Записки ремесленника

Александр Приходько

Спецвыпуск: Хакер, номер #061, стр. 061-108-3

Теперь нарываемся на очередную швабру - Permission. Нужно честно ответить на вопрос о том, есть ли в сети машины под управлением старых операционок или только под Windows 2000 и выше. В нашей организации все круто, у всех пользователей стоит XP или Win2K, поэтому выбираем следующий вариант: Permission compatible only with Windows 2000… Далее вводим пароль для режима восстановления (этот режим - отдельная тема политики безопасности). В следующем окне читаешь о том, что уже натворил, давишь Next и идешь спать, ибо начинается шаманский танец "Конфигурирование Active Directory". После просмотра танца – кнопка Finish> Restart now…

Ребут

После перезагрузки в окне Logon появилась дополнительная строчка Logon to, где уже прописано имя твоего домена. В закладке Administrative Tools появилась целая куча новых инструментов. "Да будет Свет!" уже было сказано – теперь начнем заселять наш новый лес.

Start> Programs> Administrative Tools> Active Directory> Users and Computers> Users. Ба-а, сколько тут новых пользователей появилось! С ними разберемся позже, пока начнем создавать группы (папки для них уже сделаны). Правая кнопка мыши на Users, меню New Group, написать "HEAD" и выбрать область действия группы (Group scope) Global.

Небольшое техническое отступление. Есть очень хорошая книга Ф.Зубанова "Active Directory", в которой очень толково расписано, для чего служат определенные области действия групп. Я оставлю тонкости, можешь прочитать сам, если книгу найдешь. Конец отступления.

Таким же методом заводим группы "Бухгалтерия" и "Экономисты". Главное правило при назначении любых прав гласит: "Все права назначаются через групповые политики". Кратко поясню, что доступ ко всем объектам осуществляется через SID (идентификатор безопасности), и если на какой-нибудь файл ты будешь назначать права конкретному пользователю, а затем удалишь пользователя из системы, то на этом файле останется висеть SID пользователя. Для того чтобы такого не происходило, доступ ко всем ресурсам осуществляется через группы, так как в этом случае операционная система ставит на объект SID группы и, соответственно, в базе AD не появляется лишних записей. Пример потерянного пользователя смотри на рисунке.

Населяем Эдем живностью

Заводим пользователей. Все так же, как и при создании групп, только выбираем User. Лучше не полениться и полностью заполнить все поля карточки пользователя. Представь, что однажды лень таки пересилила тебя, примерно через полгода смотришь на учетную запись "Света" и мучительно вспоминаешь, к какой из 12-ти работающих в конторе Свет относится эта запись. Мораль: лень в себе нужно контролировать жестко. Итак, тупо заполняем карточки пользователей по списку, выданному кадровой службой. Можно пока не напрягаться с паролями и правами и заниматься только бюрократией. Завели. Переходим к правам и обязанностям.

Я опишу настройку прав на примере одной группы и одного пользователя, для остальных будет аналогично. Берем пользователя Иванова из группы HEAD. Открываем оснастку Active Directory Users and Computers. Двойной щелчок на пользователе "Иванов", попали в свойства, выбрать закладку Member of. Там светится одна группа Domain Users, нажать кнопарик Add> Advanced> Find Now, в открывшемся списке выбрать группу HEAD. Если время жизни паролей для тебя не критично (ты не занимаешься жуткой коммерческой тайной и т.д.), то, перейдя на закладку Account, отметь галочкой Password never expires. Если не хочешь, чтобы пользователь сам изменял пароль, рядом ставишь галочку напротив User cannot change password. Возможности по настройке прав пользователя в системах Windows Server очень большие. Если внимательно изучить свойства пользователя, то можно найти массу способов ограничить его права в домене. А если изменить пароль конкретному пользователю, щелкай правой кнопкой мыши на пользователе и в выпавшем меню выбирай Reset Password.