Лабораторна робота 7 Принципали безпеки

Мета: Отримати навички створення та налаштування облікових записів користувачів та груп.

1. Теоретичні відомості

Основним компонентом доменних служб у кожній організації є принципи безпеки (Security Principal), які надають користувачам, групам або комп'ютерам, яким потрібний доступ до певних ресурсів у мережі. Саме таким об'єктам як принципалам безпеки можна надавати дозволи доступу до ресурсів у мережі, причому кожному принципалу під час створення об'єкта надається унікальний ідентифікатор безпеки (SID).

Ідентифікатором безпеки SIDназивається числове уявлення, яке унікально ідентифікує принципал безпеки та складається з двох частин. Перша частина такого ідентифікатора єідентифікатор домену. Зважаючи на те, що принципали безпеки розташовані в одному домені, всім таким об'єктам присвоюється той самий ідентифікатор домену. Другою частиною SID є відносний ідентифікатор (RID), який використовується для унікальної ідентифікації принципала безпеки по відношенню до відомства, яке видає SID.

Незважаючи на те, що планування та розгортання інфраструктури доменних служб у більшості організацій виконується лише один раз і більшість об'єктів зміни вносяться дуже рідко, до важливого виключення з цього правила можна віднести принципали безпеки, які необхідно періодично додавати, змінювати, а також видаляти.

Одним із основних компонентів ідентифікації є облікові записи користувачів. По суті, облікові записи користувачів є фізичними об'єктами, в основному людей, які є співробітниками організації, але бувають винятки, коли облікові записи користувачівстворюються для деяких програм як служби. Облікові записи користувачів грають найважливішу роль адмініструванні підприємстві. До таких ролей можна віднести:

Дозволи доступу до ресурсів домену, які призначаються користувачеві для надання доступу до доменних ресурсів на підставі явних дозволів.

1.1. Створення користувачів за допомогою оснащення «Active Directory – користувачі та комп'ютери»

Системні адміністратори для створення основних принципалів безпеки в основному використовують оснастку«Active Directory – користувачі та комп'ютери», яка додається в папку«Адміністрування»відразу після встановлення ролі«Доменні служби Active Directory»і підвищення сервера до контролера домену. Цей метод є найбільш зручним, оскільки для створення принципалів безпеки використовується графічний інтерфейс користувача і майстер створення облікових записів користувача дуже простий у застосуванні. До нестачі цього методу можна віднести той момент, що при створенні облікового запису користувача неможливо відразу задати більшість атрибутів, і доведеться додавати необхідні атрибути шляхом редагування облікового запису.

Щоб створити обліковий запис користувача, виконайте такі дії:

1. Відкрийте обладнання«Active Directory – користувачі та комп'ютери». Для цього потрібно відкрити панель управління, в ній відкрити розділ«Система та безпека», потім«Адміністрування» і в вікні відкрити оснастку«Active Directory – користувачі та комп'ютери». Також ви можете у діалоговому вікні«Виконати», у полі«Відкрити» ввести dsa.msc, а потім натиснути на кнопку«ОК».

лабораторна

Малюнок 1. Вибір команди Створити нового Користувача

3. У тому, що з'явилосядіалоговому вікні«Новий об'єкт - Користувач» введіть таку інформацію (рисунок 2):

У полі«Ім'я» введіть ім'я користувача;

У полі«Ініціали» введіть його ініціали (найчастіше ініціали не використовуються);

У полі«Прізвище» введіть прізвище користувача, що створюється;

Поле«Повне ім'я» використовується для створення таких атрибутів об'єкта, що створюється, як основне ім'я (Common Name)CN і відображення властивостей імені. Це поле має бути унікальним у всьому домені, і заповнюється автоматично, а змінювати його варто лише у разі потреби;

Поле«Ім'я входу користувача» є обов'язковим і призначене для імені входу користувача до домену. Тут вам потрібно ввести ім'я користувача і з списку вибрати суфікс UPN, який буде розташований після символу @;

Поле«Ім'я входу користувача (перед-Windows 2000)» призначене для імені входу для систем, що передують операційній системі Windows 2000. В останні роки в організаціях все рідше зустрічаються власники таких систем, але поле обов'язкове, оскільки деяке програмне забезпечення для ідентифікації користувачів використовує цей атрибут;

лабораторна

Малюнок 2. Діалогове вікно створення облікового запису користувача

Після заповнення всіх потрібних полів натисніть на кнопку«Далі».

принципали

Малюнок 3. Створення пароля для облікового запису, що створюється

5. На останній сторінці майстра відображається інформація про введені параметри. Якщо інформація внесена коректно, натисніть на кнопку«Готово» для створення облікового запису користувача та завершення роботи майстра.