Объекты групповых политик

Все настройки, которые вы создадите в рамках групповых политик, будут храниться в объектах групповой политики (Group Policy Object, GPO). Объекты групповых политик бывают двух типов: локальный объект групповой политики и объекты групповых политик Active Directory. Локальный объект групповой политики есть на компьютерах под управлением Windows 2000 и выше. Он может быть только один, и это единственный GPO, который может быть на компьютере, не входящем в домен.

Объект групповой политики — это общее название набора файлов, директорий и записей в базе Active Directory (если это не локальный объект), которые хранят ваши настройки и определяют, какие ещё параметры вы можете изменить с помощью групповых политик. Создавая политику, вы фактически создаёте и изменяете объект групповой политики. Локальный объект групповой политики хранится в %SystemRoot%\System32\GroupPolicy. GPO Active Directory хранятся на контроллере домена и могут быть связаны с сайтом, доменом или OU (Organizational Unit, подразделение или организационная единица). Привязка объекта определяет его область действия. По умолчанию в домене создается два объекта групповой политики: Default Domain Policy и Default Domain Controller Policy. В первом определяется политика по умолчанию для паролей и учетных записей в домене. Второй связывается с OU Domain Controllers и повышает настройки безопасности для контроллеров домена.

Создание и назначение групповых политик.
Прежде чем объекты групповой политики могут быть использованы для управления параметрами компьютеров и окружения пользователей они должны быть созданы.
По умолчанию Windows уже имеет локальную политику безопасности, содержащую параметры, настроенные по умолчанию. Аналогично, в каждом домене Active Directory существует две настроенных групповых политики: политика домена и политика контроллеров домена. В домене вы можете создать любое необходимое количество дополнительных групповых политик.

Шаблоны локальных групповых политик.
Локальная групповая политика всегда присутствует на любом компьютере Windows 2000 (и более поздних версий) и не может быть создана по аналогии с доменными объектами групповой политики. Однако, вы имеете возможность применять шаблоны локальной групповой политики, полностью переопределяя параметры, определенные в ней по умолчанию.

Шаблоны политики безопасности содержат только определение параметров политики, связанных с безопасностью. Шаблоны не могут использоваться для настройки остальных параметров политики безопасности.

Работа с шаблонами групповых политик обычно выполняется в следующей последовательности:

• вы подготавливаете необходимые шаблоны безопасности;
• вы применяете шаблоны безопасности, используя утилиту secedit;
• вы перезагружаете политику безопасности, используя утилиту secedit.

Редактор шаблонов групповых политик.
Для редактирования шаблонов групповых политик используется оснастка консоли управления Шаблоны безопасности. Соответствующая консоль управления отсутствует, поэтому вы должны самостоятельно запустить Консоль управления Windows Server 2003 и добавить в нее соответствующую оснастку.

19.Пользователи и группы. Одноранговые и иерархические модели многопользовательских сетей.

Каждый пользователь имеет фиксированный набор закрепленных за ним атрибутов, собственно и составляющий содержание его учетной записи в базе данных. Каких? А давайте подумаем, какие атрибуты пользователю необходимы.

Первый атрибут пользователя — это его имя, именуемое также login. Именно предложение ввести свое пользовательское имя — это первое, что видит пользователь FreeBSD после ее загрузки.

Конечно, не нужно чересчур очеловечивать компьютер (говорят, что они этого не любят). И считать, что он волшебным образом опознает вас по имени, данному при рождении. Нет, имя пользователя — это просто некий набор любых (почти) символов. Конечно, и собственное имя в этом качестве использовать не возбраняется. Ведь единственное общее к нему требование — уникальность. Правда, в некоторых системах существует ограничение на длину login (иногда — не менее M и не более N символов). И обычно принято ограничиваться символами алфавитно-цифровыми. Хотя любителей использовать в именах спецсимволы на форумах тоже хватает. Так что имя пользователя в системе — условно. Более того, для системы имя это абсолютно безразлично. Потому что опознает она пользователя на самом деле не по нему, а по поставленному ему в соответствие числовому идентификатору (UID — User IDentificator). Как правило, это — просто порядковый номер пользовательской учетной записи, причем для обычного пользователя — начиная с некоего минимального числа. Во FreeBSD обычный пользователь, первым зарегистрировавшийся в системе, получает по умолчанию UID, равный 1001: предыдущие номера зарезервированы за системными аккаунтами.

Важнейшим из системных аккаунтов, безусловно, является root. Именно он является хозяином большинства файлов и каталогов за пределами домашних каталогов пользователей. В то же время на него не распространяются никакие ограничения по доступу к файлам и каталогам, принадлежащим другим аккаунтам, как системным, так и пользовательским. За аккаунтом root всегда и везде, в любой Unix-подобной системе (не только во FreeBSD) бронируется идентификатор 0.

Забегая несколько вперёд, отметим ещё два важных системных аккаунта — daemon с идентификатором 1 и operator с идентификатором 2. Первый является хозяином многих системных процессов-демонов, второй же, как мы со временем увидим, имеет отношение к останову системы, выключению машины и её перезагрузке.

Возвращаясь к атрибутам учётной записи, стоит добавить, что и само имя пользователя не обязательно, достаточно, чтобы аккаунт имел уникальный числовой идентификатор. Соответствие же его какому-либо имени обеспечивается не самой системой, а одной из дополнительных (хотя и необходимых) программ (системной библиотекой libc).

Второй атрибут это пароль (password). В качестве какового выступает опять же некая последовательность символов. И совсем не обязательно чисто алфавитно-цифровых — напротив, пущей секретности ради рекомендуется разбавлять их специальными символами, а литеры применять в смеси нижнего и верхнего регистра. Последовательность эту, теоретически рассуждая, никто, кроме пользователя, знать не может. Но которую пользователь должен затвердить, как "Отче наш". Этот пароль являет собой третий непременный атрибут пользователя.

А пока посмотрим, что же происходит после успешного завершения авторизации. Ясно, что пользователь входит в систему не для чего-то там нибудь, а дабы выполнить какие-то действия (немного поработать, например). А для этого ему требуется какая-то рабочая среда. И программа, таковую обеспечивающая, запускается системой после принятия логина и пароля. В подавляющем большинстве случаев такой программой будет так называемая командная оболочка, о чем подробно будет рассказываться в соответствующей главе. Пока же отметим только, что имя исполняемого файла этой командной оболочки (во FreeBSD чаще всего /bin/sh, /bin/csh или /bin/tcsh) и есть следующий атрибут пользовательского аккаунта.

Скорее всего, деятельность пользователя в системе включает в себя ввод и обработку каких-либо данных. Которые нужно куда-то записывать. Поскольку FreeBSD — система многопользовательская по своей сути, данные нашего пользователя не должны путаться с данными других таких же пользователей (и особенно администратора). Из чего следует, что после успешной авторизации наш пользователь должен получить некоторое место для записи своих данных, куда другие, без его дозволения, соваться не моги. И действительно, такое место, именуемое домашним каталогом пользователя — следующий атрибут учетной записи. Обычно это /home/username или /usr/home/username; вне зависимости от реального местонахождения домашнего каталога, он символически обозначается как ~/.

И последнее. Многопользовательская система предполагает не только защиту пользователей от зловредного влияния других пользователей, но и обмен данными между группой пользователей-товарищей. Которая так и называется — группой пользователей, или просто группой. И любой пользователь по умолчанию включается минимум в одну группу — свою собственную, может быть, не имеющую других членов. И имя этой группы, по умолчанию совпадающее с логином пользователя — еще один непременный атрибут его учетной записи.

Как и в случае с именем пользователя, имя группы — лишь одна из метафор, очеловечивающих поля пользовательского аккаунта. И потому в последнем фигурирует, собственно, не имя (например, users), а соответствующий ей численный идентификатор. Опять же аналогично идентификаторам пользователей, это обычно — порядковый номер вновь создаваемой группы. И начальной точкой отсчета выступает некое число. Во FreeBSD номера пользовательских групп начинаются опять-таки с 1001 — все, что меньше, резервируется для системных псевдопользователей. Мы ведь помним, что в отношении последних не допускается никакой дискриминации, и они тоже являются членами всяких разных групп, с которыми мы познакомимся чуть позже.

идентификатор пользователя (UID, User IDentificator) — уникальное число, по которому он и опознается при входе в систему (имя пользователя предназначено исключительно для удобства — то есть учитывает человеческий фактор);

идентификатор группы (GID, Group IDentificator) — столь же уникальное число, определяющее принадлежность пользователя к основной группе; дополнительные группы, к которым пользователь может принадлежать, определяются в файле /etc/group (о чем будет сказано ниже);

общая информация (General information) — поле, в котором указывается реальное его имя и, при желании, иная произвольная о нем информация (обычно адрес, служебный и домашний телефоны);

домашний каталог (Home dir) — подкаталог пользователя в каталоге /home, обычно совпадающий с его username;

Shell — обычно полный путь к исполнимому файлу командной оболочки, запускаемой при регистрации пользователя в системе (т.н. login shell); однако в общем случае это может быть почти любая программа (интерпретатор языка программирования, файловый менеджер, даже текстовый процессор); единственное к ней требование — быть в явном виде указанной в файле /etc/shells.