Зачем нужно управление пользователями в предприятии windows

Зачем на компьютере нужны разные пользователи

Представьте такое: в семье есть ноутбук, которым пользуются все: папа пишет программы на Go, мама рендерит трёхмерные пространства в Unity, ребёнок учится в школе и играет в Minecraft (не признана экстремистской организацией на момент публикации статьи).

У каждого свои представления, как должен выглядеть и работать комп: что на рабочем столе, какой фон, какие настройки горячих клавиш и т. д. Когда один человек перестаёт пользоваться компьютером, другому нужно всё перенастраивать под себя. Чтобы такого не было, каждому члену семьи нужно сделать отдельные учётные записи.

Что такое учётная запись

Учётную запись можно представить как досье на каждого пользователя компьютера. В него входят:

• все документы этого пользователя;
• его настройка операционной системы — горячие клавиши, фон рабочего стола, оформление окон и др.;
• права доступа к файлам и папкам;
• объекты автозапуска;
• могут быть программы, которыми может пользоваться только этот пользователь;
• и другие технические нюансы.

В современных операционках к учётной записи может быть привязана папка, в которой будут лежать все файлы пользователя. Эту папку можно зашифровать, чтобы другие пользователи не могли подглядывать друг за другом.

Откуда появились пользователи в компьютерах

Первые компьютеры были огромными, занимали площадь примерно со школьный спортзал и были очень дороги в обслуживании. При этом их вычислительные мощности часто простаивали — либо их не могли нагрузить на полную, либо лаборанты не успевали подготовить новые перфокарты или ленты с программами.

Чтобы компьютеры не стояли зря и отрабатывали все вложенные деньги, придумали разделять выполнение программ на уровне пользователей. Проще говоря, компьютеру объяснили, что к нему могут подойти одновременно несколько человек (или по очереди, как было сначала) и каждому нужно выполнить что-то своё, не мешая остальным. Для этого к компьютеру подключили несколько мониторов и клавиатур и добавили разделение пользователей в операционной системе. Получилось, что в любой момент каждый лаборант мог использовать компьютер, не мешая остальным, и система работала на полную мощность.

С тех пор в каждом компьютере есть поддержка множества пользователей, чтобы можно было максимально использовать возможности железа. Даже сейчас можно взять обыкновенный системник, подключить к нему через переходник несколько мониторов с клавиатурами и получить целый компьютерный класс. Мощность, конечно, разделится на всех, но если задачи будут простыми, например отредактировать документ или составить отчёт, то один системный блок справится.

Что это даёт

В бытовом смысле у каждого пользователя появляется своё «хозяйство»: свои документы, программы, настройка, куки, вкладки, история браузера и т. д. Выглядит это так, будто для каждого пользователя открывается собственный компьютер, хотя железо и софт одни и те же.

В некоторой степени это даёт приватность: например, на машинах с UNIX-подобными операционными системами один пользователь не может подглядеть в папку к другому.

В профессиональном смысле это позволяет разграничить права доступа разным пользователям на сервере. Например, у вас может быть системный администратор, который может делать с сервером всё что угодно; а может быть менеджер, который может только загружать отчёты, но не может их скачивать. И может быть гость, который может скачать публичные документы, но не может забрать секретные. Всё это возможно благодаря разделению на пользователей и присвоению им прав.

Как добавить нового пользователя

В Windows 10 для этого заходим в Пуск → Параметры → Учётные записи и нажимаем «Добавить пользователя для этого компьютера»:

Заходим в Параметры → Учётные записи И на вкладке Семья и другие пользователи выбираем «Добавить пользователя для этого компьютера»

Компьютер два раза нам предложит использовать учётные данные Microsoft — от этого можно отказаться, чтобы создать обычного пользователя:

Отказываемся от учётки Microsoft здесь и на следующем шаге В конце появляется окно, где нужно будет ввести имя и пароль для нового пользователя

В Mac OS новый пользователь добавляется так — заходим в системные настройки и выбираем «Пользователи и группы»:

Нажимаем на замок и вводим пароль, чтобы можно было вносить изменения, а потом нажимаем на плюсик, чтобы добавить нового пользователя:

Как компьютер разбирается, что кому можно делать

У каждой учётной записи есть какие-то права: что можно и что нельзя делать в системе. Про права и доступы у нас будет отдельная статья, а пока можно сказать так: операционная система должна не давать залезть на чужую территорию. Если ваши файлы защищены вашей учётной записью, то другой пользователь не должен иметь к ним доступ.

А ещё на компьютере кроме обычных пользователей есть служебные — они работают незаметно и следят за внутренними настройками и параметрами. Про них поговорим в другой раз.

Чем отличается администратор и обычный пользователь Windows

Прежде чем объяснить, в чём разница между обычным пользователем и администратором Windows, давайте посмотрим, как пользователи классифицируются в операционных системах Microsoft.

Windows классифицирует пользователей компьютеров по двум различным типам: стандартная учетная запись и учетная запись администратора. Стандартная учетная запись пользователя имеет ограниченные административные привилегии. Она может использовать большинство программ, но не может изменить системные настройки. Она не может устанавливать или удалять программы и компоненты оборудования, удалять файлы, необходимые для работы компьютера, и вносить изменения, которые влияют на других пользователей или защищают операционную систему.

Аккаунт Администратора имеет полный контроль над компьютером. Он может устанавливать и удалять любую программу, изменять все настройки ПК и вносить изменения в стандартные учетные записи.

Давайте попытаемся понять, в чём разница между обычным пользователем и администратором, объяснив, какие основные действия может выполнять каждый из них.

Что может сделать обычный пользователь Windows

Стандартный пользователь Windows может:

• запустить Windows в безопасном режиме (→ что такое безопасный режим) учетной записи пользователя
• настроить соединение Wi-Fi
• создать, изменить или удалить файлы папки пользователя
• установить обновления с помощью Центра обновления Windows
• изменение параметров персонализации, таких как темы и обои рабочего стола
• изменение параметров питания компьютера
• использование программ, установленных на компьютере
• просмотр настроек брандмауэра Windows

Что может сделать администратор Windows

Пользователь с правами администратора Windows может:

• получать доступ, редактировать или удалять любые файлы, включая файлы других пользователей и скрытые файлы
• делиться файлами и папками
• создавать, изменять или удалять другие учетные записи
• устанавливать разрешения для файлов и папок
• устанавливать права других пользователей
• устанавливать и удалять программы
• устанавливать или удалять драйверы и аппаратные устройства
• изменять настройки, относящиеся к автоматическим обновлениям Центра обновления Windows
• изменять настройки брандмауэра Windows
• включать учетную запись супер-администратора (→ что такое Супер Администратор)

Аккаунты пользователей и безопасность

Разница между обычным пользователем и администратором, в основном, касается возможности выполнять или не выполнять действия, которые могут поставить под угрозу безопасность компьютера.

Даже если мы используем стандартную учетную запись пользователя, можно выполнять действия, требующие административных привилегий. Однако, для этого необходимо указать пароль учетной записи администратора. Если обычный пользователь хочет выполнить административную задачу, Windows запросит пароль администратора, используя управление учетными записями пользователей, прежде чем продолжить.

На этапе установки операционной системы Windows автоматически создает учетную запись пользователя. Эта учетная запись всегда является учетной записью администратора.

Важно: Windows всегда требует наличия учетной записи администратора на компьютере. Если на компьютере есть только одна учетная запись, то это, безусловно, пользователь с правами администратора. Если на компьютере несколько учетных записей, мы можем увидеть, являются ли они обычными пользователями или администраторами.

Как проверить права учетной записи

После объяснения, в чём разница между обычным пользователем и администратором, давайте посмотрим, как определить, какой из них мы используем.

Руководство по лучшим практикам Active Directory

Active Directory является единой точкой аутентификации и авторизации пользователей и приложений в масштабах предприятия. Первоначально AD создавалась, как LDAP -совместимая реализация службы каталогов (англ. Lightweight Directory Access Protocol — «легковесный протокол доступа к каталогам»). Начиная с Windows Server 2008, AD включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль.

Основная цель AD — облегчить системным администраторам работу по администрированию и обслуживанию компьютеров, серверов и сети.

AD необходима для централизованного управления всеми компьютерами в сети. AD хранит сведения об учетных записях пользователей (имена, пароли, контактные данные и т.д.) и позволяет другим уполномоченным пользователям в той же сети получить доступ к этим сведениям, а также проводить манипуляции с пользователями и данными сети.

Что такое контроллер домена

Контроллер домена — это сервер, на котором выполняется роль доменной службы Active Directory Domain Services (AD DS).

Контроллер домена используется для организации локальных вычислительных сетей, обеспечивает централизованное управление аутентификацией и авторизацией (проверяет подлинность и разрешения учетных записей пользователей и компьютеров в сети), правами (определяет, является пользователь сисадмином или обычным пользователем, какие у пользователя права доступа), назначает и применяет политики безопасности и т.д.

Функции контроллера домена:

• Запуск службы каталогов, например Windows Active Directory
• Централизованное управление списком пользователей сети и их правами
• Создание шаблонов настройки компьютеров сети
• Хранение идентификаторов и паролей пользователей
• Проверка подлинности пользователя при входе в сеть (аутентификация)
• Поиск по записям службы каталогов
• Управление политиками безопасности домена

Группы безопасности, учетные записи пользователей и другие основы AD

Операционная система Windows используется на многих предприятиях, соответственно ИТ-специалисты используют Active Directory (AD). Active Directory является неотъемлемой частью архитектуры сети предприятия, позволяя ИТ-специалистам лучше контролировать доступ и безопасность. AD — это централизованная стандартная система, позволяющая системным администраторам автоматически управлять своими доменами, учетными записями пользователей и устройствами (компьютерами, принтерами и т.д.) в сети.

AD имеет решающее значение для ряда функций — она может отвечать за хранение централизованных данных, управление связью между доменами и предоставление безопасных сертификатов. Самое главное — AD дает системным администраторам контроль над паролями и уровнями доступа в их сети для управления различными объектами в системе. В то же время Active Directory может помочь пользователям облегчить доступ к ресурсам в сети.

Структуры в Active Directory

Структуру важно понимать для эффективного администрирования Active Directory, так как правильные методы хранения и организации являются ключом к построению безопасной иерархии. Ниже приведены некоторые основные структурные аспекты управления Active Directory:

• Домены. Домен AD — это совокупность объектов, таких как пользователи или устройства, которые совместно используют политики, и базы данных. Домены содержат идентифицирующую информацию об этих объектах и имеют DNS-имя. Групповая политика может применяться ко всему домену или подгруппам, называемым организационными единицами (OU).
• Деревья. Несколько доменов AD в одной группе называются деревьями. Они совместно используют конфигурацию сети, схему и глобальный каталог. Существует правило доверия с деревьями — когда новый домен присоединяется к дереву, ему сразу же доверяют другие домены в группе.
• Леса. Лес — это группа деревьев, которые совместно используют одну базу данных. Это вершина организационной иерархии в AD. Один лес должен быть использован для каждого отдела. Важно отметить, что администраторы пользователей в одном лесу не могут автоматически получать доступ к другому лесу.

Разница между группой безопасности и группой рассылки

AD состоит из двух основных групп — групп рассылки и групп безопасности.

Группы рассылки — создаются в первую очередь для распространения электронных писем. Они полезны для таких приложений, как Microsoft Exchange или Outlook, и, как правило, позволяют легко добавлять и удалять контакты из одного из этих списков. Нельзя использовать группу рассылки для фильтрации параметров групповой политики, группа не предназначена для работы с предоставлением доступа на ресурсы. По возможности, пользователей следует назначать в группы рассылки, а не в группы безопасности, поскольку членство в слишком большом количестве групп безопасности может привести к замедлению входа в систему.

Группы безопасности — позволяют ИТ-отделу управлять доступом к общим ресурсам, контролируя доступ пользователей и компьютеров. Группы безопасности можно использовать для назначения прав безопасности в сети AD. (Эти группы также можно использовать для рассылки электронной почты.) Каждой группе безопасности назначается набор прав пользователей, определяющих их возможности в лесу. Например, некоторые группы могут восстанавливать файлы, а другие нет.

Эти группы обеспечивают ИТ-контроль над параметрами групповой политики, что означает, что разрешения могут быть изменены на нескольких компьютерах. Разрешения отличаются от прав — они применяются к общим ресурсам в домене. Некоторые группы могут иметь больше доступа, чем другие, когда дело доходит до общих ресурсов.

Что такое области действия групп AD?

«Область действия группы» — это термин, используемый для классификации уровней разрешений каждой группы безопасности.

Microsoft ввела три основных области действия для каждого типа групп в AD:

Универсальная: Используется в лесах из множества доменов. Участники из любого домена могут быть добавлены в универсальную группу безопасности. Эти группы часто используются для определения ролей и управления разрешениями в пределах одного и того же леса или доверенных лесов.

Глобальная: В группу добавляются только учетные записи из того же домена. Глобальные группы относятся главным образом к категоризации пользователей на основе бизнес-ролей. Пользователи часто разделяют аналогичные требования доступа к сети. Эта группа имеет возможность входить в другие глобальные и локальные группы и назначать разрешения для доступа к ресурсам в любом домене.

Локальная в домене: Может применяться везде в домене и часто используется для назначения разрешений на доступ к ресурсам. Стоит отметить, что эти разрешения можно назначать только в том домене, где была создана локальная группа домена нельзя использовать в других доменах. Локальные группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.

Добавляя учетную запись пользователя в группу, вы устраняете административную нагрузку, связанную с обработкой доступа отдельных пользователей. Группы также могут стать членами других групп. Это называется вложенные группы.

Вложенные группы — это полезный способ управления AD на основе бизнес-ролей, функций и правил управления.

Рекомендации для вложенных групп Active Directory

Перед внедрением стратегий вложения обязательно следуйте рекомендациям по вложенным группам Active Directory. Это обеспечит сохранность ваших данных, повысит эффективность и избавит от путаницы.

• Будь в курсе: знание о наследовании разрешений, вероятно, является наиболее важной вещью, которую следует иметь в виду, когда речь идет о вложении групп. Вы можете вкладывать группы на основе иерархии родитель-потомок, поэтому если вы сделаете пользователей группы A членами группы B, пользователи в группе A будут иметь те же разрешения, что и группа B. Это может привести к проблемам, если пользователи в группе B иметь доступ к конфиденциальной информации, к которой пользователи группы А не должны иметь доступ.
• Знай свои имена: Соглашения об именах должны быть в центре внимания при создании групп. Они должны быть очевидны, ссылаясь на название отдела (отдел продаж, маркетинг, отдел кадров и т.д.) и уровень разрешения, которое они имеют. Когда придет время строить свои вложенные группы, скажите спасибо, что у вас есть эта практика.
• Держи локально: Помните, что локальные группы домена используются для управления разрешениями на ресурсы. При вложении групп добавьте учетные записи пользователей в глобальную группу, а затем добавьте эту глобальную группу в локальную группу домена. Глобальная группа будет иметь тот же уровень доступа к ресурсу, что и локальная группа домена.
• Отпусти: ИТ-специалисты не должны отвечать за управление группами. Менеджеры и директора различных отделов, которым принадлежит контент в определенной группе, могут быть уполномочены управлять тем, кто имеет доступ к этой группе.

Рекомендации по группам безопасности Active Directory

В дополнение к советам по управлению вложениями групп необходимо также учитывать множество вещей при управлении группами безопасности:

• Понять, кто и что: важно регулярно оценивать, какие сотрудники имеют доступ и разрешение на какие ресурсы. Большинству сотрудников не нужен высокий уровень доступа к домену. Это то, что называется «правилом привилегий». Правило подчеркивает важность предоставления всем учетным записям пользователей абсолютного минимального уровня разрешений, необходимого для выполнения назначенных им задач. Речь идет не о том, чтобы не доверять своим сотрудникам, а об ограничении распространения потенциальных факторов риска. Вход в систему с привилегированной учетной записью означает, что пользователь может случайно распространить скрытый вирус по всему домену, поскольку у вируса будет административный доступ. Однако, если этот же пользователь использует непривилегированную учетную запись, ущерб будет носить только локальный характер. Соблюдайте принцип привилегий, и вы можете помочь предотвратить потенциальный ущерб.
• Удалить умолчания: AD назначает разрешения и права по умолчанию для основных групп безопасности, таких как операторы учетных записей. Но эти настройки по умолчанию не должны придерживаться. Важно взглянуть и убедиться, что они подходят для вашей компании. Если нет — настраивайте их. Это поможет вам защититься от злоумышленников, которые знакомы с настройками по умолчанию.
• Практика патчинга: плохие новости? Есть много известных уязвимостей (дыр и слабостей) в вашем компьютерном программном обеспечении. Хорошие новости? Патчи могут их исправить.
• Патч — это набор изменений, предназначенных для исправления уязвимостей безопасности и повышения удобства использования и производительности. Потратьте время на изучение того, какие исправления подходят для приложений в вашей сети. Это поможет вам избежать угроз безопасности из-за того, что злоумышленники готовы атаковать эти уязвимости с помощью вредоносного кода.

Рекомендации Active Directory для учетных записей пользователей

С тысячами учетных записей пользователей легко справиться. Лучший способ избежать головной боли — быть активным. Если вы сможете предпринять шаги для обеспечения работоспособности Active Directory — риски нарушения безопасности значительно снизятся.

Несколько рекомендаций по управлению пользователями AD, о которых следует помнить:

• Веди учет: Регулярное удаление ненужных учетных записей пользователей из группы «Администраторы домена» имеет решающее значение. Зачем? Члены этой группы получают доступ к множеству устройств и серверов. Это делает их основной целью для злоумышленников, которые стали экспертами в взломе учетных данных пользователя. Держите количество пользователей в вашей группе администраторов домена на минимальном уровне, чтобы защититься от этой возможности.
• Следи за увольнениями: когда сотрудники уходят, то же самое следует делать и с их учетными записями. Заброшенные учетные записи оставляют бывшим сотрудникам возможность получить доступ к информации, которая по праву не принадлежит им. Они также являются мишенью для хакеров, которые охотятся на неактивные учетные записи в качестве простого способа входа в домен под прикрытием. Проведите комплексную проверку и регулярно вычищайте заброшенные учетные записи. Вы не пожалеете об этом.
• Активный мониторинг: важно иметь актуальную информацию о состоянии ваших лесов. Это гарантирует, что вы предупредите потенциальные проблемы, такие как перебои в обслуживании, и быстро обнаружите уведомления, такие как проблемы с синхронизацией и блокировки учетных записей пользователей. Попрактикуйтесь в отслеживании всплеска попыток ввода неверного пароля пользователя. Часто это сигнализирует о вторжении.
• Реализация политик паролей. Было бы замечательно, если бы AD был настроен так, чтобы пользователи периодически обновляли пароли. К сожалению, это не так, поэтому важно настроить процессы, которые требуют регулярного обновления пароля. Эта профилактическая мера того стоит.

Контрольный список советов и лучших практик Active Directory

Мы собрали рекомендации по группам безопасности Active Directory, рекомендации по учетным записям пользователей Active Directory и рекомендации по вложенным группам Active Directory, но есть также несколько советов и приемов для управления Active Directory в целом.

• Всегда должен быть план «Б»: делаете все возможное, чтобы обеспечить принятие всех мер безопасности, но что произойдет, если ваша AD будет взломана? Разработайте план аварийного восстановления, чтобы вы могли быстро принять меры в эти кризисные моменты. Также разумно регулярно делать резервные копии ваших конфигураций AD.
• Автоматизация: автоматизированные рабочие процессы AD могут сэкономить ваше время. Избавьтесь от трудоемких задач, автоматизировав такие действия, как регистрация и управление запросами. Автоматизация особенно полезна, когда речь идет о принятии профилактических мер по обслуживанию. Стандартизация и оптимизация позволяет минимизировать количество ошибок, которые могут произойти в результате человеческого фактора.
• Удаленная поддержка: реальность такова, что многие устройства и серверы, которые вы обслуживаете, могут быть распределены по зданиям и даже городам. Настройте системы удаленного управления, позволяющие устранять технические проблемы, такие как заблокированные учетные записи пользователей или ошибки репликации, не покидая рабочего места. Это сделает вас и вашу команду более эффективными.
• Будь в курсе: важно держать руку на пульсе вашей сети. Для этого необходимы инструменты мониторинга Active Directory. Они дают вам полное представление о ваших лесах, помогают следить за угрозами безопасности и легко устранять технические неполадки. Сделайте еще один шаг в мониторинге и создайте пользовательские пороги оповещений, которые предлагают уведомления в режиме реального времени, когда что-то не так. Чем раньше вы сможете обнаружить проблему, особенно те, которые могут поставить под угрозу всю вашу безопасность, тем лучше.

Выбор лучших инструментов для безопасности Active Directory

Трудно идти в ногу со всеми лучшими практиками Active Directory. К счастью, вам не нужно идти в одиночку. Существует множество программ, платформ и сервисов, которые помогут вам ориентироваться в этой сложной среде.

Вот несколько наиболее распространенных:

• Анализаторы разрешений: Этот инструмент помогает быстро и легко определить, какие права и группы доступа кому-то назначены. Просто введите имя пользователя, и программное обеспечение предоставит иерархическое представление действующих разрешений и прав доступа, что позволит вам быстро определить, как каждый пользователь получил свои права.
• Менеджеры прав доступа: Внедрение менеджера прав доступа может помочь вам управлять разрешениями пользователей, удостовериться что доступ в нужных руках и предоставить вам возможность отслеживать общую активность вашей AD. Эти инструменты также оснащены интуитивно понятными панелями оценки рисков и настраиваемыми отчетами, что позволяет легко продемонстрировать соответствие нормативным требованиям.
• Платформы мониторинга: программное обеспечение для управления серверами и приложениями позволяет быстро и легко получить снимок общего состояния вашего каталога, а также предоставляет способы углубленного изучения контроллеров домена. Вы можете использовать эти платформы для создания пользовательских порогов оповещений и определения того, что является нормальным для вашего сервера, что позволяет избежать невосприимчивости к оповещениям. Они помогают быть на шаг впереди и принимать превентивные меры.
• ПО для удаленного управления: данное ПО разработано, чтобы помочь вам решить проблемы быстро и из любой точки мира. С помощью удаленного доступа вы можете получить контроль над компьютерами, когда пользователь вошел в систему, что дает вам возможность взглянуть на проблемы, с которыми они сталкиваются. Это дает вам лучшее представление о проблеме.
• Менеджеры автоматизации: эти инструменты довольно просты и часто включают в себя интерфейс интерактивных сценариев для создания повторяющихся процессов. У вас есть много задач, которые нужно выполнять на регулярной основе? Менеджер автоматизации позволит вам свернуть эти задачи в «политику», а затем настроить расписание для этой политики.

Какие атаки может предотвратить Active Directory?

Как видите, Active Directory — это центральный инструмент для управления рядом функций безопасности бизнеса. Существует ряд распространенных атак, которые могут помочь предотвратить хорошие практики Active Directory:

• Атака передачи хэша: эта атака существует уже более десяти лет. Несмотря на то, что данный тип один из самых известных, ему все же удалось нанести значительный ущерб. Используя атаку передачи хэша, злоумышленник извлекает хешированные (более короткие значения фиксированной длины) учетные данные пользователя, чтобы перейти на удаленный сервер. Проще говоря, если злоумышленник добьется успеха с помощью тактики передачи хэша, в вашем процессе аутентификации есть слабость.
• Brute-force: простая, но эффективная атака методом «грубой силы», включает в себя перебор случайных имен пользователей и паролей в быстрой последовательности, чтобы получить доступ к вашей системе. Каковы шансы хакера на успех с помощью этого метода? Больше, чем ты думаешь. Злоумышленники, практикующие грубую силу, используют усовершенствованное программирование для создания триллионов комбинаций за считанные секунды.

Будущее Active Directory

Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.