Joanna Ziembicka.  Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników.

Slides:



Advertisements
Podobne prezentacje
Jarosław Kurek WZIM SGGW
Advertisements

Podstawowe pojęcia związane z Active Directory
Sieci komputerowe Wstęp Piotr Górczyński 20/09/2003.
Zabezpieczenia w programie MS Access
Sieci komputerowe.
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
Środowisko Windows 2000.
Wspólne skoroszytów Wspólne użytkowanie skoroszytów Arkusze i skoroszyty Tworzenie nowego skoroszytu Obliczenia w skoroszytach Przeglądanie wzorów w skoroszytach.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE INSTALACJA.
SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.
Microsoft Exchange Server 2003 Obieg dokumentów
Program Windows Server Update Services WSUS
Usługa Windows Server Update Services (WSUS)
Systemy operacyjne - Windows
Artur Szmigiel Paweł Zarębski Kl. III i
SAMBA JAKO SERWER PLIKÓW
WINDOWS 95 WYCINEK AUTOSTART TWORZENIE POWIĄZAŃ PLIKÓW Z APLIKACJAMI
USŁUGA FTP 1. Definicja FTP. FTP (File Transfer Protocol, ang. protokół transmisji plików) jest protokołem typu klient-serwer, który umożliwia przesyłanie.
KONFIGURACJA KOMPUTERA
ACTIVE DIRECTORY Definicja Active Directory.
PRACA W DOMENIE Różnice użytkowe między pracą w domenie i grupie roboczej. 1. Ekran logowania. - wciśnięcie klawiszy [Ctrl+Alt+Delete], a następnie podanie.
PROJEKTOWANIE TABEL W PROGRAMIE: ACCESS
SIEĆ P2P 1. Definicja sieci równouprawnionej. To taka sieć, która składa się z komputerów o takim samym priorytecie ważności, a każdy z nich może pełnić.
Moduł 3: Zarządzanie grupami
Zarządzanie dostępem do zasobów
Konfiguracja kont w programie Adobe Dreamweaver
Zarządzanie użytkownikami i praca w sieci lokalnej
Administracja linux-em
Temat: Eksplorator Windows - wędrówka po drzewie folderów
za pomocą wiersza poleceń
Tworzenie nowych kont lokalnych i domenowych, oraz zarządzanie nimi
Moduł 2: Zarządzanie kontami użytkowników i komputerów
Linux - polecenia.
Rozpoczęcie pracy z programem DAPP Optic.
Mariusz Maleszak MCP | MCTS | MCITP | MCT
Prezentacja i szkolenie
System raportowania, ewaluacji oraz badania satysfakcji Klienta.
Rozdział 1: Wprowadzenie do systemu Windows 2000 i podstaw sieci
Rejestr systemu Windows
Struktura folderów w systemie Windows
MAKRA 1.
Narzędzia administracyjne
Sieć oparta o serwer Ubuntu 12.10
mgr inż. Mariola Stróżyk
Partner Handlowy Konfiguracja sieci TCP/IP - Windows 2000, Xp, 2003.
Współpraca z innymi aplikacjami. Organizacja informacji 10 XII 2013.
Sieci komputerowe.
Administrowanie serwerem sieci lokalnej
Informatyka Poczta elektroniczna.
Konfiguracja VPN Klienta – Windows 7
Środowisko pracy informatyka zima 2014
Jednym z podstawowych celów tworzenia sieci komputerowych jest współdzielenie zasobów, takich jak pliki lub drukarki. Każdy z takich zasobów musi być udostępniony,
Bezpieczeństwo w sieci Internet
Bezpieczeństwo w sieci-internet
Uprawnienia w Windows Server
UPRAWNIENIA W WINDOWS SERVER
1. Logowanie z usługą Active Directory. a) logowanie do domeny Windows 2003 Server odbywa się znacznie szybciej niż w poprzednich wersjach. b) nie ma odwołania.
Sposoby zdalnego sterowania pulpitem
Wykonał Rafał Zaród. Microsoft w Windows 2003 Server położył szczególny nacisk na bezpieczeństwo, które w najnowszej wersji Windows było najważniejszym.
Prezentacja na temat: Narzedzia do naprawy systemu.
Instalacja i konfiguracja kontrolera domeny. Jest to komputer, na którym uruchomiono usługę Active Directory W małej sieci wystarczy jeden kontroler w.
T. 18. E Proces DGA - Działania (operatorka).
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
PODSTAWOWE ZARZĄDZANIE KOMPUTERAMI Z SYSTEMEM WINDOWS
Temat: Zasoby komputera
PROGRAMY DO KONTROLI RODZICIELSKIEJ
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Korzystanie z wirtualnego dysku OneDrive
Zapis prezentacji:

Joanna Ziembicka

 Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań, takich jak interakcyjne logowanie się do systemu lub tworzenie kopii zapasowych plików i katalogów. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Aby uzyskać informacje dotyczące uprawnień, zobacz Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie.  Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników.

 Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty.  Istnieją dwa typy praw użytkowników: przywileje (np. prawo do tworzenia kopii zapasowych plików i katalogów) i prawa logowania (np. prawo do lokalnego logowania się do systemu).

 Zasobem udostępnionym jest dowolny zasób, z którego mogą korzystać użytkownicy sieciowi, taki jak folder, plik, drukarka lub nazwane potoki. Może to być również zasób na serwerze dostępny dla użytkowników sieciowych. W przypadku udostępniania zasobu zamiast uprawnień NTFS są używane uprawnienia udziału.  Ważne Uprawnienia udziału dotyczą tylko użytkowników uzyskujących dostęp do zasobu za pośrednictwem sieci. Nie dotyczą one użytkowników logujących się lokalnie, np. na serwerze terminali. Aby ograniczyć dostęp do obiektów użytkownikom zalogowanym lokalnie, należy ustawić odpowiednie uprawnienia NTFS na karcie Zabezpieczenia na stronie Właściwości obiektu.  W zależności od typu zasobu udostępnionego istnieją dwie metody ustawiania dotyczących go uprawnień.

 Ustawianie uprawnień do pliku lub folderu za pomocą Kreatora udostępniania plików Kliknij prawym przyciskiem myszy plik lub folder, a następnie kliknij polecenie Udostępnij.  Ukończ pracę z Kreatorem udostępniania plików, aby wybrać użytkowników i grupy, którym dany plik lub folder zostanie udostępniony, i ustawić uprawnienia do tego pliku lub folderu dla poszczególnych użytkowników lub grup.  Aby ustawić uprawnienia do zasobu za pomocą Eksploratora Windows Otwórz Eksploratora Windows.

 Kliknij prawym przyciskiem myszy obiekt, a następnie kliknij polecenie Udostępnij lub Właściwości.  Kliknij kartę Udostępnianie, a następnie kliknij przycisk Udostępnianie zaawansowane, aby ustawić uprawnienia.  Uwagi dodatkowe  Aby otworzyć Eksploratora Windows, kliknij przycisk Start, wskaż polecenie Wszystkie programy, kliknij polecenie Akcesoria, a następnie kliknij polecenie Eksplorator Windows.

 Kreatora udostępniania plików można używać do zarządzania zasobami udostępnionymi na komputerach zarówno lokalnych, jak i zdalnych. Eksplorator Windows i wiersz polecenia umożliwiają zarządzanie zasobami udostępnionymi tylko na komputerze lokalnym.  Jeśli uprawnienia zostały przypisane zarówno do zasobu udostępnionego, jak i na poziomie systemu plików, zawsze jest stosowane uprawnienie bardziej restrykcyjne.  Łatwiej przypisać uprawnienia do grup, a następnie dodać do nich użytkowników, niż przypisywać identyczne uprawnienia wielu indywidualnym użytkownikom.  W przypadku zmiany uprawnień do specjalnych zasobów udostępnionych, takich jak ADMIN$, ustawienia domyślne można przywrócić, zatrzymując i ponownie uruchamiając usługi serwera oraz ponownie uruchamiając komputer. Należy zauważyć, że nie dotyczy to utworzonych przez użytkowników zasobów udostępnionych, których nazwa udziału kończy się znakiem $.

 Katalog domowy to podstawa hierarchii katalogów, w których użytkownik umieszcza wszystkie swoje dane. Pliki mogą być składowane w katalogu domowym lub w którymś z jego podkatalogów.  W systemach uniksowych katalogiem domowym jest standardowo /home/nazwa_użytkownika/, zaś administratora (root) /root/. W systemach tych katalog domowy aktualnie zalogowanego użytkownika oznaczany jest znakiem ~ (tylda).  W rodzinie Windows nie ma ściśle określonego katalogu domowego. Do pewnego stopnia w systemach Microsoft Windows 95/98/Me funkcję taką spełnia katalog o nazwie C:\Moje Dokumenty\ (lub odpowiednio innej, zależnie od wersji językowej) oraz podkatalog systemowy C:\Windows\Dane aplikacji\, dopiero w rodzinie Microsoft Windows NT/2000/XP pojawiła się hierarchia podkatalogów katalogu C:\Documents and Settings\ zawierających dane poszczególnych użytkowników. W Microsoft Windows Vista ścieżkę skrócono do C:\Users\.

 W Windows 2003 rozbudowane zostały możliwości tworzenia tzw. polis bezpieczeństwa. Dzięki nim administrator określa zestaw uprawnień obowiązujących w danej sieci. Dzięki mechanizmowi dystrybucji, polisy (czyli – zasady bezpieczeństwa) są dystrybuowane na każdy z komputerów w sieci. Polisa jest zbiorem zasad określających ogólne uprawnienia komputera pełniącego określoną rolę w domenie czy też prawa użytkownika. Określane są zasady postępowania z hasłami (minimalna długość, po jakim czasie hasło musi zostać zmienione itp.), w jakich warunkach konto jest blokowane, dokładne mechanizmy dystrybucji informacji w Kerberos czy zasady audytu. Polisy mogą obowiązywać na lokalnym komputerze jak i na komputerach wykorzystującą usługę katalogową. Mechanizm ustawiania polis oraz zakres elementów jest bardzo podobny – w zależności od tego, gdzie polisa ma obowiązywać, należy otworzyć odpowiednią konsolę MMC – Ustawienia zabezpieczeń lokalnych, Ustawienia zabezpieczeń domeny lub Ustawienia zabezpieczeń kontrolera domeny.

 Wraz z instalacją Windows 2003 Server, instalowane są wzorcowe „zestawy” polis – które określają standardowe zabezpieczenia w zależności od tego, jaką rolę ma pełnić dany serwer czy stacja robocza. Także administrator może opracowywać nowe wzorce a następnie dystrybuować je w sieci, tak by w firmie obowiązywała wspólna polityka bezpieczeństwa. Główne narzędzia do konfiguracji bezpieczeństwa stanowią tzw. pakiet do zarządzania i konfiguracji bezpieczeństwa (ang. Security Confguration Manager). Mogą one służyć do automatyzacji wielu zadań związanych z bezpieczeństwem.

 Podobnie jak w przypadku sieciowego systemu operacyjnego, najważniejszą częścią zabezpieczeń jest nazwa użytkownika oraz hasło. Istnieją domyślnie utworzeni użytkownicy (jak np. Administrator i Gość), którzy mają hasła powiązane ze swoimi kontami. W momencie, gdy użytkownik próbuje uzyskać uwierzytelnienie lub dostęp do zasobów, wymagane jest podanie hasła do konta użytkownika. Teraz, dzięki Bogu, domena Windows Server 2003 (i nowsza) domyślnie wymaga hasła. Hasło to powinno być chronione na wszelkie sposoby ze względu na ryzyko przechwycenia, odgadnięcia, włamania lub określenia w inny sposób. Istnieje wiele sposobów ochrony haseł w systemie Windows, a ta seria artykułów omówi to, co można zrobić, aby zwiększyć bezpieczeństwo haseł. Po pierwsze, musimy zrozumieć, w jaki sposób hasło jest zakładane i kontrolowane, a następnie, jak może zostać zaatakowane, dzięki czemu możemy podjąć odpowiednie kroki, aby ochronić się przed powszechnymi atakami.

 Hasła domyślne w systemie Windows Gdy próbujesz zalogować się do domeny Active Directory, będziesz musiał wprowadzić trzy kluczowe elementy: nazwę użytkownika, hasło, nazwę domeny. Kiedy informacja ta zostaje odebrana przez kontrolera domeny, jest analizowana pod kątem hasła dla danej nazwy użytkownika, wymienionej w bazie danych usługi Active Directory. Jeśli hasło pasuje, to kontroler domeny uwierzytelni użytkownika, dostarczając mu tokena uwierzytelniania, aby uzyskał dostęp do innych zasobów w sieci/domeny.

 Gdy użytkownik próbuje zmienić hasło do swojego konta, informacja ta jest również przesyłana do kontrolera domeny. Gdy użytkownik wpisuje nowe hasło i zostaje ono przesłane do kontrolera domeny, pojawiają się od razu odpowiednie zasady, mające na celu zapewnienie, że hasło spełnia minimalne wymogi bezpieczeństwa. Kilka uwag dotyczących zasady haseł dla domeny (jak również domyślne dla wszystkich lokalnych kont użytkowników):

 Wymaganych jest przynajmniej 7 znaków dla hasła w systemie Windows (domeny Windows Server 2003 i późniejsze)  Hasła muszą zawierać trzy z czterech następujących rodzajów znaków: duże litery, małe litery, cyfry, znaki specjalne  Nowe hasło musi zostać wygenerowane przed upływem 42 dni, aby konto pozostało aktywne  Nowe hasło nie może być ponownie użyte zanim nie stworzy się 24 unikatowych haseł.

 Domyślne ustawienia polityki haseł w domenie Active Directory nie są straszne, ale można je poprawić. Ustawienia domyślne są konfigurowane i przechowywane w obiekcie GPO Domyślnej Polityki Domeny, który jest powiązany z węzłem domeny. Jeśli chodzi o domeny Windows 2000 i Server 2003, to należy pamiętać, że dla tych domen może być tylko jedna zasada haseł! Oznacza to, że wszyscy użytkownicy (specjaliści IT, programiści, kadra kierownicza, pracownicy HR, itp.) mają takie same ograniczenia zasad haseł. Jeżeli są one słabe dla jednej grupy użytkowników, to są słabe dla wszystkich użytkowników. Zmiany można wprowadzić w lokalnym Menedżerze Zabezpieczeń Kont (SAM) na serwerach i stacjach roboczych (nie na kontrolerach domeny) z obiektów GPO, które są powiązane z jednostkami organizacyjnymi, gdzie znajdują się konta komputerów w AD. Te ustawienia GPO kontrolują tylko konta użytkowników lokalnych, a nie konta użytkowników domeny. LM to stary, niebezpieczny oraz niegodny polecenia protokół uwierzytelniania i powinien być sprawdzony i wyłączony, jeżeli jest to możliwe. W następnym artykule z tej serii omówię nie tylko ochronę przed LM, ale i inne sposoby atakowania haseł w systemie Windows.