Занятие 2. Планирование
учетных записей пользователей
(Продолжительность занятия
30 минут)
Прежде чем создавать учетные
записи, Вам необходимо сформулировать свои требования к пользователям, учитывая
принятый в Вашей сети уровень защиты — так называемую учетную стратегию.
На этом занятии Вы познакомитесь с принципами формирования учетной стратегии
в сетях с низким, средним и высоким уровнями защиты.
Изучив материал этого занятия,
Вы сможете:
- перечислить пяить составляющих
эффективной учетной стратегии;
- спланировать стратегию
регистрации новых пользователей;
- объяснить, как требования
к паролям влияют на степень безопасности;
- описать назначение и
варианты расположения домашних каталогов пользователей.
Основные правила планирования
новых учетных записей
Чтобы упростить администрирование
и обеспечить уровень защиты, требуемый для Вашей организации, учитывайте следующие
правила.
- Соглашение об именах.
Используйте уникальные и содержательные имена учетных записей пользователей.
- Требования к паролям.
Используйте режимы усиления парольной защиты. Например, решите, может ли пользователь
менять собственный пароль лишь иногда, или он должен это делать регулярно.
- Часы регистрации.
Выберите интервал времени, в течение которого пользователи могут регистрироваться
в системе.
- Ограничение на места
работы. Составьте список компьютеров под управлением Windows NT, на которых
разрешено работать пользователю. По умолчанию это может быть любая рабочая
станция.
- Местонахождение домашнего
каталога. Выберите место для размещения домашних каталогов пользователей
на локальном компьютере или на сервере. Размещение на сервере позволяет централизованно
управлять данными и архивировать их.
Соглашение
об именах
Соглашение об именах устанавливает,
как пользователи будут называться при работе в сети. Разумные правила облегчат
и Вам, и самим пользователям запоминание имен и их поиск в различных списках.
Вырабатывая соглашение
об именах, обдумайте следующие моменты.
- Учетные имена пользователей
должны быть уникальны: глобальные учетные записи — в рамках домена, локальные
— на соответствующем компьютере.
- Имена пользователей
могут содержать до 20 любых символов в верхнем или нижнем регистре, кроме
символов '' [] ; : ¦ = , + * ? < > . Можно также использовать
комбинации букв, цифр и специальных символов.
- Если в Вашей организации
много пользователей, подумайте, что делать с именами сотрудников-тезок. Возможны
следующие решения:
- использовать имя
и несколько букв фамилии; например, если в штате фирмы два Ивана Петрова,
то имя учетной записи первого может быть ИванП, а второго — ИванПе;
- воспользоваться порядковыми
номерами, например ИванП1 и ИванП2.
- В больших организациях
удобно помечать учетные записи временных сотрудников. Например, воспользуйтесь
для этой цели префиксом В- (В-ИванП).
Требования
к паролям
Следующий элемент учетной
стратегии— выработка требований к паролям пользователей. Пароль необходим каждой
учетной записи, поскольку он защищает домен или компьютер от несанкционированного
доступа. Это особенно важно в сетях со средним и высоким уровнем безопасности
и для сетей, подключенных к Интернету. Разрабатывая стратегию парольной защиты,
имейте в виду следующее.
- Учетная запись Administrator
(Администратор) обязательно должна быть защищена паролем, чтобы предотвратить
неавторизованный доступ к ее возможностям.
- Решите, кто будет управлять
паролями. Возможно несколько вариантов:
- назначить пользователю
пароль и запретить его изменение (в этом случае управление паролями возлагается
на администратора);
- назначить пароль,
но потребовать, чтобы пользователь изменил его при первой регистрации
в системе (в этом случае учетная запись всегда защищена, а пароль известен
только владельцу учетной записи; здесь управление паролями возложено на
пользователя).
- Решите, нужно ли задавать
срок действия учетной записи. Для внештатных сотрудников ограничьте этот срок
временем действия контракта или трудового соглашения.
- Порекомендуйте пользователям
приведенные ниже правила выбора паролей для защиты от хакеров.
- Не использовать очевидные
ассоциации, например имя члена семьи или любимого домашнего животного.
- Не использовать в
составе пароля учетное имя пользователя.
- Применять длинные
пароли — пароль может содержать до 14 символов.
- Пароли чувствительны
к регистру символов, поэтому можно использовать символы в верхнем и нижнем
регистрах. Например, пароль SeCret отличается от пароля secret.
- Включать в пароль цифры.
Часы
регистрации
По умолчанию пользователь
может подключаться к серверу в течении 24 часов семь дней в неделю. Чтобы повысить
уровень защиты сети, ограничивайте время регистрации пользователя. Это полезно,
например, в следующих случаях:
- если часы регистрации
входят в список требований защиты (например, в сети государственного
учреждения);
- если работа на предприятии
— многосменная.
Ограничение
на рабочие места
По умолчанию любой пользователь
с действующей учетной записью может работать в сети с любого компьютера, где
установлена ОС Windows NT. Если на локальном компьютере в сети с высокими требованиями
к защите размещены конфиденциальные данные, ограничьте возможность регистрации
пользователей на этом компьютере.
Местонахождение
домашнего каталога
В домашнем каталоге пользователь
хранит свои файлы и программы. Домашний каталог полезен тем, что служит отправной
точкой поиска файлов пользователя. Каждому пользователю следует назначить свой
домашний каталог. Домашний каталог пользователя становится папкой, используемой
по умолчанию, при выполнении Windows NT или программой следующих действий:
- открытия файла с помощью
пункта Open (Открыть) меню File (Файл);
- сохранения файла с
помощью пункта Save As (Сохранить как...) меню File (Файл);
- запуска сеанса командной
строки.
Если Вы не назначите пользователю
домашний каталог, по умолчанию им будет папка Users\Default локального компьютера.
Домашний каталог может
быть размещен как на сетевом сервере, так и на локальном компьютере пользователя.
Размещение домашних
каталогов на сервере
При размещении домашних
каталогов на сервере надо обязательно учитывать некоторые особенности.
- Архивирование и восстановление
данных. Одна из важнейших задач администратора — предотвращение потери
данных. Когда файлы расположены на сервере, гораздо легче обеспечить их резервное
копирование и восстановление. Если домашние каталоги пользователей размещены
на локальных компьютерах, Вам придется регулярно архивировать файлы на каждом
компьютере.
- Место на сервере.
Достаточно ли места на жестких дисках сервера для пользовательских данных?
Имейте в виду: Windows NT не позволяет ограничить объем доступного каждому
пользователю дискового пространства.
- Защита. В любой
сети легче обеспечить безопасность данных при их централизованном хранении.
- Применение RAS uлu
совместное использование компьютеров. Если пользователи подключаются к
сети с помощью службы дистанционного доступа (Remote Access Service, RAS)
или используют компьютеры совместно, их данные в домашних каталогах, размещенных
на сервере, доступны с любой рабочей станции сети.
Размещение домашних
каталогов на компьютерах пользователей
Вам не обязательно централизованно
хранить данные — Вы можете создать каждому пользователю домашний каталог на
его компьютере. При локальном размещении домашних каталогов нужно учесть некоторые
особенности.
- Пространство на дисках
пользовательских компьютеров. Если на локальных дисках достаточно места
и централизованное архивирование данных не нужно, разместите домашние каталоги
на компьютерах пользователей.
- Быстродействие.
Если домашний каталог пользователя размещен на его собственном компьютере,
трафик в сети заметно уменьшается.
>
Планирование новых учетных записей
Предположим, компания «Разноимпорт»
ежегодно принимает на работу 300 новых сотрудников. Примерно 20 из них взяты
на работу по контракту — на один год, остальные зачислены в постоянный штат.
Каждому пользователю требуется собственная учетная запись.
Вам как сетевому администратору
компании «Разноимпорт» нужно зарегистрировать сотрудников Квебекского филиала.
В данном упражнении Вам придется зарегистрировать только 9 учетных записей.
Запишите свои соображения
в «Шаблон планирования учетных записей», приведенный в конце этого занятия.
Заметьте, что колонка «Описание» содержит название должности каждого из 9 сотрудников.
Выполнив упражнение, обратитесь к приложению «Шаблоны планирования» и сравните
свой результат с образцом. Образец содержит один из возможных вариантов ответа;
учетные записи можно спланировать и иначе.
Вы должны занести в «Шаблон
планирования учетных записей» следующие сведения.
- Укажите полное имя
каждого из пользователей и запишите его в колонку «Полное имя» (кроме случаев,
когда имена уже указаны).
- Разработайте свое соглашение
об именах. Затем по нему определите учетное имя каждого пользователя и запишите
его в колонку «Учетная запись».
- Обратите внимание, что
в колонку «Описание» уже занесены должности сотрудников.
- Разработайте требования
к паролю каждого из пользователей и перечислите их в колонке «Требования к
паролю».
- В колонке «Местонахождение
домашнего каталога» укажите один из двух вариантов: локальный компьютер или
сервер.
- В колонке «Время работы»
запишите допустимые часы регистрации для каждого пользователя (например, 24/7,
если пользователю разрешено регистрироваться круглые сутки 7 дней в неделю).
- В колонке «Допустимые
рабочие места» укажите «Да», если работа пользователя с разных машин будет
ограничена и «Нет» — в противном случае.
ответ
Заполняя шаблон, помните
о некоторых тонкостях.
- У двоих сотрудников
совпадают имена: и вице-президента, и торгового консультанта ночной смены
зовут Лариса Михайлова.
- Постоянным сотрудникам
нужно разрешить менять свои пароли.
- Управление паролями
временных сотрудников в целях безопасности возлагается на администратора.
- Каждому сотруднику нужен
домашний каталог. Все каталоги следует архивировать каждую ночь.
- Постоянные сотрудники,
работающие в ночную смену, должны иметь доступ в сеть с 6 вечера до 6 утра.
- Постоянные сотрудники,
работающие в дневную смену, должны иметь доступ в сеть круглосуточно 7 дней
в неделю.
- Временные сотрудники
должны иметь возможность регистрации только с назначенных им компьютеров
с 8 утра до 5 вечера.
Резюме
- Составляющих эффективной
учетной политики пять: соглашение об именах, требования к паролям, местоположение
домашнего каталога, время работы и допустимые места работы.
- Обязательно назначайте
пароли всем пользователям.
- В сетях со средними
и высокими требованиями к защите, а также при подключении локальной сети к
Интернету обяжите пользователей применять длинные пароли, состоящие из букв
в разных регистрах и цифр. Научите пользователей избегать очевидных ассоциаций
при выборе пароля.
- В сетях с высокими требованиями
к безопасности ограничивайте часы работы пользователя в сети.
- Если на компьютере
размещены конфиденциальные данные, ограничьте список пользователей, которые
могут регистрироваться на этом компьютере.
- Назначьте пользователям
домашние каталоги для хранения данных.
- Если Вы хотите упростить
процесс архивирования и сопровождения конфиденциальных данных, назначьте пользователям
домашние каталоги на сервере.
Шаблон планирования
учетных записей
Соглашение об именах:_______________
|
Полное
имя
|
Учетная запись
|
Описание
|
Требования к паролю
|
Местонахождение
домашнего каталога
|
Время работы
|
Допустимые места
работы
|
|
Лариса
Михайлова
|
|
Вице-президент
|
|
|
|
|
|
|
|
Директор по кадрам
|
|
|
|
|
|
|
|
Менеджер по продажам
|
|
|
|
|
|
|
|
Торговый
представитель
|
|
|
|
|
|
Лариса Михайлова
|
|
Торговый консультант
(ночное время)
|
|
|
|
|
|
|
|
Торговый консультант
(дневное время)
|
|
|
|
|
|
|
|
Главный бухгалтер
|
|
|
|
|
|
|
|
Бухгалтер
|
|
|
|
|
|
|
|
Временный сотрудник
|
|
|
|
|
Используются технологии
uCoz