Операционные системы

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ГОУ ВПО «БЕЛГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

КАФЕДРА ОБЩЕЙ МАТЕМАТИКИ

Отчет по лабораторной работе № 7

Администрирование учетных записей групп

студентки

2 курса группы 07001510

Марко С. Тангуила

Проверил:

ассистент кафедры прикладной информатики

и информационных технологий Павлов В.Н

БЕЛГОРОД 2016

Цель работы – научиться реализовывать локальные и встроенные группы в домене.

Ход работы

1. Изменение режима домена.

   1.  Зарегистрируйтесь в системе как Administrator (Администратор) с паролем osso.

   2. Откройте оснастку Active Directory Users And Computers.

   3. В дереве консоли выберите свой домен и затем в меню Action (Действие) — команду Properties (Свойства).

   4. Щелкните кнопку Change Mode (Изменить режим).

1. Щелкните кнопку ОК.

2. Active Directory сообщит об успешном изменении режима домена и укажет, что репликация новой информации на другие контроллеры домена может занять более 15 минут.

1.  Щелкните кнопку ОК.

Создание групп.

1. Создать глобальную группу, добавить в нее участников и организовать учетные записи пользователей.

2.1. Открыть оснастка Active Directory Users And Computers.

2.2. В дереве консоли открыть ОП с номером группы.

2.3. Создать трех пользователей. (Например User1, User2 и User3 ).

2.3. В меню Action выбрать New (Создать), а затем — команду Group.

Откроется диалоговое окно New Object — Group (Новый объект — Группа).

Когда выбрана группа безопасности, доступна универсальная область действия. Это связано с тем, что служба каталогов Active Directory работает в основном режиме.

2.4. Убедиться, что выбраны переключатели Global (Глобальная) и Security (Группа безопасности).

2.5. В поле Group Name (Имя группы) ввести Sales и щелкнуть ОК. 

2.6. На правой панели дважды щелкнуть группу Sales.

Откроется диалоговое окно Sales Properties (Свойства: Sales).

2.7. Перейти на вкладку Members (Члены группы).

2.8. Щелкнуть кнопку Add (Добавить).

Откроется диалоговое окно Select Users, Contacts, Computers, Or Groups (Выбор. Пользователи, Компьютеры, Контакты или Группы); в списке Look In (Искать в) будет выбрано infXX.bsu.edu.ru.

2.9. В списке учетных записей, групп и компьютеров щелкнуть User1 и, удерживая клавишу Ctrl, щелкнуть User2.

Будут выбраны обе учетные записи.

2.10. Щелкнуть кнопку Add (Добавить).

Учетные записи User1 и User2 стали членами глобальной группы защиты Sales.

2.11. Щелкнуть кнопку ОК.

2.12. Снова щелкнуть кнопку ОК, чтобы закрыть диалоговое окно Sales Properties (Свойства: Sales).

В организационных целях Вы решили переместить учетную запись User2 в ОП Sales.

2.13. Щелкнуть ОП Users.

2.14. На правой панели щелкнуть учетную запись User2.

2.15. В меню Action (Действие) выбрать команду Move (Переместить). Откроется одноименное окно.

2.16. Выбрать ОП Sales и щелкнуть кнопку ОК.

2.17. В дереве консоли щелкнуть ОП Sales.В правой панели отображены учетные записи User1 и User2 и глобальная группа безопасностиSales.

2.18. Дважды щелкнуть глобальную группу Sales. Откроется диалоговое окно SalesProperties (Свойства: Sales).

2.19. Перейти на вкладку Members (Члены группы).

Учетная запись User2 по-прежнему член группы Sales, но находится теперь в папкеinfXX.bsu.edu.ru/Sales.

2.20. Щелкнуть кнопку ОК.

Создайте и используйте локальную группу домена

3. Создайте локальную группу домена. В нее добавить глобальную группу безопасности, созданную в задании 2 (создание групп).

3.1. Щелкните правую панель консоли, чтобы снять выделение с группы Sales.

3.2. В меню Action выберите New, а затем — команду Group. Откроется диалоговое окно New Object — Group.

3.3. В поле Group Name (Имя группы) введите Reports.

3.4.Щелкните переключатели Security (Группа безопасности) и Domain Local (Локальная в домене).

3.5. Щелкните кнопку ОК.

На правой панели для ОП Sales появится локальная группа домена.

3.6.На правой панели дважды щелкните группу Reports.

Откроется диалоговое окно Reports Properties (Свойства: Reports).

3.7. Перейдите на вкладку Members (Члены группы).

3.8. Щелкните кнопку Add (Добавить).

Откроется диалоговое окно Select Users, Contacts, Computers, Or Groups.

3.9. В списке Look In (Искать в) выберите пункт Entire Directory (Вся папка). Будут отображены учетные записи и группы всех доменов, а также расположение этих Учетных записей и групп.

3.10. В списке учетных записей, групп и компьютеров щелкните заголовок Name (Имя). Поле Name (Имя) будет отсортировано по алфавиту в убывающем порядке.

3.11. Снова щелкните этот заголовок, чтобы отсортировать поле по алфавиту в возрастающем порядке.

3.12. В списке учетных записей, групп и компьютеров выделите ОП Sales и щелкните кнопку Add (Добавить).

Щелкните кнопку ОК.Группа Sales стала членом доменной локальной группы Reports.

3.13. Щелкните кнопку ОК.

3.14. Закройте оснастку Active Directory Users And Computers.

Назначение разрешений NTFS

4. Назначить локальной группе домена Reports разрешения NTFS и проверить доступ к папке sales.

4.1. Создать на диске папку с именем Dept.

4.2. Сделать эту папку общей с именем ресурса Dept. Для общего ресурса задавать разрешения не надо, так как папка Dept создана на томе NTFS.

4.3. Создать в папке Dept подкаталог Sales.

4.4. Выделить папку Sales.

4.5. В меню File (Файл) выбрать команду Properties (Свойства). Откроется диалоговое окно SalesProperties (Свойства: Sales).

4.6. Перейти на вкладку Security (Безопасность). Системной группе Everyone (Все) предоставлены полные права управления данной папкой.

4.7. Снять флажок Allows Inheritable Permissions From Parent To Propagate To This Object(Переносить наследуемые от родительского объекта разрешения на этот объект). Появится сообщениеSecurity (Безопасность) с описанием доступных вариантов выбора.

4.8. Щелкните кнопку Remove (Удалить).

Откроется диалоговое окно Sales Properties (Свойства: Sales).

4.9. Щелкните кнопку Add (Добавить).

Откроется диалоговое окно Select Users, Computers, Or Group.

4.10. В списке Look In (Искать в) выберите пункт Entire Directory (Вся папка).

4.11. В списке учетных записей, групп и компьютеров выделите Reports и щелкните кнопку Add.

4.12. Щелкните кнопку ОК.

В диалоговом окне свойств папки Sales показывается, что локальной группе Reports предоставлены разрешения Read & Execute (Чтение и выполнение). List Folder Contents (Просмотр содержимого папки) и Read (Чтение).

4.13. Пометьте флажок Write (Запись) и щелкните кнопку ОК.

4.14. Закройте окно Dept и завершите сеанс Administrator (Администратор).

4.15. Зарегистрируйтесь в системе как User1 и откройте в окне My Computer (Мой компьютер) папку D:\Dept\Sales.

4.16. Создать в папке Sales текстовый документ.

4.17. Закройте окно Sales.

4.18. Завершите сеанс User1 и зарегистрируйтесь как User3.

4.19. Попробовать обратиться к папке D:\Dept\Sales. Сообщение Dept известит об отказе в доступе. Дело в том, что User3 — не член глобальной группы Sales, которая в свою очередь включена в доменную локальную группу Report. Доступ к локальным папкам тоже невозможен, так как разрешения NTFS распространяются и на сетевой, и на локальный доступ.

4.21. Щелкните кнопку ОК и закройте окно Dept.

4.22. Завершите сеанс User3.

Контрольные вопросы.

1. Типы групп и их реализация в домене.

Группа (group) — это набор учетных записей пользователей. Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие группы.

Иногда группы создаются в целях защиты, например, для назначения разрешений. В других случаях создание групп не связано с соображениями безопасности, и они используются, например, для отсылки сообщений электронной почты. Таким образом, в Windows  Server два типа групп: безопасности и распространения. Область действия также определяет, в каких сегментах сети группу можно использовать. По области действия группы делятся на локальные группы домена, глобальные и универсальные.

Группы безопасности используются для назначения разрешений и предоставления доступа к ресурсам. Программы поиска в хранилище Active Directoryтакже могут использовать группы безопасности в целях, не связанных с безопасностью, следовательно, группа безопасности обладает всеми возможностями группы распространения.

Группы распространения используются приложениями в качестве списков пользователей для осуществления функций, не связанных с системой защиты. Группы распространения следует применять лишь для выполнения операций, не связанных с безопасностью.Назначать разрешения через группу распространения нельзя.

Локальная группа домена чаще всего используется для назначения разрешений доступа к ресурсам. Ее характеристики:

• открытое членство

• доступ к ресурсам одного домена

Глобальная группа чаще всего применяется для организации пользователей с одинаковыми требованиями доступа к сети. Ее характеристики:

• ограниченное членство

• доступ к ресурсам любого домена

Универсальная группа чаще всего применяется для назначения разрешений Доступа к связанным ресурсам, находящимся в нескольких доменах. Ее характеристики:

• открытое членство

• доступ к ресурсам любого домена

1. Вложенность групп.

Добавление одних групп в другие (вложенность групп) позволяет на порядок снизить число операций по назначению разрешений. Windows допускает неограниченную вложенность групп.

При добавлении одних групп в другие нужно попытаться снизить уровень вложенности. При больших уровнях вложенности контроль разрешений усложняется. Наиболее эффективен первый уровень — он позволяет уменьшить число операций по назначению разрешений, одновременно упрощая контроль разрешений.

Кроме того, в целях контроля за назначением разрешений рекомендуется отдельно документировать состав групп.

Эффективная вложенность групп в многодоменной среде позволит снизить сетевой график между доменами и упростить администрирование дерева доменов.

1. Администрирование групп.

Оснастка Active Directory Users And Computers позволяет добавлять членов в группу, изменять области действия и удалять группы.

Добавление членов в группу. В созданную группу можно добавлять членов - учетные записи пользователей, контакты, другие группы и компьютеры. Компьютеры добавляются в группу для предоставления им доступа к разделяемым ресурсам других систем, например, для удаленного резервного копирования.

Изменение области действия группы. В процессе развития сети может возникнуть потребность в изменении области действия группы, может понадобиться преобразовать имеющуюся локальную доменную группу в глобальную.

Область действия группы можно следующим образом:

• преобразовать глобальную группу в универсальную — возможно, лишь когда глобальная группа не является членом другой глобальной группы;

• преобразовать локальную группу домена в универсальную группу — возможно, только если локальная группа домена не содержит подобных групп.

Удаление групп. Каждая группа обладает уникальным идентификатором безопасности, SID, повторно задействовать который невозможно. SID в Windows служит для идентификации групп и присвоенных ей разрешений. Windows не использует повторно идентификаторы удаленных групп.

Следовательно, восстановить доступ к ресурсам, воссоздав группу, нельзя. При удалении группы удаляется лишь сама группа и связанные с ней разрешения. Учетные записи пользователей — членов группы не затрагиваются.

4.   Встроенные локальные и системные группы.

Встроенные локальные группы предоставляют разрешения на выполнение задач (восстановление и архивирование файлов, изменение системного времени, администрирование ресурсов системы и др.) на отдельном компьютере. Windows помещает ветровые локальные группы в папку Groups (Группы) оснастки Computer Management. Удалить встроенные локальные группы нельзя.

Права, которыми обладают члены встроенных локальных групп, таковы:

Встроенные системные группы. Системные группы не имеют определенного списка членов, который можно было бы изменять; в разное время состав членов таких групп может различаться в зависимости от метода доступа пользователя к ресурсу или компьютеру. При администрировании системные группы недоступны, однако они отображаются при назначении прав и разрешений доступа к ресурсам. Состав системных групп в Windows основан на способе доступа к компьютеру, а не на том, какие пользователи работают компьютером. Наиболее распространены встроенные системные группы: