Безопасность сетей

Управление пользователями


Управление пользователями в системе Windows 2000 является очень важным аспектом безопасности системы и организации в целом. В организации необходимо наличие корректных процедур по определению полномочий каждого нового пользователя. При увольнении сотрудника из организации также необходимо применять соответствующие процедуры, чтобы обеспечить запрет доступа увольняемого сотрудника к системам организации.

Добавление пользователей в систему

При добавлении новых пользователей в систему необходимо следовать процедурам управления пользователями. Эти процедуры должны определять, кто может запрашивать новые учетные записи, и кто может одобрять эти запросы. Новые пользователи добавляются в систему или домен через оснастку Computer Management (Управление компьютером). Выберите элемент Users (Пользователи) из Local Users and Groups (Локальные пользователи и группы). Затем выберите New User (Новый пользователь) из меню Aсtion (Действие) (см. рис. 15.11). Как и в Windows NT, каждый пользователь должен иметь уникальный пользовательский идентификатор и свою собственную учетную запись. Если двум пользователям требуется доступ одинакового уровня, следует создать две учетные записи и разместить их в одной группе. Ни при каких обстоятельствах нельзя присваивать нескольким пользователям один и тот же идентификатор.


Рис. 15.11.  Окно New User (Новый пользователь)

Для каждого идентификатора нового пользователя следует назначить начальный пароль, а также отметить опцию User Must Change Password (Пользователь должен изменить пароль). Это потребует от пользователя смены пароля при первом входе в систему. Ни в коем случае не отмечайте опцию Password Never Expires (Срок действия пароля не ограничен).

Примечание

В организациях не должен использоваться один и тот же пароль для каждой новой учетной записи. Несмотря на то, что таким образом упрощается задача создания новых учетных записей, это обуславливает потенциальную уязвимость систем. Если новая учетная запись создается перед тем, как сотрудник будет принят на работу в организацию, эта запись будет доступна для использования неавторизованными лицами.


Все, что им понадобится для доступа - это стандартный пароль новых пользователей. Рекомендуется использовать надежные и уникальные пароли новых пользователей.

Сразу после создания учетной записи ее следует добавить в соответствующие группы. Это можно сделать следующим образом: перейдите к каждой группе по отдельности, дважды щелкните на ней и нажмите кнопку Add (Добавить) (см. рис. 15.12). В качестве альтернативы щелкните правой кнопкой мыши на вновь созданном пользователе и выберите Properties (Свойства). Откройте вкладку Member Of (Член группы) и добавьте в список соответствующие группы (см. рис. 15.13). Стандартные пользовательские учетные записи не должны входить в состав группы Administrator (Администратор).


Рис. 15.12.  Добавление пользователей в группу с помощью списка групп

Настройка файловых разрешений

Для настройки разрешений файлов и общих местоположений следует использовать группы. Это позволит облегчить управление файловыми разрешениями (в отличие от предоставления отдельным пользователям полномочий на доступ к файлам и общим местоположениям). Убедитесь, что членом группы Guests (Гости) является только учетная запись Guest (Гость), и что учетная запись Guest (Гость) отсутствует во всех остальных группах.

Удаление пользователей из системы

Как и при добавлении пользователей в систему, администраторам необходимо выполнять процедуры по управлению пользователями при удалении пользователей. Когда пользователь покидает организацию, его учетная запись должна немедленно отключаться с помощью утилиты Computer Management (Управление компьютером). Выберите нужного пользователя, щелкните на нем правой кнопкой мыши и выберите Properties (Свойства). Появившееся окно позволит отключить учетную запись. В то же время необходимо изменить пароль на произвольную случайную комбинацию символов. Это предотвратит использование учетной записи пользователем или кем бы то ни было еще.


Рис. 15.13.  Добавление пользователей в группы в окне свойств

Бывает так, что рассматриваемый пользователь имел файлы или полномочия, необходимые организации; его учетная запись должна оставаться отключенной в течение некоторого времени (как правило, 30 дней), чтобы начальник пользователя смог получить доступ к этим файлам и скопировать нужные материалы. Если пользователь использовал файловую систему EFS, то для доступа к файлам можно применять локальную учетную запись Administrator (Администратор). По прошествии 30 дней учетная запись должна быть удалена из системы вместе со всеми файлами и каталогами, принадлежащими учетной записи.

Примечание

В некоторых организациях учетные записи не удаляются и находятся в отключенном состоянии, чтобы выяснить, будет ли кто-нибудь пытаться использовать старую учетную запись. Действия, производимые с учетной записью, обуславливаются процедурами управления пользователями, утвержденными в организации.


Содержание раздела