2.1. Доменна архітектура

Домен є сукупністю мережевих робочих станцій і серверів, яка управляється як єдина група. У Windows 2000 для кожного домену повинен існувати контролер, який займається адмініструванням прав користувачів цього домену. Перший сервер, встановлений у домені, призначається основним контролером домену

(PDC, Primary Domain Controller). Цей сервер відповідає за перевірку користувачів домену під час входу в систему, тому що на PDC знаходиться інформація про облікові записи користувачів та безпеку, що стосується всього домену. Наступний сервер, що встановлюється, бере на себе роль резервного контролера домену (BDC, Backup Domain Controller). На BDC зберігається копія інформації про облікові записи користувачів та безпеку домену (через задані інтервали часу ця копія синхронізується з PDC). Якщо PDC з будь-якої причини перестає працювати, BDC автоматично не починає виконувати функції PDC, але користувачі, як і раніше, можуть входити до мережі. Хоча наявність BDC необов'язкова, вона дуже бажана.

Якщо з технічних причин потрібно вимкнути PDC, BDC можна підвищити до PDC вручну. Однак це необхідно зробити до вимкнення PDC, інакше можуть бути втрачені дані облікових записів, які ще не були скопійовані між контролерами.

2.2. Керування користувачами

Більшість мереж управління лише на рівні окремих користувачів пов'язані з безліччю труднощів. Для спрощення завдань

групи

адміністрування Windows 2000 на панелі керування містить спеціальну закладку (Адміністрування/Керування локальним комп'ютером), викликавши яку адміністратори створюють облікові записи користувачів та груп, а також працюють з ними.

Ця програма є основним інструментом дляуправління доступом на рівні користувачів та груп. Ця інформація зберігається у реєстраційній базі даних (SAM). Вид діалогового вікна програми для редагування користувача наведено на малюнку 2.1.

Керування користувачами ґрунтується на концепції групового адміністрування. Замість того, щоб займатися окремими користувачами, набагато зручніше розподілити їх за групами та призначати права одразу для цілої групи. Щойно користувач входить у групу, він успадковує всі правничий та обмеження доступу, присвоєні цій групі.

Щоб і надалі спростити процес керування користувачами, Microsoft передбачливо створює вбудовані групи (як локальні, так і глобальні). Зверніть увагу — вбудовані групи не можна видалити або перейменувати. Зазвичай ці групи є зручними для адміністрування прав та обмежень користувачів. Крім того, деякі користувачі включаються до цих вбудованих груп за промовчанням. Користувачів можна включати або видаляти з цих груп на власний розсуд.

групи

Обліковий запис містить інформацію, яка допомагає ідентифікувати користувача в системі безпеки мережі. Вона містить в собі:

• ім'я та пароль користувача;

• права користувача доступу до ресурсів системи;

2.2.1. Управління локальними та глобальними групами

Без групового адміністрування управління користувачами було досить складним завданням. Основна ідея — надавати права доступу лише групам, а потім керувати правами окремих користувачів, включаючи або видаляючи їх із різних груп у міру потреби. Якщо дотримуватись цього принципу, то майже не доведеться ставити права доступу до ресурсів для окремих користувачів. Облікові записи користувачів практично не призначаються ніякіправа - всі вони успадковуються від груп, до яких належать користувачі.

Вид вікна редагування членів групи наведено малюнку 2.2.

групи

та права доступу в кожному домені (наприклад, група "Інженери") належать до класу локальних. Використання глобальних і локальних груп набуває сенсу в багатодоменних системах.

Хороший підхід до реалізації безпеки користувачів у тому, щоб створити групу кожному за ресурсу у мережі, тобто кожного ресурсу існуватиме група, керуюча доступом до нього. Після створення таких груп доведеться в основному керувати групами

та їх членами, а не конкретними ресурсами.

У Windows 2000 існує два види груп: локальні та глобальні. Локальні групи доступні лише локальному домені; Світові групи поширюються межі доменів. Необхідно добре розуміти цю принципову відмінність. Інша важлива відмінність полягає в тому, що локальні групи можуть містити і користувачів та інші групи, тоді як глобальні групи містять тільки користувачів. Жодні локальні чи глобальні групи не можуть входити до іншої глобальної групи.

Опис основних характеристик вбудованих груп наведено в документації до ОС Windows 2000.

2.2.2. Системні політики

Системна політика визначає стан оточення та можливі дії користувача. Для створення та адміністрування системних політик використовується закладка «Адміністрування/Локальні параметри безпеки» (рис. 2.3).