В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты




НазваниеВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
страница3/10
Дата конвертации11.12.2012
Размер0.97 Mb.
ТипДокументы
1   2   3   4   5   6   7   8   9   10

Создание объектов компьютеров в консоли Active Directory – пользователи и компьютеры

Чтобы создать объект компьютера, или его учетную запись, откройте консоль Active Directory пользователи и компьютеры (Active Directory Users And Computers) и выберите контейнер или ОП, в котором нужно создать объект. В меню Действие (Action) или в контекстном меню выберите команду Создать (New)\Компьютер (Computer). Откроется диалоговое окно Новый объект Компьютер (New Object_Computer),

В окне Новый объект Компьютер (New Object—Computer) введите имя компьютера.

Щелкните Далее (Next). На следующем шаге запрашивается глобально уникальный идентификатор (GUID). GUID используется для предварительной настройки учетной записи компьютера для развертывания системы с помощью служб удаленной установки (Remote Installation Services, RIS). При создании учетной записи компьютера, который будет присоединяться к домену другими способами, вводить GUID не требуется . Поэтому просто щелкните Далее (Next), а затем Готово (Finish).

8. Файлы и папки. Настройка разрешений файловой системы.

Серверы Windows поддерживают детализированный механизм управления доступом к файлам и папкам — разрешения NTFS. Разрешения доступа к ресурсам хранятся в виде записей управления доступом (access control entries, АСЕ) в таблице ACL, которая является частью дескриптора безопасности каждого ресурса. При обращении к ресурсу маркер безопасности доступа пользователя, содержащий идентификаторы защиты (security identifier, SID) учетной записи пользователя и групп, членом которых тот является, сравнивается с идентификаторами SID в АСЕ-записях таблицы ACL. Этот процесс авторизации практически не изменился со времен Windows NT. Тем не менее, детали реализации авторизации, средства управления доступом к ресурсам и специфика настройки доступа изменялись с каждой версией Windows.

Настройка разрешений

Проводник Windows является наиболее распространенным средством управления разрешениями доступа к ресурсам, как на локальном томе, так и на удаленном сервере. В отличие от общих папок, Проводник позволяет настраивать разрешения локально и удаленно.

Редактор таблицы управления доступом

Как и в предыдущих версиях Windows, для настройки безопасности файлов и папок на любом томе NTFS нужно щелкнуть ресурс правой кнопкой, в контекстном меню выбрать Свойства (Properties) [или Общий доступ и безопасность (Sharing And Security)] и перейти на вкладку Безопасность (Security). Открывшееся диалоговое окно может называться по-разному: Разрешения (Permissions), Параметры безопасности (Security Settings), вкладка Безопасность (Security) или Редактор таблицы управления доступом (редактор ACL). Независимо от названия оно выглядит одинаково

До появления Windows 2000 разрешения были довольно простыми, но в Windows 2000 и последующих версиях Microsoft предоставила более гибкие и мощные способы управления доступом к ресурсам. Мощь добавила сложности, и теперь редактор ACL состоит из трех диалоговых окон.

Первое диалоговое дает общую картину настроек безопасности и разрешений для ресурса и позволяет выбрать отдельную учетную запись, для которой определен доступ, чтобы просмотреть шаблоны разрешений, назначенные этому пользователю, группе или компьютеру. Каждый шаблон в этом окне — совокупность разрешений, которые вместе обеспечивают некий типичный уровень доступа. Например, чтобы пользователь мог прочитать файл, необходимо предоставить несколько разрешений низкого уровня. Чтобы скрыть эту сложность, вы можете применить шаблон Чтение и выполнение (Read & Execute), а ОС сама настроит нужные разрешения доступа к файлу или папке.

Чтобы более подробно изучить данную таблицу ACL, щелкните кнопку Дополнительно (Advanced), откроется второе окно редактора ACL — Дополнительные параметры безопасности для Docs (Advanced Security Settings For Docs) Здесь

перечислены конкретные записи управления доступом, назначенные данному файлу или папке. Сведения в этом перечне максимально приближены к реальной информации, которая хранится в самой таблице ACL. Второе диалоговое окно позволяет также настраивать аудит, управлять правами владения и определять действующие разрешения.

Если выбрать разрешение в списке Элементы разрешений (Permission Entries) и щелкнуть Изменить (Edit), откроется третье диалоговое окно редактора ACL. В окне Элемент разрешения для Docs (Permission Entry For Docs), показанном на рис. 6_6, перечислены подробные, наиболее детализированные разрешения, которые составляют элемент разрешений в списке Элементы разрешений (Permissions Entries) во втором диалоговом окне и в списке Разрешения для (Permissions For) в первом окне.

Оснастка Общие папки (Shared Folders) также позволяет открыть редактор ACL. Откройте свойства общей папки и перейдите на вкладку Безопасность (Security).

9. Понятие IIS. Администрирование служб IIS.

Для снижения риска атаки на системы Windows Server 2003 служба IIS по умолчанию не устанавливается. Ее нужно добавить с помощью мастера Установка компонентов Windows (Add/Remove Windows Components) из приложения Установка и удаление программ (Add Or Remove Programs) в Панели управления. Щелкните Сервер приложений (Application Server), затем Состав (Details) и установите флажок напротив Службы IIS [Internet Information Services (IIS)]. Мастер позволяет управлять установкой отдельных компонентов IIS,

При установке IIS создается стандартный Web-узел, позволяющий легко и быстро реализовать Web-среду, которую затем можно изменить. Windows Server 2003 содержит средства управления службой IIS и ее узлами.

После завершения установки откройте консоль Диспетчер служб IIS [Internet Information Services (IIS) Manager] из группы программ Администрирование (Administrative Tools). По умолчанию службы IIS настроены на работу только со статическим содержимым. Чтобы активировать динамическое содержимое, выберите узел Расширения веб-службы (Web Service Extensions). Изначально все расширения отключены Выберите нужное расширение и щелкните кнопку Разрешить (Allow).

Ниже перечислены основные процессы, которые происходят при обращении клиента к ресурсу IIS.

• Клиент вводит URL в одной из следующих форм:

http://dns.имя.домена/виртуальный_каталог/страница.htm

или

ftp://dns.имя.домена/виртуальный_каталог

• Служба DNS (Domain Name Service) преобразует введенное имя в IP-адрес и возвращает его клиенту.

• Клиент подключается к серверу, используя полученный адрес и характерный длслужбы порт (обычно с номером 80 для HTTP и с номером 21 для FTP).

• URL содержит не физический путь к ресурсу на сервере, а его виртуализацию. Сервер преобразует входящий запрос в физический путь и передает соответствующие ресурсы клиенту. Например, сервер может передать список файлов в искомой папке FTP-клиенту или домашнюю страницу http-клиенту.

• Этот процесс можно защитить с помощью механизмов проверки подлинности (заставив пользователей предоставлять имя и пароль) и авторизации (управляя доступом посредством разрешений).

Чтобы увидеть, как работает этот процесс, откройте браузер и введите http://server01.

Сервер передаст браузеру страницу В процессе разработки (Under Construction).

Настройка и управление Web- и FTP-узлами

При установке IIS настраивается единственный Web_узел — Веб_узел по умолчанию (Default Web Site). Хотя IIS в зависимости от аппаратной конфигурации сервера может хранить тысячи или десятки тысяч узлов, даже стандартный Веб-узел по умолчанию позволяет изучить функции и способы администрирования Web-узлов средствами IIS. Чтобы обратиться к этому Web-узлу, откройте обозреватель и введите http://server01.contoso.com. Будет отображена страница В процессе разработки (Under Construction).

Помните, что запрос браузера к Web-серверу направляется по IP-адресу сервера, который зарегистрирован в DNS для указанного URL. URL включается в запрос и часто содержит только имя узла (например www.microsoft.com). Каким образом сервер получает домашнюю страницу? Изучив вкладку Веб-узел (Web Site) в окне свойств Web-узла по умолчанию вы увидите, что для данного узла в списке выбора IP-адреса указано Значения не присвоены (AD Unassigned) и задан порт 80. Так что запрос достигает порта 80 на сервере, который определяет, что запрос обращен к узлу Веб-узел по умолчанию (Default Web Site).

Тогда возникает следующий вопрос: какую информацию нужно вернуть? Если URL содержит только имя узла (например www.microsoft.com или server01.contoso.com), то нужная страница извлекается из домашнего каталога. Вкладка Домашний каталог (Ноте Directory), показанная на рис. 6_18, указывает физический путь к домашнему каталогу (обычно C:\inetpub\wwwroot).
Какой именно файл следует вернуть клиенту? Это определяется на вкладке Документы (Documents), Служба IIS ищет файлы в указанном порядке. Как только файл с указанным именем по локальном пути к домашнему каталогу найден, запрошенная страница возвращается клиенту и сервер прекращает поиск остальных соответствий. Если страницу не удается найти, IIS возвращает клиенту ошибку 404 — Файл не найден (File Not Found).

Браузер мог бы, конечно, сослаться в URL на конкретную страницу, например

http://server01.contoso.com/contactinfo.htm. Тогда указанная страница извлекается из домашнего каталога. Если она не найдена, сервер возвращает ошибку 404 — Файл не найден (File Not Found).

Чтобы создать Web-узел, откройте консоль IIS Manager, щелкните узел Веб-узлы (Web Sites) или существующий Web-узел правой кнопкой и выберите Создать Веб-узел (Web Site). Чтобы настроить Web-узел, откройте окно его свойств. Вы можете настроить IP-адрес данного узла. Если серверу назначено несколько IP-адресов, каждый из них может представлять отдельный Web-узел. Несколько узлов можно также разместить, используя несколько портов или заголовков узла. Особенности этих методов здесь не обсуждаются. Кроме того, вы можете настроить путь к домашнему каталогу, а также изменить список или порядок документов, которые возвращаются в качестве стандартной страницы.

URL может содержать более сложную информацию о пути, например http://www.microsoft.com/windowsserver2003. Этот URL не запрашивает конкретную страницу, поскольку в конце адреса нет расширения .htm или .asp. Вместо этого он запрашивает информацию из каталога windowsserver2003. Сервер воспринимает эту дополнительную часть URL как виртуальный каталог. Папка, содержащая файлы, на которую ссылаются по имени windowsserver2003, может находиться где угодно, в том числе и на

другом сервере. Чтобы создать виртуальный каталог, щелкните Web-узел правой кнопкой и выберите Создать (New)\Виртуальный каталог (Virtual Directory). Мастер предложит ввести псевдоним, который можно будет указывать как папку в URL, и физический путь к соответствующему ресурсу на локальном томе или на удаленном сервере.

Подготовка к экзамену Виртуальный Web-каталог на диске NTFS можно создать в окне свойств папки, настроив соответствующие параметры на вкладке Доступ через веб (Web Sharing). FTP-узлы работают и управляются аналогично Web-узлам. IIS устанавливает один

FTP-узел — FTP-узел по умолчанию (Default FTP Site) — и настраивает его, чтобы тот отвечал на все входящие FTP-запросы, поступающие на порт 21. FTP-узел возвращает клиенту список файлов в папке, указанной на вкладке Домашний каталог (Ноте Directory). FTP-узлы также могут содержать виртуальные каталоги, например запросы по адресам ftp://server01.contoso.com/pub и ftp://server01.contoso.com/vendor_uploads могут возвращать ресурсы с разных серверов. Служба FTP не поддерживает документы по умолчанию.

Мощные IIS_серверы могут содержать десятки тысяч узлов, каждый со своими особыми параметрами. Потеря всей этой конфигурационной информации может быть болезненной: обычное архивирование файловой системы при сбое позволит восстановить файлы данных, но конфигурация будет утеряна. Для защиты конфигурации IIS необходимо заархивировать или восстановить метабазу — XML-документ, в котором хранятся параметры конфигурации. Щелкните узел сервера в IIS Manager правой кнопкой и выберите Все задачи (All Tasks)\Архивирование и восстановление конфигурации (Backup/Restore Configuration).

Защита файлов в IIS

Защиту файлов, к которым обращаются через IIS, можно разделить на несколько категорий: проверка подлинности, авторизация через NTFS-разрешения и IIS-разрешения. Проверка подлинности — это процесс анализа реквизитов, предоставленных в форме имени пользователя и пароля. По умолчанию все запросы к IIS выполняются от имени пользователя с учетной записью IUSR-имя-компьютера. Прежде чем ограничивать доступ пользователей к ресурсам, необходимо создать локальные или доменные учетные записи и настроить проверку более высокого уровня, чем стандартная анонимная проверка подлинности.

Настройка методов проверки подлинности

Методы проверки подлинности, которые можно настроить на вкладке Безопасность каталога (Directory Security) в окне свойств сервера, Web- или FTP-узла, виртуального каталога или файла, описаны в следующих разделах.

Варианты проверки подлинности средствами Web

Анонимная проверка подлинности. Пользователи могут получить доступ к открытой области Web-узла, не указывая имя пользователя и пароль.

Обычная проверка подлинности. Требует, чтобы у пользователя была локальная или доменная учетная запись. Реквизиты передаются открытым текстом.

Краткая проверка подлинности. Аналог обычной проверки с дополнительной защитой передаваемых по сети реквизитов пользователя. Краткая проверка подлинности полагается на протокол HTTP 1.1.

Расширенная краткая проверка подлинности. Работает, только когда учетная запись пользователя хранится в Active Directory. Подразумевает получение и хранение реквизитов пользователей на контроллере домена. Расширенная краткая проверка требует, чтобы пользователь работал с Internet Explorer версии 5 или выше по протоколу HTTP 1.1.

Встроенная проверка подлинности Windows. Получает информацию посредством безопасной формы проверки подлинности (иногда называемой проверкой Windows NT типа «запрос-ответ»), при которой имя пользователя и пароль хэшируются перед передачей по сети.

Проверка подлинности по сертификату. Добавляет защиту SSL (Secure Sockets Layer), благодаря использованию сертификатов сервера, клиента или обеих сторон. Этот вариант доступен, только когда на компьютере установлены и настроены Службы сертификации (Certificate Services).

Проверка подлинности в системе .NET Passport. Предоставляет единую службу входа через SSL, перенаправление HTTP, файлы cookies, Microsoft JScript и стойкое шифрование симметричным ключом.

Варианты проверки подлинности средствами FTP

Анонимная проверка подлинности. Пользователи могут получить доступ к открытой области FTP_узла, не указывая имя пользователя и пароль.

Обычная проверка подлинности. Требует, чтобы пользователь ввел имя и пароль, которые соответствуют действительной учетной записи Windows.

Настройка доступа к ресурсам с помощью разрешений

Когда проверка подлинности настроена, назначают разрешения доступа к файлам и папкам. Разрешения NTFS — наиболее распространенный способ управления доступом к ресурсам через IIS. Поскольку разрешения NTFS назначают файлу или папке, они действуют независимо от способа доступа к ресурсу. IIS также назначает разрешения узлам и виртуальным каталогам. В отличие от разрешений NTFS, которые определяют некий уровень доступа для существующих учетных записей пользователей или групп Windows, разрешения безопасности каталога, назначенные узлу или виртуальному каталогу, распространяются на всех пользователей и групп.

В табл. 6_2 подробно описаны уровни Web-разрешений.





Разрешения Выполнение (Execute) регулируют уровень безопасности выполнения сценариев (табл. 6_3).
1   2   3   4   5   6   7   8   9   10

Похожие:

В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconВ ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты
Предлагается в 32 разрядном, 64 разрядном и встроенном (embedded) вариантах. Четыре редакции ос, которые перечислены ниже в порядке...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconУчетные записи пользователей Создание объектов пользователей в консоли Active Directory — пользователи и компьютеры
Ть объект пользователя можно в консоли Active Directory — пользователи и компьютеры. Хотя их можно создавать в домене или в любом...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconПрежде чем работать и детально изучать какую-то нам необходимо понимать ее суть, выучить и опять же понять все основные термины, а самое главное разложить в
«тонут» в терминах, встречающихся в документации. Посудите сами «Лес Active Directory, Дерево Active Directory, Схема Active Directory,...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconМониторинг и поддержка Active Directory в этой главе
Повседневный мониторинг и поддержка обязательны для оптимизации про- изводительности и надежности Active Directory. Active Directory...
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты icon37. Групповые политики, функции и назначения. Объекты групповой политики. Назначение групповых политик для задач администрирования. Групповая политика
Сервер имен специальный сервер, осуществляющий отображение доменных имен в ip-адреса (и наоборот)
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconСлужба шлюза управления Active Directory
Удаление службы шлюза управления Active Directory с серверов с системой Windows Server 2003 4
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconМедиакомпоненты для сайта
В процессе эволюции Интернета появлялись все новые и новые средства мультимедиа. 
В ней новые функции Active Directory, новые средства, поддерживающие популярные, но сложные объекты групповой политики (огп), улучшения корпоративной защиты iconНовые впечатления, новые открытия, новые знакомые, 
Кто-то записался на курсы в  из пластилина персонажей, делать серии снимков, записы
Разместите кнопку на своём сайте:
kak.znate.ru


База данных защищена авторским правом ©kak.znate.ru 2012
обратиться к администрации
KakZnate
Главная страница