Донецкий техникум промышленной автоматики

"Золоті правила" застосування груп

Управління дозволами в складаються з безлічі користувачів і ресурсів розподілених обчислювальних середовищах (таких як домени Windows Server 2003) - процес виснажливий і вимагає значного часу. Щоб полегшити завдання адміністраторів, розробники Windows ввели такі об'єкти як групи. Групи можна використовувати для того, щоб об'єднувати користувачів або комп'ютери, що володіють подібними характеристиками. Це дозволяє спростити процедуру призначення дозволів на використання ресурсів Windows, наприклад файлів і принтерів.

Але перед тим як розповісти про "золотих правилах" застосування груп при призначенні дозволів на використання ресурсів, я познайомлю вас з тим, які бувають типи і діапазони груп. Йтиметься лише про ті групи, які можна визначати і якими можна керувати за допомогою служби Active Directory (AD) в середовищі доменів Windows 2003 або Windows 2000.

Про те, як змінювалися характеристики груп, розказано в урізанні "Еволюція груп в Windows". Я не буду торкатися локальних груп, що визначаються в базах даних системи безпеки автономних комп'ютерів, а також на робочих станціях і автономних серверах домена. Ці локальні групи можуть використовуватися тільки на локальних комп'ютерах для призначення дозволів на звернення до локальних ресурсів. Групи, які ми будемо обговорювати в цій статті, можуть бути використані для призначення дозволів на звернення до ресурсів в масштабі домену, а в окремих випадках - в масштабі лісу доменів.

типи груп

У середовищах Windows 2003 і Windows 2000 застосовуються групи двох типів: групи розсилки (distribution groups) і групи безпеки (security groups). На Екрані 1 показано, як вибирається тип групи в процесі створення нової групи в оснащенні Active Directory Users and Computers консолі управління Microsoft Management Console (MMC).

На Екрані 1 показано, як вибирається тип групи в процесі створення нової групи в оснащенні Active Directory Users and Computers консолі управління Microsoft Management Console (MMC)

Екран 1: Властивості групи в вікні оснащення Active Directory Users and Computers

Групи розсилки можна використовувати в якості списків розсилки електронної пошти (distribution list, DL) поштових серверів на базі AD, таких, як Microsoft Exchange Server 2003 і Exchange 2000 Server. Групи розсилки демонструють тісну інтеграцію між поштовими серверами Exchange 2000 або пізніших версій і Windows 2000 або системами більш пізніх версій.

Як списків розсилки електронної пошти можна використовувати і групи безпеки. Але що ще більш важливо, групи безпеки можна задіяти для виконання пов'язаних із захистом даних адміністративних завдань, таких як призначення дозволів на звернення до ресурсів, тому що ідентифікатор SID групи безпеки додається до маркера доступу користувача Windows в ході процесу аутентифікації. SID групи розсилки не додають до маркера доступу користувача Windows, тому групи розсилки можна використовувати для виконання адміністративних завдань, пов'язаних із захистом даних. Оскільки для призначення дозволів на звернення до ресурсів можна застосовувати тільки групи безпеки, в подальшому я зупинюся на групах цього типу.

Якщо домени мережі організовані на коректних рівнях функціонування доменів, можна перетворювати групи розсилки в групи безпеки і назад на сторінці властивостей групи в оснащенні Active Directory Users and Computers. Про функціональні рівнях доменів ми поговоримо трохи пізніше. Система Windows попередить вас про можливі наслідки цих дій з точки зору авторизації, як показано на Екрані 2. Припустимо, у вас є група безпеки, що забезпечує призначення дозволів на звернення до ресурсів. Якщо ви перетворите цю групу безпеки в групу розсилки, члени групи втратять доступ до відповідних ресурсів. Для одночасного зміни типу декількох груп в ході однієї операції можна використовувати реалізовану в Windows 2003 утиліту командного рядка Dsmod з параметром -secgrp [yes / no]. Про те, як використовувати програму Dsmod, розказано в статті "П'ять незамінних інструментів для AD" ( http://www.osp.ru/win2000/2004/08/177313/ ).

Екран 2: Попередження, що відображається при перетворенні групи безпеки в групу розсилки

Доступність деяких функцій груп AD залежить від рівня функціонування домена. Функціональні рівні доменів - це система управління версіями, реалізована фахівцями Microsoft в Windows 2003. Функціональний рівень домену залежить від версій операційних систем, встановлених на контролерах домену. В Таблиці 1 показані різні функціональні рівні доменів Windows 2003 і версії операційних систем, які вони підтримують в контролерах доменів. У Таблиці 2 наведені функції груп AD, доступні для різних функціональних рівнів доменів.

діапазони груп

При створенні нової групи визначається її діапазон - аналогічно тому, як в ході тієї ж операції визначається тип групи. У середовищах Windows 2003 і Windows 2000 передбачено три діапазону груп: універсальний, глобальний і локальний діапазон домену. Крім того, в системах Windows 2003 і Windows 2000 допускається використання двох варіантів діапазону локальної групи: доменний локальний діапазон і системний локальний діапазон. Групи з локальним діапазоном домену можна застосовувати на будь-якій системі домену. Групу з локальним діапазоном системи можна задіяти лише на тій системі, де ця група визначається і зберігається.

Діапазон групи визначає, яким чином можна використовувати дану групу в багатодоменному середовищі. Зокрема, діапазон групи визначає, чи може група містити користувачів і групи з іншого домену. Крім того, діапазон групи визначає, чи припустимо за допомогою даної групи встановлювати дозволу на звернення до ресурсів іншого домену.

У Таблиці 3 показано, які учасники безпеки (тобто користувачі, комп'ютери або групи) можуть бути членами універсальної групи, глобальної групи і локальної групи домену. Крім того, тут ми бачимо, в яких випадках учасники безпеки повинні бути розташовані в тому домені, де група визначається (такі домени в Таблиці 3 позначені як SD), або їх можна розміщувати в іншому домені, що входить до складу того ж лісу (OD- INT), або в іншому зовнішньому домені (OD-EXT).

Тепер, коли ви знаєте, які учасники безпеки можуть бути членами тієї чи іншої групи, пора поставити питання про те, де можна використовувати ці групи для установки дозволів на звернення до ресурсів. В Таблиці 4 показано, які групи забезпечують можливість установки дозволів на звернення до ресурсів тільки свого домену, де відповідна група була визначена, а які дозволяють ще встановлювати дозволу на звернення до ресурсів інших доменів. Як видно з Таблиці 4, локальні групи доменів є єдиний тип груп, який не дає можливості встановлювати дозволу на роботу з ресурсами інших доменів.

Діапазон груп також визначає, які групи можуть бути членами інших груп; такі відносини між групами називаються вкладенням груп. Правила вкладення груп визначаються механізмом, який система Windows використовує для виявлення належності групи користувача до інших груп при реєстрації користувача в домені. У системах Windows 2003 і Windows 2000 застосовуються такі правила вкладення груп:

  • Глобальна група може бути членом іншої глобальної групи, універсальної групи або локальної групи домену.
  • Універсальна група може бути членом іншої універсальної групи або локальної групи домену, але не може бути членом глобальної групи.
  • Локальна група домену може бути членом тільки інший локальної групи домену.

Якщо домен належить до однорідного рівня функціонування домена, діапазон групи можна змінити на сторінці властивостей цієї групи в оснащенні Active Directory Users and Computers. Для одночасного зміни діапазону декількох груп скористайтеся реалізованої в системі Windows 2003 утилітою командного рядка Dsmod з параметром -scope [l / g / u]. При зміні діапазону групи діють наступні обмеження:

  • Локальну групу домену можна перетворити в універсальну групу лише в тому випадку, якщо ця локальна група домену не містить інших членів локальної групи домену. Локальна група домену не може бути членом універсальної групи.
  • Глобальну групу можна перетворити в універсальну лише в тому випадку, якщо ця глобальна група не входить до складу іншої глобальної групи. Універсальна група не може бути членом глобальної групи.
  • У багатодоменному середовищі перетворення універсальної групи в глобальну допускається лише тоді, коли всі члени універсальної групи визначені в домені цієї універсальної групи. Глобальна група може містити лише об'єкти, визначені в її домені.

"Золоті правила"

Одна з головних проблем, з якою доводиться стикатися адміністраторам Windows, полягає в тому, що необхідно забезпечити максимальну ефективність управління доступом до ресурсів. Одне з "золотих правил" зводиться до наступного: при призначенні дозволів на звернення до ресурсів потрібно оперувати не окремими обліковими записами, а цілими групами. Групи можуть створювати рівень абстракції в моделі авторизації, в результаті чого знімається залежність призначення дозволів від змін на рівні облікових записів. Це правило може бути застосовано як до доменів Windows, так і до автономних систем.

Так, у багатьох організаціях користувачі регулярно змінюють одну організаційну роль на іншу. Як правило, кожна роль передбачає наявність конкретних дозволів на звернення до тих чи інших ресурсів Windows. Служба AD передбачає можливість створення груп для організаційних ролей (скажімо, оператори центрів обробки викликів, розробники) і призначення дозволів на роботу з ресурсами для цих груп. Якщо роль користувача змінюється, адміністратору достатньо включити обліковий запис цього користувача до складу відповідної групи. Такий підхід набагато ефективніше, ніж проста перевстановлення дозволів облікового запису для того, щоб забезпечити користувачеві доступ до ресурсів, необхідних для виконання нової ролі.

Ось ще кілька "золотих правил", яким необхідно слідувати при управлінні доступом груп до ресурсів:

  • Застосовуйте глобальні групи для об'єднання користувачів, використовуйте локальні групи доменів для призначення дозволів на доступ до ресурсів і потім об'єднуйте глобальні групи в локальні групи доменів для застосування параметрів дозволів. Хоча це правило з арсеналу Windows NT 4.0, призначене для компенсації відсутності в даній операційній системі механізму делегування і для подолання наявних обмежень на розмір баз даних, воно все ще застосовується в багатодоменному лісах Windows 2003 і Windows 2000. У мережах з однодоменних лісами Windows 2003 і Windows 2000 вкладені структури груп і вибір діапазонів груп не грають такої важливої ​​ролі. У цих змінах необхідно утримуватися від призначення дозволів користувачам безпосередньо і діяти через групи-посередники.

Вибір тих чи інших вкладених структур може також залежати від двох чинників. Перший - кому належать і яку важливість мають захищаються дані. Коли розголошення даних особливо небезпечно, відповідальний за їх захист адміністратор повинен мати повний контроль над тим, кому надається доступ. Таким чином, найкраща політика в цьому випадку - взагалі не використовувати вкладені структури. Замість цього слід задіяти одну групу для управління членством і ту ж групу - для надання дозволів на звернення до ресурсу. Однак такий підхід не є оптимальним, коли багатьом користувачам потрібен доступ до того чи іншого ресурсу, і його власник не хоче або не може контролювати членство кожного користувача у відповідній групі. У таких випадках має сенс організувати кілька груп і надати іншим адміністраторам можливість управляти своїми користувачами у відповідних групах, після чого вкласти ці групи в іншу групу, через яку і будуть надаватися дозволи на доступ до ресурсу.

Другий фактор, здатний вплинути на рішення адміністратора щодо формування вкладеної структури груп, - це можливість відновлення членства в групах AD після ненавмисного видалення об'єктів AD. Найважче відновлюється членство в локальних групах доменів, якщо члени цих груп розміщуються в іншому домені.

  • За загальним правилом я рекомендую застосовувати в доменних мережах несистемний локальні групи, а локальні групи доменів. При використанні системних локальних груп губляться переваги доменів Windows, а саме, централізоване управління і можливості обліку. Системними локальними групами не можна керувати за допомогою служби AD, і вони не відображаються в списку груп, членом яких є обліковий запис користувача, в оснащенні Active Directory Users and Computers. Крім того, зміни, що вносяться до відомостей про членство локальної системної групи, фіксуються не в журналі реєстрації подій контролера домену, а в журналі подій безпеки локальної машини.

Відзначимо одну важливу виключення з цього правила; мова йде про великих мережах AD, які передбачають наявність численних локальних груп. На відміну від груп AD, локальні системні групи користувачів не передбачають можливості розширення членства при реєстрації в системі і не впливають на розмір облікових даних Kerberos. Інакше кажучи, в цій ситуації доцільніше використовувати не локальні групи доменів, а системні локальні групи.

  • Для надання користувачам доступу до ресурсів, розподіленим по декільком доменів, слід використовувати універсальні групи. Для цього розміщуйте глобальні групи в універсальні групи, універсальні групи - в локальні групи доменів і потім використовуйте локальні групи доменів для встановлення дозволів на звернення до ресурсів.
  • Застосовуйте універсальні групи в тих випадках, коли членство в групі близько до статичного. Коли ж членство в групі схильне до частих змін, використовуйте групу-посередника: додавайте користувачів в глобальну групу, а потім введіть цю глобальну групу до складу універсальної групи. Універсальні групи генерують більш значні обсяги мережевого трафіку в багатодоменному мережах, оскільки відомості про членство в універсальних групах зберігаються в глобальному каталозі, який реплікується в масштабах лісу.

Відзначимо, що дане правило може бути застосовано тільки до служб AD Windows 2003 і AD Windows 2000, яка не перебувають на функціональному рівні лісу Windows 2003. У лісі Windows 2003 служба AD підтримує нову функцію, звану репликацией пов'язаних значень (linked-value replication, LVR). При зміні членства в групі ця функція дозволяє реплицировать на контролери доменів не повні списки членів групи, а лише внесені в них зміни. Крім того, це правило не діє в багатодоменному мережах, в які входять сервери Exchange; при роботі з ними необхідно використовувати універсальні групи розсилки. У цих випадках не слід застосовувати глобальні групи-посередники, оскільки сервери Exchange не дозволяють розширювати членство в глобальних групах, якщо вони визначені в інших доменах.

Отже, дотримуйтесь викладених вище "золотих правил". Крім того, я рекомендую читачам дотримуватися наступного принципу: намагайтеся створювати якомога менше груп і обмежувати число рівнів їх вкладення. Адже чим менше буде груп і рівнів вкладення, тим простіше система дозволів та тим легше знаходити причини неполадок в разі виникнення проблем.

Отже, ми розглянули основні характеристики груп AD і з'ясували, як з їх допомогою організувати ефективне управління дозволами на використання ресурсів. Без цих знань не обійтися жодному адміністратору AD.

Жан Де Клерк ( [email protected] ) - член Security Office корпорації Hewlett-Packard. У коло його інтересів входять питання управління ідентичністю і забезпечення безпеки при використанні продуктів Microsoft.

ЕВОЛЮЦІЯ ГРУП В WINDOWS

Користувачі Windows завжди мали можливість працювати з групами. Модель, реалізована в Windows NT 4.0 і в більш ранніх версіях системи, простіше моделі, яка застосовується в Windows Server 2003 і Windows 2000. Нижче перераховуються основні відмінності між двома моделями груп:

  • У Windows 2003 и в Windows 2000 предусмотрена два типи груп: групи безпеки та групи Розсилка. У Windows NT 4.0 и в більш ранніх версіях були реалізовані лишь групи безпеки.
  • У системах Windows 2003 и Windows 2000 застосовуються три діапазону груп: універсальний, глобальний и локальний. Кроме того, в Windows 2003 и в Windows 2000 предусмотрена два варіанти діапазону локальних груп: домен локальний діапазон и системний локальний діапазон. У Версії Windows NT 4.0 Використовують лишь глобальний діапазон и системний локальний діапазон груп. Введення універсального діапазону - прямий наслідок использование реалізованого в службі Active Directory (AD) глобального каталогу, Який є функцією контролера домену, что Забезпечує доступність об'єктів AD и підмножіні їх атрібутів в домени для контролерів других доменів в лісі Windows 2003 або Windows 2000.
  • У версіях Windows 2003 и Windows 2000 можлива зміна типу и діапазону групи после ее создания. У Windows NT и більш ранніх версіях зміна типу и діапазону груп Неможливо.
  • У версіях Windows 2003 і Windows 2000 передбачається вкладення груп одного і того ж діапазону і типу. У Windows NT 4.0 і раніших версіях допускається тільки вкладення глобальних груп в системні локальні групи.

Таблиця 1: Функціональні рівні доменів

Функціональний рівень доменуОпераційні системи, використовувані на контролерах доменів

Windows 2003 Windows 2003 Однорідний тип Windows 2000 Windows 2003 і Windows 2000 Windows 2003 interim Windows 2003 і NT 4.0 Змішаний тип Windows 2000 Windows 2003, Windows 2000 і Windows NT 4.0

Таблиця 2: Функціональний рівень домену та функціональні можливості груп

Функціональний рівень домену Windows 2003 або однорідний рівень Windows 2000Змішаний функціональний рівень домену Windows 2000 або функціональний рівень домену Windows 2003 Interim

Типи груп Групи безпеки і групи розсилки Групи безпеки і групи розсилки Діапазони груп Універсальний, глобальний і локальний діапазони домену Глобальний і локальний діапазони домену Спільне використання груп Всі комп'ютери домену спільно використовують локальні групи домену Контролери домену спільно використовують локальні групи домену Вкладення гру п Універсальна група може бути членом іншої універсальної групи або локальної групи домену
Локальна група домену може бути членом іншої локальної групи домену
Тільки глобальні групи можуть вкладатися в локальні групи доменів Глобальна група може бути членом іншої глобальної групи, універсальної групи або локальної групи домену
Вкладення інших груп не допускається Модифікація груп Діапазон і тип груп можуть бути змінені Діапазон і тип груп не можуть бути змінені

Таблиця 3: Обмеження на членство в групах

Можуть містити користувачів і комп'ютери в SD * OD- OD- INT ** EXT ***можуть містити доменні локальні групи в SD OD- OD- INT EXTможуть містити глобальні групи вSD OD- OD- INT EXT

Універсальних групах Так Так Ні Ні Ні ні Так Так ні Глобальних групах Так ні ні ні ні ні Так **** ні ні доменних локальних групах Так Так Так Так **** ні ні Так Так Так

* Того ж домена
** інших доменів в тому ж лісі
*** інших зовнішніх доменів або доменів в інших лісах
**** тільки на функціональному рівні доменів Windows 2003 або доменів Windows 2000 однорідного типу

Таблиця 4: Обмеження на використання груп

Дозволяють встановлювати дозволу на звернення до ресурсу в тому ж доменідозволяють встановлювати дозволу на звернення до ресурсу в іншому домені

Універсальні групи Так Так Глобальні групи Так Так Доменні локальні групи Так Ні