Учетные записи пользователей, групповые учетные записи и списки контроля доступа
Введение
Один мудрый человек однажды научил меня правильно настраивать списки контроля доступа (ACL), которые я проповедую до сих пор. Однако я обнаружил, что после стольких лет администрирования сети было настолько просто, что многие не следуют этому простому и лучшему методу обеспечения безопасности. Если пользователи и группы не обрабатываются должным образом при предоставлении доступа к ресурсам через списки управления доступом, в ваших сетях может произойти катастрофа. Подумайте об этом так: если вы просто случайно раздаете ключи от своего дома, не отслеживая их, как вы узнаете через год или два, у кого есть ключ от вашего дома? Ответ - вы не будете. Такая же проблема возникает в ваших сетях. Если вы предоставите неправильные разрешения неправильным объектам, вы в конечном итоге не будете знать, кто к чему имеет доступ через год или два. Ущерб, который это может нанести вашим корпоративным данным, почти такой же серьезный, как если бы вы не знали, у кого есть ключи от вашего дома.
Перво-наперво
Нам нужно понять, что я имею в виду под списком контроля доступа (ACL). ACL — это список того, «кто» имеет «какой» доступ к ресурсу. Нам также необходимо понять, что такое определение ресурса в среде Windows. Предположим, что у нас есть домен Active Directory, который расширит наше определение ресурса. Во-первых, ресурс — это все, что имеет ACL. Я знаю, вы никогда не должны определять один термин с другим, который неизвестен. Однако в данном случае другого выхода не так много. Вот полный список объектов предприятия Windows Active Directory с ACL:
- Файлы
- Папки
- Принтеры
- Ключи реестра
- Услуги
- Объекты Active Directory
Итак, что такое ACL? ACL — это список пользователей, групп и компьютеров с определенным уровнем прав доступа к объекту. Чтобы получить доступ к ACL для объекта, вам нужно сначала перейти к свойствам объекта. Обычно это щелчок правой кнопкой мыши. Просто щелкните объект правой кнопкой мыши и выберите в меню «Свойства». Например, ACL для папки System32 на моем ноутбуке показан на рисунке 1.