este pre-Windows 2000, un grup global poate contine doar conturi utilizator din domeniu. Membrii unui grup global sunt limitati la domeniul acestuia, dar grupului i se pot acorda permisiuni in orice locatie a padurii.
grupuri locale - pot contine conturi utilizator, grupuri globale sau grupuri universale din orice domeniu al padurii, precum si grupuri locale din acelasi domeniu. Daca modul de lucru este pre-Windows 2000, grupul local poate contine doar conturi utilizator si grupuri globale din domeniu. Membrii unui grup local se pot gasi oriunde in interiorul padurii, dar grupul poate primi permisiuni doar in interiorul domeniului in care se gaseste.
Odata cu instalarea sistemului de operare, sunt create o serie de grupuri predefinite. Prin adaugarea unui cont utilizator la un grup predefinit, acesta primeste automat drepturile aferente grupului. Un utilizator poate face parte din mai multe grupuri. Exista urmatoarele grupuri predefinite:
Domain Admins - este un grup de securitate global. Daca un cont utilizator este inclus in acest grup, el va avea automat statut de administrator al domeniului.
DNS Admins este un grup de securitate global. Conturile utilizator continute in acest grup vor avea dreptul de administrare a serviciilor DNS
DNSUpdateProxy - este un grup de securitate global. Un cont utilizator continut in acest grup va avea dreptul sa realizeze actualizari dinamice pentru clientii DNS si DHCP
Domain Computers - este un grup de securitate global. Contine toate statiile de lucru si serverele din domeniu.
Domain Controllers - este un grup de securitate global. Contine toate controlerele de domeniu din domeniu.
Domain Guests este un grup de securitate global. Conturile utilizator din acest grup nu pot deschide sesiuni de lucru pe controlere si pot avea acces limitat la resursele domeniului, numai prin intermediul statiilor de lucru.
Domain Users - este un grup de securitate global. Orice cont utilizator care poate utiliza resursele domeniului va face parte din acest grup.
Group Policy Creator Owners - este un grup de securitate global. Conturile utilizator din acest grup vor putea modifica politicile aplicate in domeniu.
RAS and IAS Servers - este un grup de securitate local. Contine serverele pentru acces la distanta la domeniul respectiv (conectare pe linie telefonica, etc).
Figura 12 Crearea unui nou grup
Figura 13 Modificarea proprietatilor
Crearea grupurilor se face tot cu Active Directory Users and Computers. Pentru crearea unui nou cont utilizator, veti apasa click dreapta pe catalogul Users, iar in meniul contextual veti alege New si Group. In acest fel vi se va afisa caseta de introducere a unui nou cont utilizator.
In caseta New Object-Group va trebui sa completati numele grupului nou creat si sa alegeti domeniul de existenta si tipul acestuia. Dupa ce ati apasat OK grupul a fost creat si adaugat catalogului Active Directory
Dupa creare, se pot completa o serie de proprietati. Pentru aceasta, apasati click dreapta pe noul grup si alegeti din meniul contextual Properties. In caseta de proprietati, la tab-ul General, veti putea completa o serie de informatii suplimentare asupra grupului, cum ar fi o descriere mai detaliata a acestuia.
Figura 14 Adaugarea de membri
Figura 15 Adaugarea unui membru
Puteti adauga membri in grupul respectiv la tab-ul Members. Apasati Add alegeti din lista Select Users, Contacts, Computers, or Groups obiectul pe care doriti sa-l adaugati si apasati Add si apoi OK. Astfel membrul va fi adaugat la grup.
Figura 16 Adaugarea contului la un grup
Figura 17 Adaugarea efectiva
Puteti adauga in mod similar grupul nou creat la un alt grup, la tab-ul Member Of
Observatie: Un cont utilizator poate fi adaugat la un grup si prin intermediul proprietatilor contului utilizator. La tab-ul Member Of, apasati Add, alegeti din lista Select Groups grupul la care doriti sa adugati contul si apasati Add si apoi OK. Astfel contul utilizator va fi adaugat la grup.
Puteti
modifica politica locala de securitate prin utilizarea aplicatiei LocalSecurity Policy (din Administrative
Tools). Daca veti lansa aceasta
aplicatie, va va fi afisat panoul de gestiune al politicii de
securitate, in care veti putea modifica politicile asupra parolei,
politicile asupra permisiunilor locale de acces, etc.
Pentru modificarea politicilor asupra parolei, veti apasa dublu click pe folderul Password Policy, iar pentru modificarea oricareia dintre politici, veti apasa dublu click pe politica respectiva. Puteti face urmatoarele modificari de politica:
modificarea politicii de istoric asupra parolei (Enforce password history). Implicit, sistemul de operare nu "tine minte" parolele pe care dumneavoastra le definiti. Ca o consecinta, daca veti dori sa schimbati parola, nu va va impiedica nimic sa tastati aceeasi parola. Acest fapt poate constitui o slabiciune in sistemul de securitate. In consecinta, puteti forta sistemul sa memoreze un numar de parole, pe care il veti inscrie in caseta password remembered. Daca la schimbarea parolei veti incerca sa introduceti una din parolele memorate, sistemul nu va va permite acest lucru;
Figura 19 Memorarea parolelor
Figura 20 Durata unei parole
durata maxima a parolei (Maximum password age). Este luata in considerare doar daca la crearea contului sau la tab-ul Account al proprietatilor nu ati marcat optiunea Password never expires. Puteti seta durata de viata a unei parole. Dupa numarul de zile inscris in caseta Password expire in: sistemul va va cere automat sa redefiniti parola.
Figura 21 Activarea noii parole
Figura 22 Lungimea parolei
intrarea in vigoare a noii parole (Minimum password age). Noua parola este implicit luata in considerare in momentul
in care a fost introdusa. Dar, sistemul poate fi fortat sa o ia
in considerare dupa perioada inscrisa in caseta cu spin.
lungimea minima a parolei (Minimum password length). Implicit, sistemul accepta parole de lungime nula. Ca efect, veti putea crea conturi utilizator care nu au parola. Pentru sporirea securitatii insa, veti putea forta sistemul sa nu accepte parole mai scurte de un numar dat de caractere.
Exista posibilitatea implementarii unei politici referitoare la blocarea contului in cazul unor incercari de acces neautorizate, cu ajutorul folderului Account Lockout Policy
Account lockout duration - stabileste cat timp dureaza blocarea. Ea poate fi permanenta (implicit), sau poate dura doar un numar de minute, specificat in caseta Account is locked out for .. minutes. Astfel, daca a fost realizata o blocare a contului, dupa un timp, cand probabil adevaratul proprietar a contului va incerca logarea, contul va fi deja deblocat;
Figura 24 Durata blocarii
Figura 25 Blocare la fraudare
Account lockout threshold - stabileste numarul de incercari de conectare eronate dupa care contul se considera fraudat si se blocheaza. Implicit, contul nu se blocheaza, dar poate fi blocat dupa numarul de incercari de conectare nereusite precizat in caseta Account will not lockout:
Reset account lockout counter after - daca exista un numar minim de incerari nereusite de conectare in intervalul de timp specificat in caseta Reset account lockout counter after, contul va fi blocat.
Figura 26 Timp de resetare
Serverele Windows 2000 nu sunt servere dedicate, adica nu sunt proiectate sa ruleze exclusiv aplicatiile server. Desi nu este foarte indicat, ele pot fi folosite in acelasi timp si ca statii de lucru. In mod normal, conturile utilizator nou create sunt adaugate in grupul Domain Users. Acest grup nu are dreptul de a se conecta pe un controler de domeniu. Pentru a da drepturi de acces pe un controler se va modifica politica asociata acelui grup sau cont utilizator. Acest lucru este posibil prin intermediul folderului User Rights Assignment din Local Policies. De fapt, prin intermediul acestui folder, se pot modifica drepturile grupurilor sau conturilor utilizator in interiorul domeniului.
Puteti de exemplu da acces local pe un controler de domeniu unui utilizator sau unui grup de utilizatori, modificand politica Log on Locally. Veti apasa dublu click pe intrarea corespunzatoare si in caseta de dialog Log on locally va vor fi afisate toate conturile utilizator si grupurile care au acces local pe controler (pentru care optiunea Local Policy Setting este marcata). Daca doriti sa adaugati un nou obiect la lista asociata acestei politici, veti apasa butonul Add si in panoul Select Users or Groups veti alege succesiv conturile utilizator sau grupurile pe care doriti sa le adaugati, apasand dupa fiecare alegere Add. In final veti apasa OK si obiectele selectate vor fi adaugate la politica. Va trebui doar sa verificati ca pentru aceste obiecte sunt validate optiunile Local Policy Settings
Figura 28 Adaugarea unui obiect
Figura 29 Obiectul a fost adaugat
Urmand pasii specificati in paginile anterioare, vi se propune sa realizati urmatoarele:
creati doua grupuri de securitate globale (de ex. Profesori si Studenti
creati cel putin 2 conturi utilizator. Adaugati conturile la cate unul din grupurile create;
creati directoare implicite pentru conturile utilizator si conectati-le ca unitati logice;
verificati posibilitatile de logare de pe calculatoare client;
schimbati parola pentru cel putin unul din conturi;
modificati permisiunile de logare in timp si de la diferite statii si verificati cand si de unde este permisa sau blocata conectarea la domeniu;
modificati politicile asupra parolei pentru cel putin un cont utilizator si verificati modul de functionare;
modificati politicile de blocare a contului la accese neautorizate si verificati modul de functionare;
incercati sa va conectati cu oricare din conturi locale pe controlerul de domeniu. Daca nu vi se permite, modificati politica Log on locally pentru grupul Profesori si incercati din nou sa va conectati.
incercati sa inchideti serverul (Shut down). Daca nu reusiti, schimbati politica Shut down the system pentru grupul Profesori
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1950
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved