MCSE2003学习之六
管理用户和计算机账号
一:创建用户账号:
1:用户帐户:
1:用户帐户:
A:包含系统为用户定义的属性对象;用户账户:用户名(登录名),所属级及本地计算机对本地计算机和网络资源的访问权限;用户的权利(权根针对资源,权利针对系统)
B:用户的权利:进入系统获取,注销则释放,如:登录计算机,运行进程事务等。
2:域用户账户:存放于AD中
A:用户账户的 Full Name ( 全名)在域内不唯一,但是在同一 OU 中唯一, Full Name=First Name+Last Name
B:用户账户的确
Logon Name
:
UPN
名
(User Principle Name)
格式为:用户名
@DNS
域名
,它在域内唯一,使用
UPN
名时可以不用选择域名,系统会选取
@
后的
DNS
域进行登录。
Pre-Windows 2000
(登录到2000以前的
DNS
)
NetBios
域名
\
用户名。
当用户的
Principle Name
和
NetBios
名冲突时,
NetBios
名生效。
C:域用户的
SID
查看SID的命令是: Whoami /all 每一个域用户都会分配一个 SID ,在域内 SID 号是唯一的,当它最后面的数字是 500 时,表示的是管理员组。资源的权限记入 SID ,而不是记入用户名,在企业中一般使用禁用用户账户,少使用删除功能。
查看SID的命令是: Whoami /all 每一个域用户都会分配一个 SID ,在域内 SID 号是唯一的,当它最后面的数字是 500 时,表示的是管理员组。资源的权限记入 SID ,而不是记入用户名,在企业中一般使用禁用用户账户,少使用删除功能。
3:创建用户的最佳方法是:
对于域账户:用户名相同时,登录名要有区别;给临时用户加上前缀以示区分;尽量避免使用有联想的密码;帐户不使用时,应立即禁用;设置用户第一次登录时改变密码;尽量不要使用管理员登录执行管理任务,应使用二次登录。对于本地用户:禁用 Guest 账户;重命名 Administrator ;限制登录到本地的账户;使用复杂的密码。
二:创建计算机账户
1:计算机账户的介绍:
它是域中的一种安全主体(凡是安全主机都有 SID 号) ,用户只有使用合法的计算机才能进行登录;域中的计算机账户可以使用 Kerberos,IPSec 加密来保证安全。
2:将计算机加入到域:
仅仅在AD中创建计算机账户是无意义的;要将计算机加入到指定的OU可以按下面方法:首先在OU上建立计算机用户( Computer ),它的机器名必须和加入后的机器名相同才行;将机器名相同的机器加放域的时候,DC会自动将该机加入到先前指定的OU;将计算机加入到域的权限(最小用户权限) Domain Users :最多10台计算机的加入重复次数。
三:启用和锁定AD中的用户
1:禁用用户:
2:锁定用户:
当用户登录的次数超过计算机的设定值就会被锁定(组策略)
3:重设用户账户和计算机账户
当用户忘记密码时可以重设密码;重设计算机账户时,下列属性会丢失:保存在计算机上的 Internet 密码,用于加密邮件的分钥,用户加密的文件。 它的适用情况是硬件损坏,重新恢复系统时,计算机账户过期,需要将计算机重新加入到域时。
管理组
一:组的介绍:
组是用户的集合;可以利用组管理对资源的访问;它具有集中管理,分配权限,基于组授权,组可以是本地的或是基于AD的,可以嵌套的特点。
二:AD中的组
1:AD中的组
默认组:包括 Member Server 默认组( Local Users and Groups ),AD的默认组(存放在AD的 Builtin[Domain Local 本地域组 ] 和 Users[Domain Users] 和 Global 全局组),系统组;
Account Operators
组:
可以创建,删除,修改域中的组,但是不能创建和修改
Administrators
组和
Domain Admins
组成员。
系统组:由系统创建,管理员无法更改,当用户登录访问特殊资源时,系统会自动加入。如
EveryOne
:当前用户登录网络时,系统自动加入到
EveryOne
中。
Authenticated Users(AD
中的所有用户
)
;
Creator Owners
(资源的创建者[
Administrator
是所有资源的创建者])
2:组的类型
分发组( Distribution )又名通讯组 ,该组的创建的目的是为了收发邮件,无SID号,不能进行授权管理,不能加入DL
安全组( Security ) 是AD中的安全对象,有SID,能进行授权管理。
Distribution 和 Security 组的转换条件是域功能级别必须在 2000 Native 以上才能进行。域功能级别分为三级: 2000 Mixed (系统默认) ,2000 Native,2003 。
由 Distribution 转向 Security 组时可以随时进行;由 Security 转向 Distribution 时, Security 组原有的 SID 会丢失,对资源的权限会丢失,即使重新转换回来时其原本状态也会丢失。
3:组的作用域( Scope )
组的作用是组织账户和对资源的授权。组的作用域有以下几种类型:
Domain Local
(域本地组)
Domain Local
简写为DL,主要用于对资源的授权,一般应用
Domain Local
授权,要少用
Global
和
Universal
。
Global
(全局组)
简写为GL,主要用来组织用户,按公司的组织结构建立。
Universal
(通用组)
简写为UN,主要用来组织不同域间的账户,仅在域功能级别为
2000 Native
以上才能应用
|
|
成员关系
|
资源的使用范围
|
|
DL
|
Users
(森林)
GL
(森林)
|
本域,特点是资源受限,一般用于授权管理
|
|
UN Users
(森林)
GL
(森林)
DL
(本域)
|
||
|
GL
|
Users
(本域)
|
森林,特点是成员范围小,一般用于组织账户
|
|
Users
(本域)
GL
(本域)
|
||
|
UN
|
Users
(森林)
GL
(森林)
UN
(森林)
|
森林
|
说明:成员关系中同一组作用域的下栏中表示的是域功能级别在
2000
Native
以上的情况。
实际应用中组的建立策略:
单域模式下建议使用:A
(account)
-GL-DL-P
(Permission)
,多域模式一般使用:A-GL-UN-DL-P 要注意的是不同组作用域间的转换要用到UN组作为其中介。
组的最佳实践:
Restrictive
限制;分配组最小权限;尽量利用内置组完成任务;使用
Authenticated User
代替
EveryOne
;限制管理员组中成员人数。
管理访问资源
一:权限的介绍(Permission)
权限(
Permission
)
是对资源而言,可以对安全对象授予权限;权利(
Right
)
是对操作系统而言,是用户登录时由系统所分配。
NTFS
的权限:
NTFS
中每一个文件/文件夹都存在一个ACL
(Access control List)
,
它包括了安全主体的具体权限。当用户登录后首先取得ACT(访问控制令牌),然后是
USER SID
,接着是
Group SID
然后是特殊权利,在访问远程资源时,计算机会用用户的
USER SID
来匹配
Resource
中的
Owner SID
,然后是
Owner Group SID
,然后是ACL,接着是ACE,其中ACE中记录用户的每一个具体权限。
二:管理文件夹的共享权限
特殊的共享文件夹有
c$ d$
等驱动器根目录共享;
Admin$
系统根目录共享;
IPC$
远程管理和访问资源时使用。
在AD上发布共享文件夹的方法是:AD用户和计算机|DC|新建|共享文件夹|输入“网络路径”,共享文件夹要手动发布。
三:NTFS的权限继承
在默认的情况下,子文件和子文件夹会继承父文件夹的权限;但是子文件夹可以更改父文件夹的继承。方法:选定文件夹|安全|高级|取消“允许父项的继承权限”|复制|编辑。其中“复制”保留了父文件夹的权限,可以更改设置新权限;“删除”则删除所有父文件夹的继承权限。
Create Owner
所有者(一般指创建者)
Domain User
的用户不能在根目录下创建文件,但是可以建立文件夹。
Create Owner
可以授权其它的用户,但是被授权的用户不能继续授权给其它人;
Administrator
是所有文件的
Owner
(当删除所有用户时,可以以管理没登录,在文件/文件夹|安全|高级|所有者|选取一个|应用 完成后就可以添加授权用户);当选择“复制”时,会打乱父文件或用户组的权限,可以使用“有效权限”“
Effective Permission
”来查看某一用户或组的真正的有效权限。
四:最佳实践
对组授权,而不是用户;不要更改系统文件的默认的权限;对于应用程序,授予只读和执行权限;应用
NTFS
权限,权限是积累的,不同组间的权限是积累的(并集),而共享权限和
NTFS
权限的结合(交集),在
NTFS
中,拒绝的权限高于其它权限。