7.4Формирование групп пользователей с одинаковыми потребностями
Администраторы обычно группируют пользователей в соответствии с тем доступом в сеть, который им необходим для работы. Например, большое количество бухгалтеров, работающих на определенном уровне, нуждаются в доступе к одним и тем же серверам, каталогам и файлам. Используя группы, администраторы могут одновременно назначать права доступа множеству пользователей. Другие пользователи могут быть добавлены к существующим группам в любое время, очень быстро получая права доступа, определенные для той группы, членом которой они являются.
Существует два типа групп:
Глобальная группа (global group) состоит из различных бюджетов пользователей одного домена, группируемых под одним именем Глобальная группа может содержать имена пользователей только одного домена, в котором она создана. Слово «глобальная» говорит о том, что группа может быть наделена правами доступа для использования ресурсов в множестве глобальных доменов. Глобальная группа может содержать только бюджеты пользователей (но не может содержать бюджеты других групп). Глобальная группа не может быть создана на компьютере, работающем под управлением Windows NT, или на компьютере, выполняющем в домене роль сервера (member server).
Локальная группа (local group) может включать сгруппированные вместе под одним именем пользовательские бюджеты и глобальные группы одного или нескольких доменов. В локальные группы могут быть добавлены пользователи и глобальные группы, принадлежащие к внешним доменам, если внешний домен является доверяемым по отношению к локальному домену. Слово «локальная» означает, что группе могут быть выделены права доступа на использование ресурсов, находящихся только в одном локальном домене. Локальные группы могут содержать пользователей и глобальные группы, но не могут содержать других локальных групп
При работе с группами рекомендуется использовать следующие правила:
Лучше назначать права доступа локальным группам и использовать глобальные группы как метод включения пользователей в локальные группы.
Глобальная группа - это лучший метод для одновременного включения множества пользователей в другой домен. Необходимые права и доступ обеспечиваются локальной группой, в которую добавляется глобальная группа
Глобальные группы могут быть добавлены к локальным группам того же домена или доверяющего домена. Они также могут быть добавлены к компьютерам, работающим под управлением Windows NT Server и расположенным в том же домене или в доверяющем домене
Windows 200’X Server имеет встроенные локальные и глобальные пользовательские группы.
7.5Субъекты и имперсонация
Одна из целей модели безопасности Windows состоит в том, чтобы обеспечить любой программе, активизированной пользователем, такие права доступа к объектам, которые не превышали бы прав, которые имеет сам пользователь. Это значит, что если пользователю предоставлены права на чтение определенного файла, и он запускает программу, то эта программа не сможет выполнять запись в этот файл, поскольку как и пользователь, будет иметь право только на чтение.
Субъектом (subject) называется комбинация маркера доступа пользователя и программы, которая работает от имени пользователя. Windows использует субъекты для слежения и управления доступом программ, используемых пользователем. Когда программа или процесс запускается от имени пользователя, то говорят, что эта программа работает в контексте безопасности данного пользователя. Контекст безопасности (security context) контролирует тот доступ к объектам и системным сервисам, который имеет данный субъект.
Модель клиент-сервер операционной системы Windows определяет два класса субъектов внутри архитектуры безопасности:
Простой субъект (simple subject) — это процесс, который активизируется в контексте безопасности пользователя при входе в сеть. Он не является защищенным сервером, который может иметь других субъектов в качестве своих клиентов
Серверный субъект(server subject) является процессом, применяемым как защищенный сервер (примером может служить подсистема Win32). Другие субъекты являются клиентами защищенного сервера. В этой роли серверный субъект обычно имеет контекст безопасности тек клиентов, от имени которых он работает
Когда субъект вызывает объектный сервис через защищенную подсистему, маркер субъекта определяет, кто сделал вызов, и имеет ли сделавший вызов субъект достаточно прав, чтобы его запрос был выполнен.
Windows позволяет одному процессу брать атрибуты безопасности другого процесса. Это делается с помощью технологии, называемой имперсонациеи (impersonation). Например, серверный процесс обычно действует от лица клиентского процесса, если для выполнения задачи требуется доступ к объектам, к которым сам сервер доступа не имеет.
|