Время на прочтение2 мин
Количество просмотров38K
В целях поддержания надлежащего уровня контроля доступа, важно однозначно понимать, что каждый объект в списке управления доступом (ACL) представляет, в том числе встроенные в ОС Windows.
Существует множество встроенных учетных записей с малопонятными именами и неопределенными описаниями, что может привести к путанице в понимании разницы между ними. Очень частый вопрос: «В чем разница между группами Everyone и Authenticated Users?»
Самое важное
Группа Authenticated Users охватывает всех пользователей, вошедших в систему, используя учетную запись и пароль. Группа Everyone охватывает всех пользователей, вошедших в систему с учетной записью и паролем, а также встроенные, незащищённые паролем учетные записи, такие как Guest и LOCAL_SERVICE.
Больше деталей
Если описанное выше показалась вам упрощённым, то дальше чуть больше деталей.
Группа Authenticated Users включает в себя всех пользователей, чья подлинность была подтверждена при входе в систему, в них входят как локальные учетные записи, так и учетные записи доверенных доменов.
Группа же Everyone включает всех членов группы Authenticated Users, а также гостевую учетную запись Guest и некоторые другие встроенные учетные записи, такие как likeSERVICE, LOCAL_SERVICE, NETWORK_SERVICE и др. Гостевая учётная запись Guest по умолчанию отключена, однако если она активна, то она дает возможность попасть в систему без ввода пароля.
Вопреки распространенному мнению, любой, кто вошел в систему анонимно, т.е. не прошедшие процедуру подтверждения подлинности, не будут включены в группу Everyone. Это имело место ранее, но изменено начиная с Windows 2003 и Windows XP (SP2).
Выводы
Когда дело доходит до распределения разрешений, существует один важный вопрос, на который мы должны быть в состоянии ответить: какие конкретные люди имеют доступ к данному ресурсу?
Большую часть разрешений, которые мы видим, даны не конкретным людям, а группам безопасности (и это — правильно), роль которых не всегда очевидна. В результате приходится тратить много времени для выяснения ответа на вопрос выше.
Решение есть. Когда ваш CEO спросит: «Кто имеет доступ к «Зарплатная ведомость.doc»?» вы сможете быстро, уверенно и абсолютно точно дать ответ, вместо предположений после недельных расследований.
Last Updated on January 3, 2025 by Deepanshu Sharma
In a Windows environment, there are many built-in accounts with obscure names and descriptions, making it difficult to know what their purpose is. Yet, understanding every entity on an access control list (ACL) is essential for maintaining proper access controls. A question that is commonly asked is: “What’s the difference between the Everyone group and Authenticated Users?”. In simple terms, Authenticated Users includes all users who have logged in with a username and password, while Everyone includes password-protected accounts and built-in accounts such as Guest and LOCAL_SERVICE. The Authenticated Users group includes local and domain user accounts, while the Everyone group includes additional security accounts.
It is important to note that anonymous users are not included in the Everyone group. Most of the time, Windows deals with groups rather than individual users. However, when inspecting permissions, it is crucial to determine which specific users have access to a given resource, which often requires a thorough investigation.
Types of Windows Accounts
As mentioned above, the Authenticated Users group includes all users who are authenticated with valid credentials in the Windows OS, while the Everyone group includes the Authenticated Users group and the Guest account. In Windows XP SP2 and Windows Server 2003, there are changes to the memberships of these groups. Below is a brief explanation of the built-in accounts in Windows:
- Guest account: The Guest account is a member of both groups in Windows 2000 AD and XP, but only a member of the Everyone group in Windows 2003 AD and XP SP2.
- Anonymous account: The Anonymous account is a member of the Everyone group in Windows 2000 AD and XP, but is not a member of the Authenticated Users group. In Windows 2003 AD and XP SP2, the Anonymous account is not a member of either group by default, unless a specific security policy setting is enabled.
- Everyone group: The Everyone group is useful for granting permissions to all users, but it includes the Guest and Anonymous accounts, which may not be desirable in some cases.
- Authenticated Users group: The Authenticated Users group excludes the Guest and Anonymous accounts and is useful when restricting access to valid, non-Guest, and non-Anonymous users.
Difference Between Everyone, Users, and Authenticated Users Groups
It may not be immediately clear what sets apart the Everyone, Users, and Authenticated Users groups based on their names alone. However, it’s worth noting that the Everyone group is the least secure as it truly encompasses all users. Frequently, the Everyone group contains the same set of users as the Users and Authenticated Users groups. Nonetheless, if the Guest account is enabled, users who log in as Guest are part of Everyone but not Users or Authenticated Users. The distinction between Users and Authenticated Users groups is a bit more complex. While one might assume that all users are authenticated users because they must authenticate, the presence of a separate group called Authenticated Users serves a purpose, as not all members of the Users group are authenticated.
Windows networks allow for computer-to-computer connections involving null sessions, which are used for exchanging lists of shared resources. Workstations also employ null sessions to connect to domain controllers before users authenticate to the domain. It is important not to confuse null sessions with Anonymous authentication in IIS, as they are entirely different concepts. Users who use Anonymous authentication in IIS use the pre-existing IUSR_computername account and are members of Everyone, Users, and Authenticated Users groups. The inclusion of null connections in the User group poses a security issue, prompting Microsoft to introduce the Authenticated Users group around the time of Windows NT 4.0 Service Pack 3 (SP3). This group includes authenticated users but excludes null sessions. Hence, for NTFS permissions, it is advisable to use Authenticated Users over Everyone.
How Lepide Helps Keep Active Directory Users and Groups Secure
The Lepide Data Security Platform provides a variety of features for effectively safeguarding Active Directory Groups. The platform uses advanced algorithms to monitor and analyze user behavior, detecting any unusual patterns that may jeopardize data security. It is also capable of identifying risky user actions and sending real-time notifications to administrators regarding potential security threats. The platform will scan your repositories and classify sensitive data as it is found, as well as classify data at the point of creation/modification. Furthermore, it determines the number of privileged users and recognizes those with excessive permissions, empowering administrators to take the necessary steps. The platform also automates the management of inactive user accounts, mitigating the risk of unauthorized access. By setting threshold alerts, administrators can receive instant notifications when specific conditions are met, enabling proactive security monitoring. Lastly, the platform facilitates the easy reversal of unauthorized or unwanted changes made to Active Directory and Group Policy, allowing administrators to uphold the integrity of their systems.
If you’d like to see how the Lepide Data Security Platform can help you secure and manage your Active Directory Groups, schedule a demo with one of our engineers.
- Active Directory
Эффективное использование мощных идентификаторов
Администраторы, не использующие встроенных участников безопасности (well-known security principal), вряд ли представляют себе их сложность и широкие функциональные возможности. В Windows Server 2003 появились новые встроенные
Эффективное использование мощных идентификаторов
Администраторы, не использующие встроенных участников безопасности (well-known security principal), вряд ли представляют себе их сложность и широкие функциональные возможности. В Windows Server 2003 появились новые встроенные участники безопасности, и эта статья поможет освоить способы их применения для управления доступом к ресурсам Windows. Но прежде чем перейти к подробному описанию способов управления, хочу коротко пояснить, что представляют собой участники безопасности вообще и встроенные участники безопасности в частности. Затем мы подробно рассмотрим управление этими сложными элементами. Участник системы безопасности Windows — это аутентифицированный элемент, который использует ресурсы (например, файлы, принтеры), приложения или службы, размещенные на компьютерах Windows. Каждый участник безопасности имеет уникальный идентификатор, встроенный как SID.
Встроенные участники — отдельная категория участников безопасности. Они представляют собой особые сущности, определенные заранее и управляемые подсистемой безопасности Windows. Примерами могут служить учетные записи Everyone, Authenticated Users, System, Self и Creator Owner.
В отличие от типовых участников безопасности, этих участников нельзя переименовать или удалить. Невозможно также создать собственных встроенных участников безопасности; они одинаковы во всех системах Windows, хотя список встроенных участников безопасности в разных версиях слегка различается. Кроме того, встроенный участник безопасности имеет один и тот же SID в любой системе Windows. Например, SID S-1-5-10 всегда предоставляется участнику Self, а SID S-1-3-0 всегда представляет участника Creator Owner.
Обзор встроенных участников безопасности
В табл. 1 перечислены встроенные участники безопасности Windows 2003, Windows XP Service Pack 2 (SP2) и Windows 2000. В табл. 2 приведен список встроенных участников безопасности, введенных в Windows 2003; звездочкой отмечены участники, поддерживаемые XP SP2. Для каждого встроенного участника безопасности в таблице указан соответствующий SID. Список всех встроенных SID Windows приведен также в статье Microsoft «Well-known security identifiers in Windows operating systems» по адресу http://support.microsoft.com/?kbid=243330. Большинство встроенных участников безопасности, перечисленных в табл. 1 и 2, будут подробнее описаны ниже.
В Windows 2003 появились встроенные участники безопасности Local Service, Network Service, Digest Authentication, NTLM Authentication, Remote Interactive Logon, SChannel Authentication, Restricted Code, Other Organization и This Organization. Эти новые участники видны в Active Directory (AD), только если контроллер домена (DC), которому принадлежит роль эмулятора PDC, работает на Windows 2003. Для контроллеров доменов, созданных как на Windows 2003, так и на Windows 2000, необходимо сначала передать роль мастера данной операции контроллеру домена Windows 2003. Эта процедура документирована в статье Microsoft «Local Service and other well-known security principals do not appear on your Windows Server 2003 domain controller» по адресу http://support.microsoft.com/?kbid=827016. Данное ограничение не должно оказать заметного влияния на инфраструктуру AD, так как многие новые компоненты, использующие нового встроенного участника безопасности Windows 2003, требуют уровня однородного функционирования Windows 2003.
Большинство встроенных участников безопасности, перечисленные в табл.1 и 2 (например, Everyone, Authenticated Users), можно увидеть как встроенные группы участников безопасности. В отличие от типовых групп, операционная система (не администратор) автоматически управляет членством, которое зависит от ряда условий. Например, в XP и Windows 2000 операционная система автоматически вводит пользователя в группу Interactive, если данный пользователь работает локально за компьютером, на котором размещен ресурс, или если пользователь зарегистрировался на этом компьютере через соединение RDP. В Windows 2003 такой пользователь вводится в группу Remote Interactive Logon.
Встроенные группы участников безопасности можно рассматривать и как динамические группы, так как операционная система динамически определяет их членов. Их не следует путать с динамическими группами LDAP на базе запросов, которые были впервые представлены в Windows 2003 Authorization Manager (AzMan).
Интересная особенность встроенных участников безопасности — способ их репликации между экземплярами AD. Они могут применяться к тысячам объектов AD, но реплицируются только их имена, а не членство в группах. В результате нельзя использовать классический запрос AD и административный инструментарий для выяснения их членства в группах. Из-за способов использования встроенных участников безопасности хранить информацию об их членстве не требуется. Основная роль встроенных участников безопасности — обеспечить SID, который можно добавить в маркер доступа пользователя, когда тот регистрируется в системе или обращается к ресурсу. Присутствие конкретного встроенного участника безопасности дает пользователю определенные разрешения в системе или при обращениях к ресурсу. Просмотреть содержимое маркера доступа можно с помощью инструмента WhoAmI с ключом /all (WhoAmI поставляется c Windows 2003 и с Microsoft Windows 2000 Resource Kit) или такого бесплатного инструмента, как SecTok (который можно загрузить по адресу http://www.joeware.net), как показано на экране 1.
Администрирование встроенных участников безопасности
Встроенные участники безопасности существуют во всех операционных системах Windows, установленных как в домене, так и автономно. Однако в автономные системы вводятся не все встроенные участники безопасности. Кроме того, как объяснялось ранее, список встроенных участников безопасности в разных версиях операционных систем немного различается.
В домене Windows объекты AD, представляющие встроенных участников безопасности, хранятся в контейнере WellKnown Security Principals под контейнером Configuration. Для просмотра содержимого контейнера используется оснастка ADSIEdit консоли Microsoft Management Console (MMC) (экран 2). В автономной системе встроенные участники безопасности хранятся в локальной базе данных безопасности (Security Account Manager, SAM).
Встроенных участников безопасности можно добавить к другим группам и спискам управления доступом (ACL) объектов Windows. В AD можно даже делегировать разрешения встроенным участникам безопасности. Как ни странно, при первой попытке добавить встроенного участника безопасности в другую группу его не удается найти в оснастке Active Directory Users and Computers консоли MMC. Необходимо знать правильное имя встроенного участника безопасности; для поиска объекта нельзя задействовать инструментарий выбора объектов оснастки Active Directory Users and Computers. Дело в том, что в оснастке Active Directory Users and Computers сделан акцент на управление данными в контексте именования домена AD, а встроенные участники безопасности хранятся в контексте именования конфигурации AD. Та же проблема возникает при использовании оснастки MMC Local Users and Groups. В этом случае встроенные участники безопасности скрыты от пользователя.
В оснастке Active Directory Users and Computers встроенный участник безопасности отображается в контейнере ForeignSecurityPrincipals. Например, если ввести встроенного участника безопасности Authenticated Users в группу Print Operators, то элемент Authenticated Users будет добавлен в контейнер ForeignSecurityPrincipals (экран 3). Следует отметить, что в легкочитаемых именах большинства встроенных участников безопасности присутствует строка NT AUTHORITY. NT AUTHORITY — диспетчер безопасности во встроенном домене безопасности Windows, который существует в каждой системе Windows.
Встроенных участников безопасности можно добавлять в другие группы или в списки управления доступом (ACL) к ресурсам из командной строки. Это можно сделать с помощью команд Net Group и Net Localgroup. Например, чтобы добавить группу Interactive в локальную группу Backup Operators, следует ввести команду
net localgroup «Backup Operators» Interactive /add
Добавить встроенный участник безопасности в список ACL ресурса можно с помощью утилиты командной строки subinacl.exe из комплекта ресурсов Microsoft Windows Server 2003 Resource Kit. Комплект можно загрузить по адресу http://www.microsoft.com/downloads/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b&displaylang=en.
Например, чтобы предоставить группе Local Service право чтения в разделе реестра MyApplication, следует ввести команду
subinacl /keyreg MyApplication /grant=»Local Service»=r
Итак, повторюсь, встроенные участники безопасности Windows (специальная категория участников безопасности, заранее определенных и управляемых подсистемой безопасности Windows) представляют собой мощные инструменты для управления и поддержания безопасности на должном уровне. Выше уже было показано, как встроенные участники безопасности упрощают администрирование доступа к ресурсам Windows. Встроенные участники безопасности определяются операционной системой: их нельзя создать, переименовать или удалить, и они одинаковы во всех системах Windows. Далее будут подробно рассмотрены индивидуальные встроенные участники безопасности, указаны компоненты Windows, в которых они применяются, и даны рекомендации по их эффективному использованию.
Authenticated Users и Everyone
Встроенный участник безопасности группа Authenticated Users охватывает всех пользователей, которых Windows аутентифицирует с помощью набора действительных пользовательских учетных данных при регистрации в системе. В группу Authenticated Users входят все пользователи с действительными учетными данными в лесу и его доменах и пользователи из других лесов, которые обращаются к ресурсам в локальном лесу через действительные учетные данные и доверительные отношения в лесу или между лесами.
Встроенный участник безопасности группа Everyone представляет собой надмножество группы Authenticated Users и охватывает ее и учетную запись Guest. Членство в группе определяется сложными правилами. В табл. 3 показаны специфические члены групп Authenticated Users и Everyone. В службе Active Directory (AD) версий Windows XP и Windows 2000 учетная запись Anonymous автоматически имеет членство в группе Everyone, но не в Authenticated Users. В Windows Server 2003 AD и Windows XP Service Pack 2 (SP2) учетная запись Anonymous по умолчанию не является членом группы Everyone, но ее можно поместить туда, установив параметр политики безопасности Network Access: Let Everyone permissions apply to anonymous users. Этот режим еще можно активизировать, присвоив параметру реестра HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetControlLSAEveryoneIncludes Anonymous (REG_DWORD) значение 1. Учетная запись Anonymous не является членом групп Authenticated Users.
System, Local Service и Network Service
В Windows 2000 и более ранних версиях службы и приложения независимых поставщиков обычно выполняются в контексте безопасности встроенного участника безопасности System (также именуемого учетной записью LSA или Local System). System функционирует как учетная запись данного компьютера в сети и как таковая представлена в сети именем Domain namemachine name$. Имя учетной записи в локальной системе NT AUTHORITYSystem. Учетная запись не имеет пароля, которым должен управлять администратор: используются данные учетной записи компьютера, автоматически назначаемые и управляемые Windows.
Разрешения System сопоставимы с учетной записью root в UNIX. При запуске службы или приложения в контексте безопасности System данная служба или приложение располагает почти неограниченными разрешениями в системе Windows. Например, если служба регистрируется на контроллере домена (DC) с использованием встроенного участника безопасности System, то она получает права локальной системы на DC. Получив контроль над службой, злоумышленник может внести изменения в AD. Следует быть осторожным — действуя в соответствии с принципом минимальности достаточных разрешений, лучше избегать использования System.
Чтобы не нарушать принципы и избежать риска, связанного с System, в Windows 2003 и XP SP2 предусмотрено два альтернативных варианта учетных записей: Local Service и Network Service. Local Service предоставляет минимальный уровень разрешений службам, которым достаточно доступа только к локальным ресурсам. Службы Smart Card, Remote Registry и Telnet используют учетную запись Local Service. Служба, работающая от имени Local Service, обращается к сетевым ресурсам в нуль-сеансе с учетными данными Anonymous. Чтобы настроить службу на использование Local Service, следует ввести NT AUTHORITYLocalService во вкладке Log On диалогового окна Alerter Properties. Пароль не требуется.
Network Service обеспечивает минимальный уровень разрешений для служб, которым необходим доступ к другим компьютерам в сети. Как и служба с разрешениями System, служба Network Service обращается к сетевым ресурсам с данными учетной записи компьютера. Службам Domain Name System (DNS) и Remote Procedure Call (RPC) по умолчанию присваиваются разрешения Network Service. Чтобы настроить службу на использование Network Service, следует ввести NT AUTHORITYNetworkService на вкладке Log On диалогового окна Alerter Properties. Пароль не нужен.
This Organization и Other OrganizationWindows 2003 располагают встроенными участниками безопасности This Organization и Other Organization, которые относятся к новой функции безопасности при доверительных отношениях между лесами, именуемой селективной аутентификацией и брандмауэром аутентификации. Селективная аутентификация позволяет определить дополнительный уровень управления доступом к ресурсам между лесами. Например, селективную аутентификацию можно использовать для выполнения регистрации на компьютере, а затем предоставить или запретить доступ к объектам на данном компьютере.
Селективную аутентификацию можно назначить как для доверительных отношений в лесу, так и между лесами, а также для внешних доверительных отношений между доменами. Администратор может задать доверительные отношения лесов между корневыми доменами двух лесов, и эти отношения будут применяться ко всему трафику аутентификации между лесами. Можно организовать внешние доверительные отношения между любыми двумя доменами в двух лесах, и затем они будут применяться к трафику аутентификации между этими двумя доменами.
С помощью мастера Trust Wizard или свойств доверительного отношения можно настроить доверительные отношения в лесу или внешние по отношению к лесу для селективной аутентификации. Для настройки селективной аутентификации из диалогового окна Properties доверительных отношений следует перейти на вкладку Authentication и активизировать Selective Authentication.
Режим селективной аутентификации может быть назначен, только если доверяющий домен или лес работают на функциональном уровне Windows 2003. Можно назначить селективную аутентификацию при настройке доверительных отношений для домена Windows NT 4.0, если нужно ограничить доступ к ресурсам домена Windows 2003.
Если лес или внешнее доверительное отношение используют селективную аутентификацию, а пользователь пытается обратиться к ресурсу в другом лесу (задействуя доверительные отношения между лесами), то Windows добавляет к маркеру доступа пользователя встроенного участника безопасности Other Organization. Пользователи, которые обращаются к ресурсам, применяя доверительное отношение между лесами, по умолчанию имеют в своем маркере доступа встроенного участника безопасности This Organization. Когда пользователь задействует доверительные отношения в лесу или внешнее отношение между лесами без селективной аутентификации, Windows добавляет This Organization к маркеру доступа данного пользователя. В этом случае членство в группе This Organization такое же, как в группе Authenticated Users.
Если в маркере доступа имеется встроенный участник безопасности Other Organization, то серверы ресурсов проверяют, действительно ли пользователь, запросивший доступ, имеет разрешение Allowed-to-Authenticate на сервере ресурсов. Разрешение Allowed-to-Authenticate можно установить из редактора ACL для объекта «компьютер». Если пользователь имеет разрешение Allowed-to-Authenticate, то аутентификация между лесами проходит успешно. На этапе аутентификации сервер ресурсов проверяет наличие определенных разрешений для Other Organization, а затем, соответственно, разрешает или запрещает доступ к ресурсам.
Restricted Code
Windows добавляет к маркеру доступа пользователя встроенного участника безопасности Restricted Code при выполнении команды RunAs с параметром Run this program with restricted access в Windows 2003 или параметром Protect my computer and data from unauthorized program activity в XP. Для учетных записей с большими разрешениями (например, administrator) RunAs — удобный способ переключиться в контекст безопасности пользователя с минимальными правами при запуске программы. Таким образом, снижается опасность запуска вредоносной программы в контексте безопасности с большими разрешениями.
Если маркер доступа пользователя располагает встроенным участником безопасности Restricted Code, то Windows отменяет все разрешения для пользователя, кроме Bypass Traverse Checking. В результате приложение не может получить доступ к профилю пользователя, и разрешается только доступ по Read к базам данных настроек в реестре HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER.
Restricted Code — удобный способ применять минимальные разрешения, не запоминая имен двух пользовательских учетных записей и двух паролей. Вместо использования RunAs для переключения в контекст безопасности с минимальными разрешениями можно применить RunAs для перехода в ограниченный вариант текущего контекста безопасности учетной записи — без ввода данных второй учетной записи. Более подробно о RunAs и использовании в ней Restricted Code рассказано в статье Аарона Маргосиса «Running Restricted» по адресу http://blogs.msdn.com/aaron_margosis/archive/ 2004/09/10/227727.aspx.
Типы Logon и Authentication
В Windows 2003, XP и Windows 2000 имеются встроенные участники безопасности, которые операционные системы добавляют в маркеры доступа других встроенных участников безопасности в зависимости от типа регистрации участника. Эти встроенные участники безопасности типа регистрации — Batch, Dialup, Interactive, Network, Service и Terminal Server User. Terminal Server User предназначен для всех пользователей, зарегистрированных с использованием режима совместимости с приложениями Terminal Services 4.0
Windows 2003 и XP SP2 дополнены встроенным участником безопасности Remote Interactive Logon, который идентифицирует пользователей, регистрирующихся с помощью версий Terminal Services для Windows 2003 или XP либо через соединение Remote Desktop.
Windows 2003 также дополнена тремя встроенными участниками безопасности типа аутентификации — NTLM Authentication, SChannel Authentication и Digest Authentication. Эти участники отражают в маркере доступа участника протокол аутентификации, который использовался участником для аутентификации в Windows. Следует отметить, что Microsoft не предоставила участников для аутентификации Kerberos и Basic.
Для более детального управления авторизацией можно использовать встроенные участники безопасности как типа регистрации, так и типа аутентификации. Эти новые участники позволяют назначить пользователям различные уровни доступа к ресурсам в зависимости от протокола аутентификации (например, NTLM, Digest, SSL) и типа регистрации (т. е. консоли или через терминальные службы).
Self, Creator Owner и Creator Group
Несколько иерархических структур объектов Windows (в том числе AD, реестр и файловая система) обеспечивают наследование разрешений. Разрешения определяются в родительском объекте, а затем автоматически передаются дочерним объектам. Windows располагает встроенными участниками безопасности Self, Creator Owner и Creator Group для администрирования разрешений в этих иерархических структурах.
Как правило, все три участника вводятся в список управления доступом (ACL) родительского объекта, а затем дочерние объекты наследуют этих участников следующим образом.
- Дочерние объекты наследуют разрешения, назначенные для Creator Owner в родительском объекте таким образом, что учетная запись, которая создает дочерний объект, является владельцем объекта и явно получает специальные разрешения на дочерний объект. Например, если администратор AD устанавливает разрешение Write в свойствах определенного пользовательского объекта для Creator Owner в организационной единице (OU), то пользователь, который создает новый объект типа пользователь в OU, получает разрешение Write на этот объект.
- Creator Group функционирует аналогично Creator Owner, но вместо добавления разрешений дочернему объекту для Creator Owner следует назначать или отменять разрешения для Creator Group, которая затем переносит разрешения для первичной группы владельца объекта на дочерний объект.
- Self заполняет место для объекта. Например, администратор AD добавляет разрешение записи в атрибут postalAddress объекта «пользователь» для учетной записи Self в списке ACL этой организационной единицы. При создании нового объекта «пользователь» с именем Jan в этой OU пользователь Jan будет иметь разрешение Write для атрибута postalAddress (пользователю Jan разрешается обновлять данные о почтовом адресе в объекте типа «пользователь» AD). Следует обратить внимание, что те же разрешения Self на другой объект типа «пользователь» не позволят пользователю Jan редактировать атрибут postalAddress другого пользователя, так как разрешение для Self не связано с учетной записью Jan.
По умолчанию Windows предоставляет разрешение на чтение для Self на атрибут членства в группе. Поэтому все члены группы могут видеть других пользователей, принадлежащих к группе. AD также предоставляет группе Authenticated Users доступ на чтение к списку членов группы, и пользователи из Authenticated Users тоже видят эту информацию.
Мощный, но сложный инструмент
Мы познакомились с широкими возможностями встроенных участников безопасности и немного разобрались в трудностях, возникающих при управлении доступом к ресурсам Windows. Учитывая, что встроенные участники безопасности добавлены в Windows 2003, а также принимая во внимание растущее значение делегированного и самостоятельного администрирования, можно ожидать, что в будущем в Windows появится еще больше встроенных участников безопасности.
Жан де Клерк — Член Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft. Автор книги Windows Server 2003 Security Infrastructures (издательство Digital Press). jan.declercq@hp.com
Доменные группы
Доменные группы являются частью Active Directory и могут находиться в корневом домене леса, в любом домене леса или в организационной единице (OU). Компьютер Windows Server 2003, который является контроллером домена (DC), автоматически создает группы по умолчанию для домена. Вы администрируете доменные группы в оснастке Active Directory Users and Computers, которая вызывается из меню Administrative Tools данного DC.
Вы можете управлять доменными группами, добавляя членов в существующие группы или создавая новые группы с использованием тех же процедур, что и для локальных групп.
Важно помнить, что вы можете использовать доменные группы только для задания полномочий доступа к системным ресурсам. Вы не можете применять к группам групповые политики — они применяются к доменам, сайтам и к организационным единицам. Это одна из наиболее досадных вещей, касающихся групповых политик, поскольку этот подход лишен логики.
Описание областей действия групп
В Windows Server 2003 группы характеризуются областью действия (scope), которая описывает пределы применения группы в дереве доменов или в лесу. Существуют три области действия групп: глобальная (global), локальная в домене (domain local) и universal (универсальная).
Глобальные группы
Если вы переходите к Windows Server 2003 из Windows N T, то понятие глобальной группы не является для вас чем-то новым. Глобальные группы могут содержать пользовательские учетные записи из домена, а также другие глобальные группы из этого домена. Кроме того, вы можете поместить глобальную группу в локальную группу для рядового сервера того же домена или любого доверяемого домена.
Это означает, что вы можете использовать глобальную группу как средство для «перемещающейся армии администраторов». Включите в глобальную группу нужных членов и затем поместите эту группу в локальную группу на компьютере данного домена или доверяемого домена, чтобы члены этой группы могли администрировать рядовые серверы (или, аналогичным образом, рабочие станции).
Локальные в домене группы
Локальные в домене группы были введены в Windows 2000. В них можно включать пользовательские учетные записи, а также другие локальные в домене группы из того же домена. Вы можете использовать эти группы для назначения полномочий внутри домена.
Поскольку эта область действия основывается полностью на одном домене, она является менее гибкой, чем у глобальных групп. На самом деле, я не уверен, что их вообще стоит использовать.
Универсальные группы
С помощью универсальной группы вы можете делать почти все, что хотите.
- Включать в нее глобальные группы из любого домена леса.
- Включать ее в любую локальную (компьютерную) группу.
- Включать в нее другие универсальные группы.
Это означает, что после включения нужных членов в ваши универсальные группы вы можете управлять всеми частями своего предприятия, давая универсальным группам права на выполнение задач и представляя членам этих групп соответствующие полномочия доступа к ресурсам.
Осознав настоящие возможности универсальных групп, вы можете решить, что использование универсальных групп — это наиболее эффективный способ управления вашим предприятием и что нет смысла использовать другие типы групп. Но будьте осторожны, поскольку здесь имеются два важных фактора.
Во-первых, у вас не может быть универсальных групп, пока ваше предприятие работает в смешанном режиме. Смешанный режим означает, что на вашем предприятии еще остались контроллеры домена Windows NT, а в Windows NT нет средств для работы с этой областью действия. Я считаю, что наиболее веским доводом в пользу модернизации ваших DC Windows NT является необходимость использования универсальных групп. Имеется два режима, уровень которых выше смешанного режима.
- Собственный режим (Native mode).DC вашего предприятия работают под управлением Windows 2000 и/или Windows Server 2003.
- Windows Server 2003.DC вашего предприятия работают под управлением только Windows Server 2003.
Во-вторых, способ, посредством которого универсальные группы реплицируются на контроллеры домена вашего предприятия, может создавать определенные проблемы. Если вы реплицируете универсальную группу на контроллеры домена, которые содержат глобальный каталог (обычно один в каждом сайте), то реплицируются как имена групп, так и имена всех членов каждой группы. Если у вас имеются вложенные универсальные группы, то репликация может занимать очень много времени (если репликация происходит через медленные соединения). Поэтому используйте универсальные группы разумным образом, чтобы получать наилучшие результаты.
В отличие от универсальных групп репликация глобальных групп включает в себя только имя группы, и она ограничена только собственным доменом этой группы. Локальные в домене группы не реплицируются вообще (по моему мнению, это еще одна причина, по которой стоит воздерживаться от их использования).
Изменение областей действия
Если вы создаете группу, то это по умолчанию глобальная группа. Если ваше предприятие работает не в смешанном режиме, то вы можете изменить область действия создаваемой группы следующим образом.
- Глобальная в универсальную.Глобальную группу нельзя вложить в другую глобальную группу; она должна существовать как группа верхнего уровня.
- Локальная в домене в универсальную.Локальная в домене группа может иметь в качестве своих членов только пользователей, но не другие локальные в домене группы.
- Универсальные в глобальные.Универсальная группа не может иметь в качестве своего члена другую универсальную группу.
- Универсальные в локальные в домене.Для этого изменения нет никаких ограничений.
Доменные группы по умолчанию
Если вы устанавливаете Active Directory на компьютере Windows Server 2003 (создаете DC), то система автоматически устанавливает ряд групп. Используйте оснастку Active Directory Users and Computers для просмотра и управления доменными группами.
Некоторые группы находятся в контейнере Builtin (он содержит только группы) и некоторые группы — в контейнере Users (он содержит как пользовательские, так и групповые учетные записи).
Группы, находящиеся в контейнере Builtin
В этом разделе дается краткий обзор групп, находящихся в контейнере Builtin. Ваш собственный домен может содержать и другие группы в зависимости от конфигурации домена или контроллера домена.
Account Operators (Операторы учетных записей).Члены этой группы могут создавать, удалять и управлять учетными записями для пользователей, групп и компьютеров, находящихся в контейнере Users, в контейнере Computers и в организационных единицах (OU), но не во встроенной OU Domain Controllers. Однако члены этой группы не могут вносить изменения в группы Administrators и Domain Admins, а также не могут изменять учетные записи любых членов этих групп. Члены этой группы могут выполнять локальный вход на все DC данного домена, а также могут завершать работу этих DC.
Administrators (Администраторы).Члены этой группы имеют полный доступ (full control) ко всем DC в домене. По умолчанию учетная запись Administrator, группа Enterprise Admins (Администраторы предприятия) и группа Domain Admins являются членами этой группы.
Backup Operators (Операторы резервного копирования).Члены этой группы могут выполнять резервное копирование и восстановление файлов на всех DC домена — независимо от их полномочий доступа к этим файлам. Члены этой группы могут выполнять вход на все DC и завершать их работу.
Guests (Гости).Члены этой группы не имеют никаких прав по умолчанию. Учетная запись Guest (она отключена по умолчанию) и группа Domain Guests (в контейнере Users) являются членами этой группы.
Incoming Forest Trust Builders (Создатели входящих доверительных отношений леса).
Эта группа появляется только в корневом домене леса. Члены этой группы могут создавать односторонние входящие доверительные отношения леса с корневым доменом леса.
Network Configuration Operators (Операторы сетевой конфигурации).Члены этой группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать IP-адреса на контроллерах домена.
Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на контроллерах домена интерактивно или удаленным образом.
Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на контроллерах домена интерактивно или удаленным образом.
Pre-Windows 2000 Compatible Access (Доступ, совместимый с системами до Windows 2000).Члены этой группы могут выполнять доступ ко всем пользователям и группам данного домена. Она используется, чтобы обеспечивать обратную совместимость для компьютеров, работающих под управлением Windows NT версии 4 и более ранних версий. По умолчанию членом этой группы является специальная группа (special identity) Everyone. (Более подробную информацию по специальным группам см. ниже в разделе «Специальные группы».) Добавляйте в эту группу пользователей, только если они работают с Windows NT версии 4 или более ранних версий.
Print Operators (Операторы печати).Члены этой группы могут управлять доменными принтерами.
Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается удаленный вход на контроллеры данного домена с помощью клиентского ПО Remote Desktop. О возможностях Remote Desktop см. в лекции 3 курса «Администрирование Microsoft Windows Server 2003»
Replicator (Репликатор).Эта группа используется службой репликации File Replication на контроллерах домена. Не включайте пользователей в эту группу.
Server Operators (Операторы сервера).Члены этой группы имеют следующие возможности на контроллерах домена:
- создание и удаление разделяемых ресурсов;
- запуск и прекращение работы некоторых служб;
- резервное копирование и восстановление файлов;
- форматирование дисков;
- завершение работы компьютера.
Добавляйте в нее только тех пользователей, которые понимают, что они делают.
Users (Пользователи).Члены этой группы могут выполнять большинство типичных задач (запускать приложения, использовать локальные и сетевые принтеры). По умолчанию группы Domain Users и Authenticated Users являются членами этой группы (а это означает, что любая пользовательская учетная запись, которую вы создаете в домене, автоматически становится членом группы Users).
Группы в контейнере Users
Группы, которые описываются в этом разделе, находятся в контейнере Users оснастки Active Directory Users and Computers. В дополнение к этим группам у вас могут быть и другие группы в вашем контейнере Users. Например, если ваш DC является сервером DNS, то у вас будет несколько групп, сконфигурированных для управления DNS.
Cert Publishers (Издатели сертификатов).Члены этой группы могут публиковать сертификаты для пользователей и компьютеров.
Domain Admins (Администраторы доменов).Члены этой группы имеют полный доступ (full control) к домену. По умолчанию эта группа является членом группы Administrators на всех контроллерах домена, на всех рабочих станциях и на всех рядовых серверах в этом домене. Учетная запись Administrator автоматически является членом этой группы, и вам не следует добавлять неопытных и некомпетентных пользователей.
Domain Computers (Компьютеры домена).Эта группа содержит все рабочие станции и рядовые серверы домена.
Domain Controllers (Контроллеры домена).Эта группа содержит все контроллеры данного домена.
Domain Guests (Гости домена).Эта группа содержит всех гостей домена.
Domain Users (Пользователи домена).Эта группа содержит всех пользователей домена, а это означает, что любая пользовательская учетная запись, созданная в домене, являются членом этой группы.
Enterprise Admins (Администраторы предприятия).Эта группа представлена только в корневом домене леса. Члены группы имеют полный доступ ко всем доменам леса, и эта группа является членом группы Administrators на всех контроллерах домена в данном лесу. По умолчанию учетная запись Administrator является членом этой группы, и вам не следует добавлять пользователей, не имеющих опыта и компетенции в вопросах управления сетью предприятия.
Group Policy Creator Owners (Владельцы-создатели групповых политик).Члены этой группы могут изменять групповые политики в домене. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые понимают возможности и последствия применения групповых политик.
Schema Admins (Администраторы схемы).Эта группа представлена только в корневом домене леса. Члены группы могут вносить изменения в схему Active Directory в пределах леса. По умолчанию учетная запись Administrator является членом этой группы, и вам следует добавлять только тех пользователей, которые знают структуру Active Directory. Описание схемы см. в
«Описание Active Directory»
.
Специальные группы
В вашем домене имеются также группы, с которыми вы не можете работать. Вы не можете видеть или изменять членство в этих группах и не можете видеть такую группу в оснастке Active Directory Users and Computers; эти группы не имеют области действия. Вы можете видеть эти группы, только когда задаете полномочия по сетевым ресурсам.
Эти группы называются специальными группами (special identities),и Windows использует их для представления различных пользователей в различных случаях в зависимости от обстоятельств. Членство в этих группах является временным и недолгим. Например, группа Everyone представляет всех текущих пользователей, выполнивших вход в сеть, включая гостей и пользователей из других доменов.
Имеются следующие специальные группы.
- Anonymous Logon (Анонимный вход).Пользователи и службы, которые выполняют доступ к какому-либо компьютеру и его ресурсам через сеть, не используя имени учетной записи, пароля или доменного имени. На компьютерах, работающих под управлением Windows NT или более ранних версий, группа Anonymous Logon является по умолчанию членом группы Everyone. Но в Windows Server 2003 (и Windows 2000) группа Anonymous Logon не является членом группы Everyone.
- Everyone (Все).Все текущие сетевые пользователи, включая гостей и пользователей из других доменов. Любой пользователь, выполняющий вход в сеть, автоматически является членом группы Everyone.
- Network (Сеть).Текущие пользователи, выполняющие доступ к заданному ресурсу через сеть (а не локально на компьютере, содержащем этот ресурс). Любой пользователь, выполняющий доступ к какому-либо ресурсу через сеть, автоматически является членом группы Network.
- Interactive (Интерактивный).Любой пользователь, выполнивший вход на определенном компьютере и выполняющий доступ к заданному ресурсу на этом компьютере (в отличие от группы Network). Любой локально работающий пользователь, который выполняет доступ к какому-либо ресурсу на этом компьютере, автоматически является членом группы Interactive.
Если в вашей локальной сети несколько компьютеров (а если они подключены к одному роутеру — они уже в локальной сети), вы можете поделиться доступом к какой-либо папке на одном компьютере с другого ПК или ноутбука с предоставлением нужных прав (чтение, чтение и изменение и другие). Это не сложно, но у начинающих пользователей часто возникают проблемы с настройкой общего доступа к папкам Windows 10 по причине незнания некоторых нюансов.
В этой инструкции подробно о том, как настроить общий доступ к папкам в Windows 10 (то же самое подойдет и для дисков), о том, что для этого потребуется и дополнительная информация, которая может оказаться полезной.
- Как включить и настроить общий доступ к папке или диску в Windows 10
- Подключение к общей папке с другого компьютера или ноутбука
- Как включить анонимный доступ к общим папкам или сетевому диску
- Видео инструкция
Как включить и настроить общий доступ к папке или диску в Windows 10
Прежде чем начинать, учитывайте, что для настройки общего доступа к папкам и дискам у вас в Windows 10 в качестве профиля сети должна быть выбрана «Частная сеть». Вы можете изменить это перед началом настройки (Как изменить общедоступную сеть на частную и наоборот в Windows 10), либо пока не предпринимать никаких действий — на одном из этапов вам автоматически предложат это сделать. Дальнейшие шаги по предоставлению общего доступа к папке в Windows 10 выглядят следующим образом:
- Нажмите правой кнопкой мыши по папке, к которой нужно предоставить общий доступ по сети, выберите пункт «Предоставить доступ к» — «Отдельные люди».
- Если в качестве профиля сети у вас установлена «Общедоступная», вам будет предложено сделать сеть частной. Сделайте это (пункт «Нет, сделать эту сеть частной»).
- Откроется окно, в которой будет показано имя текущего пользователя и кнопка «Поделиться». Вы можете сразу нажать эту кнопку, чтобы предоставить общий доступ к папке, но в этом случае для подключения к этой папке с другого компьютера потребуется вводить имя пользователя и пароль именно этого пользователя этого компьютера с правами владельца. Внимание: если пользователь без пароля, подключение по умолчанию выполнить не получится.
- Если вы не хотите использовать имя пользователя и пароль администратора текущего компьютера при подключении с другого компьютера или ваш пользователь не имеет пароля, вы можете создать нового пользователя на текущем компьютере, не обязательно администратора, но обязательно с паролем (Как создать пользователя Windows 10), например с помощью командной строки, запущенной от имени администратора: net user Имя_пользвателя Пароль /add
- Затем указать это имя пользователя в поле вверху настройки общего доступа, нажать кнопку «Добавить» и указать нужный уровень разрешений.
- По завершении нажмите кнопку «Поделиться». Готово, теперь общий доступ к папке предоставлен.
Есть еще один вариант предоставления общего доступа к папке (подойдет и для диска) в Windows 10:
- Откройте свойства папки или диска, перейдите на вкладку «Доступ».
- Нажмите кнопку «Общий доступ» и выполните шаги 3-5 из предыдущего раздела.
- Если кнопка «Общий доступ» недоступна (что может быть при предоставлении доступа к диску), нажмите кнопку «Расширенная настройка», а затем — отметьте пункт «Открыть общий доступ к этой папке».
- В расширенной настройке в разделе «Разрешения» вы также можете указать пользователей, которым предоставлен доступ к диску.
- Примените сделанные настройки.
При необходимости отключить общий доступ к папкам, вы в любой момент можете либо вернуть профиль сети «Общественная», отменить общий доступ в свойствах папки или использовать контекстное меню «Предоставить доступ к» — «Сделать недоступными».
Подключение к общим папкам в Windows 10
Для того, чтобы подключиться к общей папке или диску с другого компьютера или ноутбука (в инструкции предполагается, что там так же установлена Windows 10, но обычно все работает и для предыдущих версий системы), выполните следующие шаги:
- В проводнике откройте раздел «Сеть» и нажмите по имени компьютера, на котором находится папка, к которой был предоставлен общий доступ.
- Если на компьютере, с которого мы подключаемся, включена «Общественная сеть», вам будет предложено включить профиль «Частная сеть», сделайте это (можно нажать по уведомлению вверху окна проводника и разрешить сетевое обнаружение и общий доступ к папкам и файлам).
- Введите имя пользователя и пароль для подключения к папке с общим доступом. Это должно быть имя пользователя и пароль пользователя не текущего, а удаленного компьютера, например, имя и пароль пользователя, который делился папкой или имя и пароль, которые мы создавали на 4-м шаге в первом способе.
- Если все прошло успешно, вы увидите общую папку и у вас будут те права доступа, которые вы задавали в столбце «Уровень разрешений».
Также при желании вы можете нажать правой кнопкой мыши по пункту «Сеть» в проводнике и нажать «Подключить сетевой диск», после чего указать путь к сетевому ресурсу (этот путь в любой момент можно посмотреть в свойствах папки или диска на вкладке «Доступ»), либо нажать по сетевой папке или диску и выбрать пункт «Подключить сетевой диск». В результате общая папка или диск с общим доступом будет подключен как простой диск.
Как включить анонимный доступ к общим папкам без ввода имени пользователя и пароля
Если вам требуется сделать так, чтобы открывать папки по сети можно было без ввода имени пользователя и пароля, в Windows 10 Pro и Enterprise сделать это можно следующим образом:
- На компьютере, на котором находится общая папка, в свойствах общего доступа добавьте группу «Все» (вводим Все в верхнем поле, нажимаем кнопку Добавить) и предоставьте нужные разрешения. В Windows 10, которая изначально была на английском языке эта группа называется Everyone.
- Зайдите в редактор локальной групповой политики (Win+R — gpedit.msc, внимание: элемент отсутствует в Windows 10 Домашняя), перейдите в раздел «Конфигурация Windows» — «Параметры безопасности» — «Локальные политики» — «Параметры безопасности».
- Включите параметр «Сетевой доступ: разрешать применение разрешений Для всех к анонимным пользователям», дважды нажав по нему и выбрав пункт «Включено».
- Откройте свойства папки и на вкладке «Доступ» внизу, в разделе «Защита паролем» нажмите по ссылке «Центр управления сетями и общим доступом» для изменения параметра. Раскройте раздел «Все сети», установите отметку «Отключить общий доступ с парольной защитой» и примените настройки.
- В случае, если мы предоставляем анонимный доступ к диску, а не отдельной папке, дополнительно зайдите в свойства диска, на вкладке «Безопасность» нажмите кнопку «Изменить», добавьте группу «Все» и установите необходимые разрешения.
- Некоторые инструкции предлагают в том же разделе редактора локальной групповой политики включить параметр «Учетные записи: Состояние учетной записи Гость», а затем открыть параметр «Сетевой доступ: разрешать анонимный доступ к общим ресурсам» и указать сетевое имя папки в строке (или несколько строк, если папок несколько), имя папки указывается без пути к ней, для диска просто указываем букву без двоеточия. Но в моих экспериментах анонимный доступ (ко всем общим папкам) работает и без этого, хотя это может пригодиться, если анонимный доступ нужно предоставить только для отдельных общих папок.
С этого момента с других компьютеров подключение к общей папке или сетевому диску можно выполнить без ввода логина и пароля (иногда может потребоваться перезагрузка компьютеров). Однако учитывайте, что это не очень хорошо с точки зрения безопасности.
Как настроить общий доступ к папкам и дискам в Windows 10 — видео инструкция
Надеюсь, инструкция оказалась полезной, а у вас всё получилось и общий доступ к папкам работает. Если по какой-то причине подключиться не удается, еще раз учитывайте, что компьютеры должны быть подключены к одной сети и, помимо этого, может оказаться, что общему доступу мешает ваш антивирус или сторонний файрволл.
