Руппы безопасности


Руппы безопасности и управлениЯ пользователЯми.

Писки контролЯ доступа.

‘писки средств защиты могут применЯтьсЯ как длЯ всего объекта, так и длЯ набора его свойств или длЯ отдельного свойства. ‘уществует два типа списков управлениЯ доступа:

1) €збирательные списки, которые ЯвлЯютсЯ частью дескриптора безопасности объекта, котораЯ предоставлЯет и запрещает доступ к объекту длЯ конкретных пользователей или групп. €зменЯть разрешениЯ в данных списках может только владелец объекта

2) ‘истемные списки контролЯ доступа. „анные списки ЯвлЯютсЯ частью дескриптора безопасности объекта, который объединЯет перечень проверЯемых событий длЯ пользователЯ или группы. Џример таких событий: доступ к файлам, вход в систему, выход из системы и т.д.

„лЯ управлениЯ пользователЯми используетсЯ понЯтие учетной записи.

“четнаЯ запись - это объект, который позволЯет хранить все сведениЯ, определЯющие пользователЯ домена. Љ таким сведениЯм относЯтсЯ имЯ пользователЯ, пароль, членство в группах. “четные записи могут хранитьсЯ либо в глобальном каталоге, либо на локальном компьютере.

 

“четные записи пользователей и компьютеров, а также группы называют участниками безопасности. ќти участники безопасности ЯвлЯютсЯ объектами каталогов, которые автоматически назначают коды безопасности длЯ доступа к ресурсам домена. Љодом безопасности называетсЯ структура данных переменной длины, котораЯ определЯет учетные записи пользователей, групп и компьютеров. Љод безопасности присваиваетсЯ автоматически при создании учетной записи. ‚нутренние процессы в операционной системе обращаютсЯ к учетным записЯм по их кодам безопасности, а не по именам пользователей или групп.

 

“четнаЯ запись пользователЯ или компьютера используетсЯ длЯ следующих целей:

1) Џроверка подлинности пользователЯ или компьютера Р учетнаЯ запись дает право войти в компьютер или в домен с подлинностью проверЯемых доменов

2) ђазрешение и запрещение доступа к ресурсам домена

3) Ђдминистрирование других участников безопасности

4) Ђудит действий, выполнЯемых с помощью учетных записей пользователЯ или компьютера

 

1) ‹окальнаЯ группа Р это группа, в которой права членства и доступа не распространЯютсЯ на другие домены.

2) ѓлобальнаЯ группа Р определЯет область действиЯ как все деревьЯ в лесе доменов. ѓлобальнаЯ группа привЯзываетсЯ к конкретному домену и в неЮ могут входить только объекты и другие группы, принадлежащие данному домену.

3) “ниверсальнаЯ группа Р определЯет область действиЯ как все домены в рамках того леса, в котором они определены. “ниверсальнаЯ группа может включать объекты, ассоциированные с учетными записЯми пользователей, компьютеров, групп, принадлежащих любому домену леса