Дети в семье, как цветы, за ними нужен уход, но когда они вырастут - вы в убытке не останетесь! © Александр Дьяков 1037 - | 855 - или читать все...
Обратная связь Пожаловаться на материал

Удаление пользователя из группы

Настройка групп как шаблоны прав доступа. Часть 2

Управление членством в группах

Новая учётная запись пользователя автоматически помешается в группу Domain Users. Это группа по умолчанию, и в сетях, где не используется других операционных систем, кроме Windows, менять ее не нужно. При использовании других операционных систем руководствуйтесь рекомендациями производителей этих операционных систем. Мы же считаем, что у нас однородная сетевая среда, включающая только компьютеры с Windows. Из группы по умолчанию пользователя удалить нельзя.

Примечание.

Новая учётная запись компьютера автоматически помещается в группу Domain Computers.

Учётная запись как пользователя, так и компьютера, может быть членом любой группы, поскольку группы не подразделяются в зависимости от типа содержащихся в них записей (см., например, системные группы Everyone и Authenticated Users).

По умолчанию членство в доменных группах имеет право изменять только член группы администраторов домена. Эго привилегированная группа с наибольшими полномочиями в своем домене. Если доменное пространство растёт и достигает нескольких сотен пользователей, скорее всего, к тому моменту администраторы сети уже будут иметь достаточно опыта и управление принадлежностью к группе будут рассматривать как обычное дело, которое мог бы выполнить и кто-нибудь менее опытный.

Домен Active Directory даёт возможность свалить эту работу на кого-нибудь другого. Имеет смысл заранее спланировать управление группами и уже при создании домена распределить обязанности по управлению членством между пользователями.

Чтобы передать полномочия по управлению членством в группе одному из состоящих в ней пользователей, выполните следующие действия:

1. Зарегистрируйтесь на SRVR001 как администратор и запустите консоль Active Directory — пользователи и компьютеры. Вызовите окно свойств любой доменной группы и перейдите на вкладку Управляется. Нажав на кнопку Изменить, вы можете ввести или выбрать имя пользователя (но не группы), который будет отвечать за эту группу. После этого в свойствах группы появится указание на того, кто является ее администратором, но у этого пользователя всё ещё нет необходимых полномочий.

2. Для того чтобы дать пользователю эти полномочия, установите флажок Менеджер может изменять членство в группе.

3. Нажав на кнопку ОК, закройте окно свойств группы.

Влияние изменения членства в группе на работу пользователя. Использование «пропуска»

Пользователь может получать разрешение на доступ к ресурсам или прямо (через учётную запись), или через членство в группе. Первый способ не является универсальным решением, и администраторам рекомендуется применять его только в исключительных случаях. Наделение полномочиями групп ведёт к облегчению всего процесса управления и к упрощению системы сети.

Пусть у нас имеется глобальная группа для торгового отдела с именем G Shop, а в сети сейчас работает пользователь Shopl — член этой группы. Пока он работает, мы создаем для торгового отдела новую папку и предоставляем к ней доступ на чтение и запись группе G Shop.

Речь идёт о неоптимальной стратегии А>G<Р, которую мы используем только в целях иллюстрации принципа. 

Создав общую папку, мы объявляем торговому отделу о том, что доступ к ней открыт. Пользователь Shopl немедленно пытается открыть эту папку и терпит неудачу.

Что произошло, ведь Shopl входит в группу, имеющую нужное разрешение? Для ответа на этот вопрос рассмотрим подробнее, как именно происходит проверка полномочий пользователя при попытке доступа к ресурсу.

Создание и использование пропуска

При регистрации пользователя в домене для него на основании данных из учетной записи создастся «пропуск» (security access token). Это внутренняя структура операционной системы, которая формируется в следующем порядке:

1. Контроллер домена, который проводит регистрацию, записывает первую часть пропуска: регистрационное имя пользователя и его идентификационный код (SID).

2. Потом в пропуск записывается список групп, членом которых является данный пользователь. Список глобальных и локальных групп, членом которых является данный пользователь, добавляет контроллер домена, список универсальных групп добавляет сервер глобального каталога.

3. Третью часть пропуска составляет список разрешений данной учётной записи в домене (примером такого разрешения является право изменить системное время). Этот список предоставляет контроллер домена.

Если домен Active Directory под управлением Windows 2000 работает в основном (native) режиме, то для создания пропуска необходим сервер глобального каталога. Если этого сервера нет, то пропуск не будет создан и пользователь не сможет зарегистрироваться. Исключением является случай, когда пользователь ранее работал на этом же компьютере: тогда информация для пропуска будет взята из кэша (если регистрация в домене через кэш не запрещена).

Каждый ресурс в системе имеет свой дескриптор безопасности — «турникет», которому пользователь должен предъявить свой пропуск при каждой попытке доступа к ресурсу. Если пропуск соответствует, то доступ будет разрешен.

Теперь вернемся к пользователю Shopl. Пытаясь открыть вновь созданную папку, он предъявил свой пропуск. Этот пропуск был сформирован,

когда он зарегистрировался в сети, то есть до того, как мы дали его группе разрешение на доступ к папке. Поэтому ему и отказано в доступе.

Теперь, чтобы получить свой законный доступ, пользователь должен завершить сеанс работы и зарегистрироваться заново. Перезагружать компьютер при этом не нужно.

Если бы вы предоставили доступ к новой папке не группе, а непосредственно пользователю (по учетной записи), то он получил бы доступ сразу же, без перерегистрации, поскольку учетная запись присутствует в пропуске всегда. В другую сторону это тоже работает: если вы лишаете доступа к ресурсу конкретного пользователя, то он лишается его сразу. Кстати, это практически единственный случай, когда управлять разрешениями уместно именно через учетную запись, а не через членство в группе.

Если вы хотите закрыть доступ пользователю, являющемуся членом группы, которой дано разрешение на доступ к какой-либо общей папке, у вас есть два пути:

· Закрытие доступа.

· Удаление пользователя из группы.

Обе возможности имеют свои плюсы и минусы, которые мы сейчас рассмотрим.

Закрытие доступа

Запрет некоторой возможности доступа (например, записи) не эквивалентен отсутствию соответствующего разрешения. Если разрешение этой возможности отсутствует (не указано явно), то его значение наследуется от родительской папки. А при явно указанном запрете разрешения родительской папки не играют роли. Таким образом, пользователь имеет разрешение на доступ к ресурсу только в том случае, если доступ ему разрешён и при этом не запрещён.

На вкладке Безопасность в окне свойств папки или файла в поле Разрешения есть столбец Запретить. Чтобы запретить доступ пользователю Shopl, не меняя прав его группы, добавьте этого пользователя в список управления доступом и поставьте флажок в клетке Полный доступ/За- претить. Все разновидности доступа к ресурсу будут для него мгновенно закрыты.

Преимуществом этого способа является его мгновенное действие, причем без всякой помощи со стороны пользователя, а недостатком — некоторое усложнение схемы разрешений в системе. 

Удаление пользователя из группы

Этот способ вы можете применять в том случае, если нужно закрыть пользователю доступ ко всем ресурсам, на которые он имеет право как член группы. Если некоторые ресурсы ему еще нужны, создайте группу, дающую доступ только к ним, и переместите пользователя в нее.

Пусть, например, группа сотрудников торгового отдела (G Shop) через членство в локальной доменной группе XXX получает доступ к папке с договорами, а через членство в локальной доменной группе УУУ — к печати на принтере, и пусть некоего сотрудника уволили. Необходимо немедленно закрыть ему доступ к договорам, но оставить доступ к принтеру, чтобы он смог распечатать результаты своей работы. Если вы удалите его из группы G Shop, то после перерегистрации он потеряет доступ и к папке с договорами, и к сетевому принтеру.

 

Дата добавления: 2021-01-21; просмотров: 54; Мы поможем в написании вашей работы!

Поделиться с друзьями:


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.019)