Как вложить пользователей и группы для разрешений

Опубликовано: 11 Апреля, 2023

Когда вы исследуете группы в Active Directory, вы увидите, что вам есть из чего выбирать. Тип и объем группы, которую вы решите создать, будут зависеть от того, как эта группа может использоваться и где она может использоваться в рамках предприятия. Знание того, как группы Active Directory спроектированы корпорацией Майкрософт, поможет вам разработать надежную групповую стратегию для назначения разрешений. В дополнение к знанию того, как спроектировать свои группы, есть некоторые ловушки с вложением пользователей и групп, которых вы хотите избежать, поскольку эти ловушки создают очень небезопасную среду.


Типы групп и область действия


Когда вы перейдете к интерфейсу «Пользователи и компьютеры Active Directory», чтобы создать несколько групп, вы сразу увидите, что есть много вариантов на выбор. Как видно из рисунка 1, вам нужно выбрать область и тип группы во время создания новой группы.



Изображение 25718
Рисунок 1. Для групп Active Directory необходимо настроить как область действия, так и тип


Понимание специфики этих групп поможет вам спроектировать и определить, какие параметры выбрать для группы, которую вы создаете. Для каждой группы нужно знать, какие объекты она может содержать, а также общее назначение группы.


Что касается области действия группы, вы определяете, где группа должна использоваться в рамках предприятия Active Directory. Ваш выбор группы здесь во многом определяет то, как вы хотите использовать группу в рамках общего назначения разрешений. Прежде чем мы обсудим каждую группу конкретно, общая картина вложенности групп и пользователей выглядит следующим образом:



Пользователи входят в глобальные группы, глобальные группы входят в локальные группы домена, а локальные группы домена перечислены в списке управления доступом (ACL) ресурса.


Если используются универсальные группы, применяются следующие правила вложенности:



Пользователи входят в глобальные группы, глобальные группы входят в универсальные группы, универсальные группы входят в локальные группы домена, а локальные группы домена перечислены в списке управления доступом (ACL) ресурса.


Локальная группа домена — эта область группы предназначена для включения глобальных групп и универсальных групп, хотя она также может содержать учетные записи пользователей и другие локальные группы домена. Если вы хотите следовать шаблону правил логического вложения, вы не будете помещать учетные записи пользователей в локальные группы домена. Когда вы проектируете и создаете локальные группы домена, вы должны учитывать «Для чего группа предназначена делать на ресурсе». Примерами могут быть «Чтение базы данных SQL», «Полный доступ к данным отдела кадров» или «Изменение членства в финансовой группе».



Примечание:
 Локальные группы домена можно увидеть и использовать на контроллерах домена только в том случае, если домен все еще находится в смешанном режиме. Смешанный режим также исключает возможность вложения локальных групп домена в другие локальные группы домена. Это связано с тем, что контроллеры домена NT4 не понимают концепции локальных групп домена, поэтому они просто рассматриваются как локальные группы.


Глобальные группы — эта группа предназначена для содержания учетных записей пользователей. Глобальные группы могут содержать учетные записи пользователей и другие глобальные группы. Глобальные группы предназначены для того, чтобы быть «глобальными» для домена. После того, как вы поместите учетные записи пользователей в глобальные группы, глобальные группы обычно помещаются в локальные группы домена или локальные группы (которые находятся на рядовых серверах в диспетчере учетных записей безопасности (SAM)). При проектировании и создании глобальных групп следует учитывать, «какой тип пользователя принадлежит к этой группе». Примерами могут быть «торговые представители», «менеджеры по персоналу» или «финансовые менеджеры».



Примечание:
 Глобальные группы могут содержать учетные записи пользователей, только если домен находится в смешанном режиме. Подобная вложенность групп недоступна в смешанном режиме из-за устаревших контроллеров домена NT4.


Универсальные группы — эта группа предназначена для включения глобальных групп из нескольких доменов. Универсальные группы предназначены для того, чтобы помочь «группировать» группы в многодоменном предприятии. Универсальные группы могут содержать глобальные группы, другие универсальные группы и учетные записи пользователей. После того, как глобальные группы из разных доменов помещены в универсальную группу, универсальная группа обычно помещается в локальную группу домена или локальную группу. При проектировании и создании универсальных групп вы должны практически копировать концепции глобальной группы, но с точки зрения предприятия. Итак, у вас может быть универсальная группа под названием «Все менеджеры по персоналу» или «Все финансовые менеджеры». В каждой из этих универсальных групп у вас будут «менеджеры по персоналу» или «финансовые менеджеры» из каждого домена в качестве членов.



Примечание:
 Универсальные группы нельзя использовать в качестве групп безопасности, если домен находится в смешанном режиме. Это означает, что их нельзя использовать для управления доступом к ресурсам через разрешения. Опять же, это связано с тем, что контроллеры домена NT4 не понимают концепцию универсальных групп.


Группы безопасности. Этот тип группы имеет уникальную характеристику, состоящую в том, что ему назначен идентификатор безопасности (SID) из Active Directory. Этот SID расширяет функции группы, так что его можно использовать для назначения и управления разрешениями на ресурс. По сути, группы безопасности могут быть размещены в ACL ресурса. Группы безопасности также можно использовать для списков рассылки электронной почты.


Группы рассылки. Этот тип группы имеет ограниченные возможности, поскольку ему не назначен SID. Группы рассылки предназначены для работы с электронной почтой, но не для назначения или управления разрешениями на ресурс.


Группы и пользователи в Windows NT4


В большинстве сред по-прежнему используется старый стиль вложения групп, который применялся в доменах Windows NT4. Это связано с тем, что большинство компаний тем или иным образом мигрировали с Windows NT4 на Active Directory, поэтому групповая модель уже сформировалась. Групповая модель, о которой я говорю, имеет следующую структуру вложения групп и пользователей:



Пользователи входят в глобальные группы, глобальные группы входят в локальные группы, а локальные группы перечислены в списке управления доступом (ACL) ресурса.


Это был единственный вариант по многим причинам. Во-первых, Windows NT4 не поддерживала вложенность подобных групп. Таким образом, глобальные группы не могут быть включены в другие глобальные группы, а также в локальные группы. Во-вторых, SAM домена не включает локальные группы домена, поэтому единственным способом вложения групп из домена было размещение глобальных групп в локальные группы на рядовых серверах, где находится ресурс. В-третьих, каждый домен был отдельным объектом, поэтому не было необходимости рассматривать взаимодействие между доменами в пределах одного и того же каталога, как это делают универсальные группы в Active Directory.


Чего не делать


На самом деле все правила вложенности групп подлежат интерпретации. Я видел, как все варианты реализованы и используются в масштабах всей компании. Пока структура пользователей и групп логична и безопасна, на самом деле нет причин строго следовать методам, «разработанным Microsoft».


Однако есть два разных варианта, которых следует избегать любой ценой. Эти два варианта создают небезопасную среду, которую практически невозможно отследить, устранить неполадки и защитить.



  1. Учетные записи пользователей никогда не должны помещаться в локальные группы. Локальные группы, о которых я говорю, — это локальные группы в локальном SAM рядовых серверов. Когда это сделано, почти невозможно перечислить, в каких локальных группах состоит пользователь, что необходимо для аудита безопасности. Кроме того, когда пользователь переходит с одной рабочей роли на другую, невозможно убедиться, что все «старые ресурсы», к которым у пользователя есть доступ, удалены.
  2. Учетные записи пользователей также не должны помещаться непосредственно в ACL ресурса. Причина этого идентична причинам, перечисленным в первом пункте. Невозможно перечислить ресурсы, к которым у пользователя есть доступ, если пользователь помещен непосредственно в ACL.

Резюме


Использование доменных групп необходимо для администрирования доступа к ресурсам. Знание того, какие группы доступны и назначение группы, является ключом к разработке стратегии группового вложения. Microsoft разработала группы в Active Directory таким образом, чтобы администрирование всех групп могло осуществляться в Active Directory. Однако миграция с Windows NT4 усложнила реализацию желаемой групповой стратегии, которую предоставляет Active Directory. Зная возможности каждой группы, а также ограничения, теперь вы можете разработать стратегию, которая лучше всего подходит для вас. В любом случае убедитесь, что вы не настраиваете пользователей и группы таким образом, чтобы создать проблему безопасности.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023