一:创建用户账号:
1:用户帐户:
A:包含系统为用户定义的属性对象;用户账户:用户名(登录名),所属级及本地计算机对本地计算机和网络资源的访问权限;用户的权利(权根针对资源,权利针对系统)
B:用户的权利:进入系统获取,注销则释放,如:登录计算机,运行进程事务等。
2:域用户账户:存放于AD中
A:用户账户的Full Name(全名)在域内不唯一,但是在同一OU中唯一,Full Name=First Name+Last Name
B:用户账户的确Logon Name: UPN名(User Principle Name) 格式为:用户名@DNS域名,它在域内唯一,使用UPN名时可以不用选择域名,系统会选取@后的DNS域进行登录。Pre-Windows 2000(登录到2000以前的DNS) NetBios域名\用户名。当用户的Principle Name和NetBios名冲突时,NetBios名生效。
C:域用户的SID
查看SID的命令是:Whoami /all 每一个域用户都会分配一个SID,在域内SID号是唯一的,当它最后面的数字是500时,表示的是管理员组。资源的权限记入SID,而不是记入用户名,在企业中一般使用禁用用户账户,少使用删除功能。
3:创建用户的最佳方法是:
对于域账户:用户名相同时,登录名要有区别;给临时用户加上前缀以示区分;尽量避免使用有联想的密码;帐户不使用时,应立即禁用;设置用户第一次登录时改变密码;尽量不要使用管理员登录执行管理任务,应使用二次登录。对于本地用户:禁用Guest账户;重命名Administrator;限制登录到本地的账户;使用复杂的密码。
二:创建计算机账户
1:计算机账户的介绍:
它是域中的一种安全主体(凡是安全主机都有SID号),用户只有使用合法的计算机才能进行登录;域中的计算机账户可以使用Kerberos,IPSec加密来保证安全。
2:将计算机加入到域:
仅仅在AD中创建计算机账户是无意义的;要将计算机加入到指定的OU可以按下面方法:首先在OU上建立计算机用户(Computer),它的机器名必须和加入后的机器名相同才行;将机器名相同的机器加放域的时候,DC会自动将该机加入到先前指定的OU;将计算机加入到域的权限(最小用户权限)Domain Users:最多10台计算机的加入重复次数。
三:启用和锁定AD中的用户
1:禁用用户:
2:锁定用户:
当用户登录的次数超过计算机的设定值就会被锁定(组策略)
3:重设用户账户和计算机账户
当用户忘记密码时可以重设密码;重设计算机账户时,下列属性会丢失:保存在计算机上的Internet密码,用于加密邮件的分钥,用户加密的文件。它的适用情况是硬件损坏,重新恢复系统时,计算机账户过期,需要将计算机重新加入到域时。
管理组
一:组的介绍:
组是用户的集合;可以利用组管理对资源的访问;它具有集中管理,分配权限,基于组授权,组可以是本地的或是基于AD的,可以嵌套的特点。
二:AD中的组
1:AD中的组
默认组:包括Member Server默认组(Local Users and Groups),AD的默认组(存放在AD的Builtin[Domain Local本地域组]和Users[Domain Users]和Global全局组),系统组;
Account Operators组:可以创建,删除,修改域中的组,但是不能创建和修改Administrators组和Domain Admins组成员。
系统组:由系统创建,管理员无法更改,当用户登录访问特殊资源时,系统会自动加入。如EveryOne:当前用户登录网络时,系统动加入到EveryOne中。Authenticated Users(AD中的所有用户);Creator Owners(资源的创建者[Administrator是所有资源的创建者])
2:组的类型
分发组(Distribution)又名通讯组,该组的创建的目的是为了收发邮件,无SID号,不能进行授权管理,不能加入DL
安全组(Security)是AD中的安全对象,有SID,能进行授权管理。
Distribution和Security组的转换条件是域功能级别必须在2000 Native以上才能进行。域功能级别分为三级:2000 Mixed(系统默认),2000 Native,2003。
由Distribution转向Security组时可以随时进行;由Security转向Distribution时,Security组原有的SID会丢失,对资源的权限会丢失,即使重新转换回来时其原本状态也会丢失。
3:组的作用域(Scope)
组的作用是组织账户和对资源的授权。组的作用域有以下几种类型:
Domain Local(域本地组)Domain Local简写为DL,主要用于对资源的授权,一般应用Domain Local授权,要少用Global和Universal。
Global(全局组)简写为GL,主要用来组织用户,按公司的组织结构建立。
Universal(通用组)简写为UN,主要用来组织不同域间的账户,仅在域功能级别为2000 Native以上才能应用
成员关系
资源的使用范围
DL
Users(森林)GL(森林)
本域,特点是资源受限,一般用于授权管理
UN Users(森林)GL(森林)DL(本域)
GL
Users(本域)
森林,特点是成员范围小,一般用于组织账户
Users(本域)GL(本域)
UN
Users(森林)GL(森林)UN(森林)
森林
说明:成员关系中同一组作用域的下栏中表示的是域功能级别在2000 Native以上的情况。
实际应用中组的建立策略:
单域模式下建议使用:A(account)-GL-DL-P(Permission),多域模式一般使用:A-GL-UN-DL-P 要注意的是不同组作用域间的转换要用到UN组作为其中介。
组的最佳实践:
Restrictive限制;分配组最小权限;尽量利用内置组完成任务;使用Authenticated User代替EveryOne;限制管理员组中成员人数。
管理访问资源
一:权限的介绍(Permission)
权限(Permission)是对资源而言,可以对安全对象授予权限;权利(Right)是对操作系统而言,是用户登录时由系统所分配。
NTFS的权限:NTFS中每一个文件/文件夹都存在一个ACL(Access control List),它包括了安全主体的具体权限。当用户登录后首先取得ACT(访问控制令牌),然后是USER SID,接着是Group SID然后是特殊权利,在访问远程资源时,计算机会用用户的USER SID来匹配Resource中的Owner SID,然后是Owner Group SID,然后是ACL,接着是ACE,其中ACE中记录用户的每一个具体权限。
二:管理文件夹的共享权限
特殊的共享文件夹有c$ d$等驱动器根目录共享;Admin$系统根目录共享;IPC$远程管理和访问资源时使用。
在AD上发布共享文件夹的方法是:AD用户和计算机|DC|新建|共享文件夹|输入“网络路径”,共享文件夹要手动发布。
三:NTFS的权限继承
在默认的情况下,子文件和子文件夹会继承父文件夹的权限;但是子文件夹可以更改父文件夹的继承。方法:选定文件夹|安全|高级|取消“允许父项的继承权限”|复制|编辑。其中“复制”保留了父文件夹的权限,可以更改设置新权限;“删除”则删除所有父文件夹的继承权限。
Create Owner所有者(一般指创建者)
Domain User的用户不能在根目录下创建文件,但是可以建立文件夹。Create Owner可以授权其它的用户,但是被授权的用户不能继续授权给其它人;Administrator是所有文件的Owner(当删除所有用户时,可以以管理没登录,在文件/文件夹|安全|高级|所有者|选取一个|应用 完成后就可以添加授权用户);当选择“复制”时,会打乱父文件或用户组的权限,可以使用“有效权限”“Effective Permission”来查看某一用户或组的真正的有效权限。
四:最佳实践
对组授权,而不是用户;不要更改系统文件的默认的权限;对于应用程序,授予只读和执行权限;应用NTFS权限,权限是积累的,不同组间的权限是积累的(并集),而共享权限和NTFS权限的结合(交集),在NTFS中,拒绝的权限高于其它权限。
评论