Rozdział 2
Jeśli potrzebne jest natychmiastowe rozwiązanie: [Author ID1: at Tue Oct 3 02:15:00 2000
] [Author ID1: at Tue Oct 3 02:16:00 2000
]zobacz na stronie:
Obsługa standardów otwartych (open standards)
Obsługa standardowych formatów nazw
Zastosowanie interfejsów API
Zastosowanie programu Windows Scripting Host
Możliwości rozbudowy
Zastosowanie zabezpieczeń rozproszonych
Zastosowanie rozszerzeń E[Author ID1: at Tue Oct 3 02:16:00 2000
]e[Author ID1: at Tue Oct 3 02:16:00 2000
]dytora założeń grupowych (Group Policy E[Author ID1: at Tue Oct 3 20:39:00 2000
]e[Author ID1: at Tue Oct 3 20:39:00 2000
]ditor) dotyczących ustawień zabezpieczeń
Analiza domyślnych ustawień kontroli dostępu
Analiza członkostwa w grupach domyślnych
Przełączanie pomiędzy kontekstami użytkownika
Synchronizowanie komputerów po aktualizacji systemu z domyślnymi ustawieniami zabezpieczeń
Zastosowanie przystawki (snap-[Author ID1: at Tue Oct 3 02:16:00 2000
]-[Author ID1: at Tue Oct 3 02:16:00 2000
]in) Szablony zabezpieczeń (Security [Author ID1: at Tue Oct 3 20:42:00 2000
]security [Author ID1: at Tue Oct 3 20:42:00 2000
]Templates[Author ID1: at Tue Oct 3 20:42:00 2000
]templates[Author ID1: at Tue Oct 3 20:42:00 2000
])
Edytor listy kontroli dostępu (Access Control List)
W skrócie
Active Directory w systemie Windows 2000
Zwykle [Author ID1: at Tue Oct 3 02:25:00 2000
]Na ogół [Author ID1: at Tue Oct 3 02:25:00 2000
]sieci komputerowe w wielkich przedsiębiorstwach składają się z zespołu serwerów wewnętrznych przeznaczonych [Author ID1: at Tue Oct 3 02:26:00 2000
]dla użytkowników, serwerów dla najważniejszych danych, dla [Author ID1: at Tue Oct 3 02:27:00 2000
]intranetu, ze strefą zastrzeżoną i otwartą,[Author ID1: at Tue Oct 3 02:27:00 2000
] oraz z [Author ID1: at Tue Oct 3 02:30:00 2000
]publicznej witryny internetowej. Administratorzy muszą mieć możliwość obserwowania całej sieci z jednego miejsca, ustawiania ograniczeń, aby zabezpieczyć się przed nieautoryzowanym dostępem do danych kluczowych,[Author ID1: at Tue Oct 3 02:30:00 2000
] oraz wykonywania replikacji danych, tak a[Author ID1: at Tue Oct 3 02:31:00 2000
]by dostęp do nich był kontrolowany. Ten [Author ID1: at Tue Oct 3 02:31:00 2000
]dostęp do danych potrzebny jest [Author ID1: at Tue Oct 3 02:32:00 2000
]U[Author ID1: at Tue Oct 3 02:32:00 2000
]u[Author ID1: at Tue Oct 3 02:32:00 2000
]żytkownikom,[Author ID1: at Tue Oct 3 02:32:00 2000
] potrzebny jest dostęp do danych [Author ID1: at Tue Oct 3 02:32:00 2000
]nawet jeśli nie są pewni, w którym katalogu,[Author ID1: at Tue Oct 3 02:32:00 2000
] czy wręcz[Author ID1: at Tue Oct 3 02:32:00 2000
]a nawet w którym[Author ID1: at Tue Oct 3 02:32:00 2000
] serwerze te [Author ID1: at Tue Oct 3 02:33:00 2000
]dane są zapisane. Zarządzający firmą chcą znów [Author ID1: at Tue Oct 3 02:33:00 2000
]ponownie chcą [Author ID1: at Tue Oct 3 02:33:00 2000
]mieć pewność, że usługi katalogowe,[Author ID1: at Tue Oct 3 02:33:00 2000
] w granicach sieci i systemu operacyjnego,[Author ID1: at Tue Oct 3 02:34:00 2000
] będą działały, a ich zakres będzie się rozszerzał wraz z rozwojem sieci. Usługi katalogowe Active Directory firmy Microsoft spełniają te wymagania,[Author ID1: at Tue Oct 3 02:35:00 2000
] a dodatkowo jeszcze [Author ID1: at Tue Oct 3 02:35:00 2000
]umożliwiają[Author ID1: at Tue Oct 3 02:36:00 2000
] stosowanie zabezpieczeń rozproszonych i replikację pomiędzy wszystkimi kontrolerami domeny (multimaster replication).
Protokoły i formaty obiektów (object formats) obsługiwane przez Active Directory są miarą otwartości (openness) usług katalogowych,[Author ID1: at Tue Oct 3 02:37:00 2000
] —[Author ID1: at Tue Oct 3 02:37:00 2000
] tzn. miarą [Author ID1: at Tue Oct 3 02:38:00 2000
]stopnia dostępności katalogów dla tych klientów, dla których nie zostały one [Author ID1: at Tue Oct 3 02:38:00 2000
]wprost przeznaczone. Ale[Author ID1: at Tue Oct 3 02:39:00 2000
]Jednakże[Author ID1: at Tue Oct 3 02:39:00 2000
] pożądany stopień otwartości (openness) stwarza [Author ID1: at Tue Oct 3 02:39:00 2000
]niesie ze sobą kłopoty [Author ID1: at Tue Oct 3 02:39:00 2000
]dla administratora [Author ID1: at Tue Oct 3 02:39:00 2000
]problemy[Author ID1: at Tue Oct 3 02:39:00 2000
]. Jeśli sieć jest otwarta dla wielu klas użytkowników,[Author ID1: at Tue Oct 3 02:40:00 2000
] —[Author ID1: at Tue Oct 3 02:40:00 2000
] użytkowników z firm współpracujących oraz dla użytkowników[Author ID1: at Tue Oct 3 02:40:00 2000
]tych[Author ID1: at Tue Oct 3 02:40:00 2000
], którzy nie mają w domenie [Author ID1: at Tue Oct 3 02:40:00 2000
]kont w domenie [Author ID1: at Tue Oct 3 02:40:00 2000
]ani haseł,[Author ID1: at Tue Oct 3 02:41:00 2000
] —[Author ID1: at Tue Oct 3 02:41:00 2000
] wtedy [Author ID1: at Tue Oct 3 02:41:00 2000
]wówczas [Author ID1: at Tue Oct 3 02:41:00 2000
]bezpieczeństwo może zostać zakwestionowane[Author ID1: at Tue Oct 3 02:41:00 2000
]staje się kwestią dyskusyjną[Author ID1: at Tue Oct 3 02:41:00 2000
]. Sieć można rozbudowywać,[Author ID1: at Tue Oct 3 02:42:00 2000
] i[Author ID1: at Tue Oct 3 02:42:00 2000
] można [Author ID1: at Tue Oct 3 02:42:00 2000
]w miarę rozwoju firmy tworzyć domeny potomne (child domains), ale kontekst bezpieczeństwa (security context) ochraniający najważniejsze dane musi pozostać w określonych granicach. Administrowanie będzie delegowane — pojedyncza osoba nie jest [Author ID1: at Tue Oct 3 02:42:00 2000
]będzie [Author ID1: at Tue Oct 3 02:42:00 2000
]w stanie administrować siecią przedsiębiorstwa działającego na skalę światową — ale zakres uprawnień administratorów lokalnych nie powinien obejmować dostępu do najważniejszych danych,[Author ID1: at Tue Oct 3 02:43:00 2000
] znajdujących się poza strefą przez nich administrowaną. Ponadto należy pamiętać, że[Author ID1: at Tue Oct 3 02:43:00 2000
]Co [Author ID1: at Tue Oct 3 02:43:00 2000
]jeszcze ważniejsze[Author ID1: at Tue Oct 3 02:44:00 2000
] administratorzy lokalni nie powinni mieć uprawnień do nadawania prawa dostępu do takich informacji [Author ID1: at Tue Oct 3 02:45:00 2000
]tym[Author ID1: at Tue Oct 3 02:46:00 2000
]innym[Author ID1: at Tue Oct 3 02:45:00 2000
] [Author ID1: at Tue Oct 3 02:46:00 2000
]użytkownikom, nie będącym administratorami, [Author ID1: at Tue Oct 3 02:44:00 2000
]prawa dostępu do takich informa[Author ID1: at Tue Oct 3 02:45:00 2000
]cji[Author ID1: at Tue Oct 3 02:45:00 2000
].[Author ID1: at Tue Oct 3 02:46:00 2000
] użytkownikom[Author ID1: at Tue Oct 3 02:45:00 2000
], którzy nie są administratorami.[Author ID1: at Tue Oct 3 02:46:00 2000
]
Wymaganie[Author ID1: at Tue Oct 3 02:47:00 2000
]ogi[Author ID1: at Tue Oct 3 02:47:00 2000
] dotyczące zabezpieczeń rozproszonych (distributed security), potrzeba ustanowienia stref i granic bezpieczeństwa (security zones and boundaries) oraz istota sieci międzynarodowych, łączących wiele domen i organizacji,[Author ID1: at Tue Oct 3 02:47:00 2000
] są uwzględnione przez usługi katalogowe Active Directory systemu Windows 2000.
Przestrzeń nazw (namespace) Active Directory
Active Directory jest połączeniem internetowego pojęcia [Author ID1: at Tue Oct 3 02:51:00 2000
]rozumienia [Author ID1: at Tue Oct 3 02:51:00 2000
]przestrzeni nazw (namespace) z usługami katalogowymi systemu operacyjnego. Dlatego[Author ID1: at Tue Oct 3 02:51:00 2000
] [Author ID1: at Tue Oct 3 02:54:00 2000
]nie jest zaskoczeniem [Author ID1: at Tue Oct 3 02:55:00 2000
]fakt,[Author ID1: at Tue Oct 3 02:54:00 2000
]Nie jest żadnym zaskoczeniem,[Author ID1: at Tue Oct 3 02:54:00 2000
] że —[Author ID1: at Tue Oct 3 02:54:00 2000
] dla administrowania Active Directory — [Author ID1: at Tue Oct 3 02:54:00 2000
]systemem lokalizującym (locator) jest system nazw domen (Domain Name System [Author ID1: at Tue Oct 3 02:48:00 2000
]-[Author ID1: at Tue Oct 3 02:48:00 2000
]— [Author ID1: at Tue Oct 3 02:48:00 2000
]DNS). Ale[Author ID1: at Tue Oct 3 02:56:00 2000
]Jednak[Author ID1: at Tue Oct 3 02:56:00 2000
] nie jest to ten sam [Author ID1: at Tue Oct 3 02:59:00 2000
]system, który administratorzy pamiętający [Author ID1: at Tue Oct 3 02:59:00 2000
]od [Author ID1: at Tue Oct 3 02:59:00 2000
]dawne[Author ID1: at Tue Oct 3 02:59:00 2000
]a[Author ID1: at Tue Oct 3 02:59:00 2000
] czasy poznali i pokochali[Author ID1: at Tue Oct 3 02:59:00 2000
]znają i wykorzystują[Author ID1: at Tue Oct 3 02:59:00 2000
]. W systemie Windows NT,[Author ID1: at Tue Oct 3 03:00:00 2000
] poprzez połączenie DNS z usługą WINS (Windows Internet Naming Service), [Author ID1: at Tue Oct 3 03:00:00 2000
]rozwiązano wiele problemów występujących w [Author ID1: at Tue Oct 3 02:59:00 2000
]starej, statycznej wersji DNS przez połączenie DNS z usługą WINS (Windows Internet Naming Service)[Author ID1: at Tue Oct 3 03:00:00 2000
]. W systemie Windows 2000 nastąpiła całkowita integracja, dzięki czemu[Author ID1: at Tue Oct 3 03:01:00 2000
] i[Author ID1: at Tue Oct 3 03:01:00 2000
] dynamiczny DNS (d[Author ID1: at Wed Oct 4 02:01:00 2000
]D[Author ID1: at Wed Oct 4 02:01:00 2000
]ynamic DNS — [Author ID1: at Tue Oct 3 03:01:00 2000
]— [Author ID1: at Tue Oct 3 03:01:00 2000
]DDNS) umożliwia klientom, mającym dynamicznie przydzielone [Author ID1: at Tue Oct 3 03:01:00 2000
]którzy mają [Author ID1: at Tue Oct 3 03:02:00 2000
]adresy [Author ID1: at Tue Oct 3 03:02:00 2000
]przydzielone dynamicznie[Author ID1: at Tue Oct 3 03:01:00 2000
], na[Author ID1: at Tue Oct 3 03:03:00 2000
] bezpośrednie rejestrowanie się na serwerze DNS i bieżące [Author ID1: at Tue Oct 3 03:03:00 2000
]aktualizowanie tabeli DNS na bieżąco[Author ID1: at Tue Oct 3 03:04:00 2000
], bez korzystania z WINS.
Protokół LDAP (Lighweight Directory Access Protocol) jest głównym protokołem używanym w Active Directory. Protokół ten może przekraczać granice systemu operacyjnego, łącząc różne przestrzenie nazw (namespaces). Dzięki jego [Author ID1: at Tue Oct 3 03:05:00 2000
]zastosowaniu moż[Author ID1: at Tue Oct 3 03:08:00 2000
]liwe jest[Author ID1: at Tue Oct 3 03:09:00 2000
] zarządza[Author ID1: at Tue Oct 3 03:08:00 2000
]nie[Author ID1: at Tue Oct 3 03:09:00 2000
] [Author ID1: at Tue Oct 3 03:08:00 2000
]tego protokołu [Author ID1: at Tue Oct 3 03:05:00 2000
]można również traktować zarówno [Author ID1: at Tue Oct 3 03:06:00 2000
]katalogi[Author ID1: at Tue Oct 3 03:08:00 2000
]ami[Author ID1: at Tue Oct 3 03:08:00 2000
] programów użytkowych,[Author ID1: at Tue Oct 3 03:06:00 2000
] jak i katalogi[Author ID1: at Tue Oct 3 03:08:00 2000
]ami[Author ID1: at Tue Oct 3 03:08:00 2000
] z innych sieciowych systemów operacyjnych,[Author ID1: at Tue Oct 3 03:06:00 2000
] co pozwala na obniżenie kosztów ogólnych administrowania i kosztów związanych z utrzymywaniem wielu przestrzeni nazw oraz [Author ID1: at Tue Oct 3 03:09:00 2000
]można traktować[Author ID1: at Tue Oct 3 03:06:00 2000
] je [Author ID1: at Tue Oct 3 03:10:00 2000
]jako jeden katalog uniwersalny oraz zarządzać nimi[Author ID1: at Tue Oct 3 03:10:00 2000
], co pozwala na obniżenie kosztów ogólnych administrowania [Author ID1: at Tue Oct 3 03:09:00 2000
]oraz [Author ID1: at Tue Oct 3 03:08:00 2000
]kosztów związanych z utrzymywaniem wielu przestrzeni nazw (namespaces)[Author ID1: at Tue Oct 3 03:09:00 2000
]. [Author ID1: at Tue Oct 3 03:10:00 2000
]
Usługi katalogowe Active Directory nie są zgodne ze standardem X.500 i [Author ID1: at Tue Oct 3 03:11:00 2000
]. Z[Author ID1: at Tue Oct 3 03:11:00 2000
]z[Author ID1: at Tue Oct 3 03:11:00 2000
]amiast ni[Author ID1: at Tue Oct 3 03:11:00 2000
]t[Author ID1: at Tue Oct 3 03:11:00 2000
]ego wykorzystują protokół LDAP jako protokół dostępu (access protocol), jak i[Author ID1: at Tue Oct 3 03:12:00 2000
] [Author ID1: at Tue Oct 3 03:13:00 2000
]i[Author ID1: at Tue Oct 3 03:12:00 2000
] realizują model informacyjny standardu X.500 (X.500 information model),[Author ID1: at Tue Oct 3 03:12:00 2000
] nie dbając o dodatkowe elementy tego standardu. Dzięki ich stosowaniu[Author ID1: at Tue Oct 3 03:15:00 2000
]W wyniku[Author ID1: at Tue Oct 3 03:15:00 2000
],[Author ID1: at Tue Oct 3 03:15:00 2000
] uzyskano[Author ID1: at Tue Oct 3 03:15:00 2000
]uje się[Author ID1: at Tue Oct 3 03:15:00 2000
] wysoki poziom współdziałania (interoperability),[Author ID1: at Tue Oct 3 03:15:00 2000
] koniecznego[Author ID1: at Tue Oct 3 03:15:00 2000
]y[Author ID1: at Tue Oct 3 03:15:00 2000
] do administrowania niejednorodnymi [Author ID1: at Tue Oct 3 03:16:00 2000
]sieciami, które są niejednorodne[Author ID1: at Tue Oct 3 03:17:00 2000
].
Tradycyjnie usługi katalogowe są narzędziami do organizowania, zarządzania i lokalizowania w systemie komputerowym obiektów,[Author ID1: at Tue Oct 3 06:51:00 2000
] [Author ID1: at Tue Oct 3 03:20:00 2000
], [Author ID1: at Tue Oct 3 03:19:00 2000
]takich jak:[Author ID1: at Tue Oct 3 03:17:00 2000
] drukarki, dokumenty, adresy poczty elektronicznej, bazy danych, użytkowników, składników rozproszonych i innych zasobów. Jednak, gdy[Author ID1: at Tue Oct 3 03:20:00 2000
] w miarę jak[Author ID1: at Tue Oct 3 03:20:00 2000
] sieć staje się coraz większa i bardziej skomplikowana, usługi katalogowe muszą zapewnić zestaw zaawansowanych usług do zarządzania (management services). Active Directory stworzono,[Author ID1: at Tue Oct 3 03:21:00 2000
] by sprostać wymaganiom dotyczącym unifikacji i uporządkowania zmiennych hierarchii serwerów i przestrzeni nazw (namespaces)[Author ID1: at Wed Oct 4 02:01:00 2000
].
Active Directory jako usługodawca
Oprócz tradycyjnych [Author ID1: at Tue Oct 3 03:22:00 2000
]podstawowych [Author ID1: at Tue Oct 3 03:22:00 2000
]zadań dotyczących [Author ID1: at Tue Oct 3 03:22:00 2000
]administrowania,[Author ID1: at Tue Oct 3 03:23:00 2000
] usługi[Author ID1: at Tue Oct 3 03:23:00 2000
] katalogowe[Author ID1: at Tue Oct 3 03:23:00 2000
]ych[Author ID1: at Tue Oct 3 03:23:00 2000
] Active Directory zaspokajają[Author ID1: at Tue Oct 3 03:23:00 2000
] wymagania dotyczące [Author ID1: at Tue Oct 3 03:24:00 2000
]odnoszące się do: [Author ID1: at Tue Oct 3 03:24:00 2000
]nazw, kwerend (queries[Author ID1: at Tue Oct 3 03:25:00 2000
]y[Author ID1: at Tue Oct 3 03:25:00 2000
]), administrowania, rejestrowania oraz rozpoznawania nazw (resolution). Na rysunku 2.1.[Author ID1: at Tue Oct 3 03:25:00 2000
][Author ID2: at Mon Aug 13 12:29:00 2001
] przedstawiono [Author ID1: at Tue Oct 3 03:25:00 2000
]w skrócie przedstawiono [Author ID1: at Tue Oct 3 03:25:00 2000
]wszystkie funkcje systemu.
Exchange Mail[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:26:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:26:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
][Author ID0: at Thu Nov 30 00:00:00 1899
]
Submit Mail[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:26:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:26:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Wyślij[Author ID0: at Thu Nov 30 00:00:00 1899
]syłanie[Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
] poczt[Author ID0: at Thu Nov 30 00:00:00 1899
]y[Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]ę[Author ID0: at Thu Nov 30 00:00:00 1899
]
Mail Client[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Klient poczty[Author ID0: at Thu Nov 30 00:00:00 1899
]
Referral[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]o[Author ID0: at Thu Nov 30 00:00:00 1899
]O[Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]desłanie[Author ID0: at Thu Nov 30 00:00:00 1899
]
Recipient Lookup[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:28:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Wyszukiwanie odbiorcy[Author ID0: at Thu Nov 30 00:00:00 1899
]
Address Book[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Książka adresowa[Author ID0: at Thu Nov 30 00:00:00 1899
]
http/https Server[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Serwer http/https[Author ID0: at Thu Nov 30 00:00:00 1899
]
Admin/Browse[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Admin/Przeglądanie[Author ID0: at Thu Nov 30 00:00:00 1899
]
Register Service[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Rejestruj[Author ID0: at Thu Nov 30 00:00:00 1899
]owanie[Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
] usługę[Author ID0: at Thu Nov 30 00:00:00 1899
]i[Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
][Author ID0: at Thu Nov 30 00:00:00 1899
]
Security[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Zabezpieczenia[Author ID0: at Thu Nov 30 00:00:00 1899
]
Credential Management[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Zarządzanie danymi uwierzytelniającymi[Author ID0: at Thu Nov 30 00:00:00 1899
]
Query[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:30:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Zapytania (kwerendy)[Author ID0: at Thu Nov 30 00:00:00 1899
]
Dynamic Services[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Usługi dynamiczne[Author ID0: at Thu Nov 30 00:00:00 1899
]
Replication[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Replikacja[Author ID0: at Thu Nov 30 00:00:00 1899
]
Dir[Author ID0: at Thu Nov 30 00:00:00 1899
]ectory Service[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]-[Author ID0: at Thu Nov 30 00:00:00 1899
]— [Author ID1: at Tue Oct 3 03:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Usługa katalogowa[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.1.[Author ID1: at Tue Oct 3 03:31:00 2000
] Active Directory jako usługodawca.[Author ID1: at Tue Oct 3 03:31:00 2000
]
W celu rozszerzenia zakresu usług na wiele przestrzeni nazw (namespaces) Active Directory,[Author ID1: at Tue Oct 3 03:31:00 2000
] zastosowano zintegrowany zestaw protokołów i [Author ID1: at Tue Oct 3 03:31:00 2000
]interfejsów API, [Author ID1: at Tue Oct 3 03:31:00 2000
] i protokołów [Author ID1: at Tue Oct 3 03:31:00 2000
]aby rozszerzyć zakres usług na wiele przestrzeni nazw (namespaces) oraz do [Author ID1: at Tue Oct 3 03:32:00 2000
]zbierania[Author ID1: at Tue Oct 3 03:32:00 2000
]ć[Author ID1: at Tue Oct 3 03:32:00 2000
] i przedstawiania[Author ID1: at Tue Oct 3 03:32:00 2000
]ć[Author ID1: at Tue Oct 3 03:32:00 2000
] informacje[Author ID1: at Tue Oct 3 03:32:00 2000
]i[Author ID1: at Tue Oct 3 03:32:00 2000
] o katalogach,[Author ID1: at Tue Oct 3 03:32:00 2000
] i[Author ID1: at Tue Oct 3 03:32:00 2000
] zasobach różnych systemów operacyjnych oraz [Author ID1: at Tue Oct 3 03:32:00 2000
]i [Author ID1: at Tue Oct 3 03:32:00 2000
]w miejscach oddalonych. Dostępnych jest wiele obiektów COM (Component Object Model),[Author ID1: at Tue Oct 3 03:32:00 2000
] a dzięki programowi Windows Scripting Host (WSH) administrator ma wydajny, łatwy w użyciu interfejs do uruchamiania skryptów obiektowych (object-[Author ID1: at Tue Oct 3 03:33:00 2000
]-[Author ID1: at Tue Oct 3 03:33:00 2000
]oriented scripts). Struktura Active Directory umożliwia dopasowanie jej do wielkości firmy od najmniejszych,[Author ID1: at Tue Oct 3 03:33:00 2000
] aż do korporacji międzynarodowych i administracji państwowej.
Bezpieczeństwo Active Directory
Jak opisano w rozdziale 1.[Author ID1: at Tue Oct 3 03:34:00 2000
], struktura Active Directory składa się z jednostek organizacyjnych (Organizational Units — [Author ID1: at Tue Oct 3 03:34:00 2000
]— [Author ID1: at Tue Oct 3 03:34:00 2000
]OUs), w których umieszczane są obiekty,[Author ID1: at Tue Oct 3 06:51:00 2000
] takie jak:[Author ID1: at Tue Oct 3 03:35:00 2000
] użytkownicy, grupy, zasoby,[Author ID1: at Tue Oct 3 03:35:00 2000
] itd. Ustawienia zabezpieczeń zdefiniowane są wewnątrz O[Author ID1: at Tue Oct 3 03:37:00 2000
]O[Author ID1: at Tue Oct 3 03:37:00 2000
]biektów założeń [Author ID3: at Wed Aug 1 12:49:00 2001
]Założeń [Author ID3: at Wed Aug 1 12:49:00 2001
]grupowych[Author ID3: at Wed Aug 1 12:49:00 2001
] [Author ID3: at Wed Aug 1 12:49:00 2001
]Grupowych[Author ID3: at Wed Aug 1 12:49:00 2001
] [Author ID3: at Wed Aug 1 12:49:00 2001
](Group Policy Objects — [Author ID1: at Tue Oct 3 03:35:00 2000
]— [Author ID1: at Tue Oct 3 03:35:00 2000
]GPOs). Konfiguracje dla grup użytkowników i komputerów w obiektach założeń grupowych ([Author ID1: at Tue Oct 3 22:38:00 2000
]GPOs)[Author ID1: at Tue Oct 3 22:38:00 2000
] tworzone są za pomocą przystawki (snap-in) E[Author ID1: at Tue Oct 3 03:37:00 2000
]E[Author ID1: at Tue Oct 3 03:37:00 2000
]dytor założeń [Author ID3: at Wed Aug 1 12:49:00 2001
]Założeń [Author ID3: at Wed Aug 1 12:49:00 2001
]grupowych[Author ID3: at Wed Aug 1 12:49:00 2001
] [Author ID3: at Wed Aug 1 12:49:00 2001
]Grupowych[Author ID3: at Wed Aug 1 12:49:00 2001
] [Author ID3: at Wed Aug 1 12:49:00 2001
](Group Policy E[Author ID1: at Tue Oct 3 20:39:00 2000
]e[Author ID1: at Tue Oct 3 20:39:00 2000
]ditor) konsoli MMC (Microsoft Management Console). Z kolei [Author ID1: at Tue Oct 3 03:36:00 2000
]O[Author ID1: at Tue Oct 3 03:36:00 2000
]o[Author ID1: at Tue Oct 3 03:36:00 2000
]biekty GPOs[Author ID1: at Tue Oct 3 22:35:00 2000
] z kolei [Author ID1: at Tue Oct 3 03:36:00 2000
]są związane z wybranymi obiektami Active Directory,[Author ID1: at Tue Oct 3 06:51:00 2000
] takimi jak:[Author ID1: at Tue Oct 3 03:36:00 2000
] lokacje (sites), domeny i jednostki organizacyjne (OUs). Założenia grupowe [Author ID3: at Wed Aug 1 12:50:00 2001
]Grupowe [Author ID3: at Wed Aug 1 12:50:00 2001
](Group Policies[Author ID1: at Tue Oct 3 15:59:00 2000
]y[Author ID1: at Tue Oct 3 15:59:00 2000
]) omówiono szczegółowo z rozdziale 3.
Rozszerzenie U[Author ID1: at Tue Oct 3 03:37:00 2000
]u[Author ID1: at Tue Oct 3 03:37:00 2000
][Author ID3: at Wed Aug 1 12:50:00 2001
]U[Author ID3: at Wed Aug 1 12:50:00 2001
]stawienia zabezpieczeń[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
](Security [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:03:00 2001
]S[Author ID3: at Tue Jul 31 01:03:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:40:00 2000
]Settings [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:03:00 2001
]S[Author ID3: at Tue Jul 31 01:03:00 2001
]ettings [Author ID1: at Tue Oct 3 20:40:00 2000
]e[Author ID1: at Tue Oct 3 03:37:00 2000
]e[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:03:00 2001
]E[Author ID3: at Tue Jul 31 01:03:00 2001
]xtension) E[Author ID1: at Tue Oct 3 03:37:00 2000
]E[Author ID1: at Tue Oct 3 03:37:00 2000
]dytora założeń [Author ID3: at Wed Aug 1 12:50:00 2001
]Założeń [Author ID3: at Wed Aug 1 12:50:00 2001
]grupowych[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
]Grupowych[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
](Group Policy Editor[Author ID1: at Tue Oct 3 20:39:00 2000
]editor[Author ID1: at Tue Oct 3 20:39:00 2000
]) można użyć do określenia konfiguracji zabezpieczeń dla grup użytkowników lub grup komputerów w obiektach GPOs[Author ID1: at Tue Oct 3 22:35:00 2000
]. Konfiguracja ta jest następnie egzekwowana jako część założeń grupowych [Author ID1: at Wed Oct 4 02:02:00 2000
](Group Polic[Author ID1: at Wed Oct 4 02:01:00 2000
]y[Author ID1: at Tue Oct 3 15:59:00 2000
])[Author ID1: at Wed Oct 4 02:02:00 2000
].
Rozszerzenie u[Author ID1: at Tue Oct 3 03:38:00 2000
][Author ID3: at Wed Aug 1 12:50:00 2001
]U[Author ID3: at Wed Aug 1 12:50:00 2001
]U[Author ID1: at Tue Oct 3 03:38:00 2000
]stawienia zabezpieczeń[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
](Security [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:04:00 2001
]S[Author ID3: at Tue Jul 31 01:04:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:40:00 2000
]Settings [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:04:00 2001
]S[Author ID3: at Tue Jul 31 01:04:00 2001
]ettings [Author ID1: at Tue Oct 3 20:40:00 2000
]Extension[Author ID1: at Tue Oct 3 20:40:00 2000
]e[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:04:00 2001
]E[Author ID3: at Tue Jul 31 01:04:00 2001
]xtension[Author ID1: at Tue Oct 3 20:40:00 2000
]) stanowi dopełnienie istniejących narzędzi do [Author ID1: at Tue Oct 3 03:38:00 2000
]zabezpieczania[Author ID1: at Tue Oct 3 03:38:00 2000
]jących[Author ID1: at Tue Oct 3 03:38:00 2000
] system,[Author ID1: at Tue Oct 3 06:51:00 2000
]u[Author ID1: at Tue Oct 3 03:38:00 2000
] takich jak:[Author ID1: at Tue Oct 3 03:38:00 2000
] E[Author ID1: at Tue Oct 3 03:38:00 2000
]E[Author ID1: at Tue Oct 3 03:38:00 2000
]dytor listy [Author ID3: at Wed Aug 1 12:50:00 2001
]Listy [Author ID3: at Wed Aug 1 12:50:00 2001
]kontroli [Author ID3: at Wed Aug 1 12:50:00 2001
]Kontroli [Author ID3: at Wed Aug 1 12:50:00 2001
]dostępu[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
]Dostępu[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
](Access Control List Editor[Author ID1: at Tue Oct 3 20:39:00 2000
]e[Author ID1: at Tue Oct 3 20:39:00 2000
][Author ID3: at Tue Jul 31 01:04:00 2001
]E[Author ID3: at Tue Jul 31 01:04:00 2001
]ditor[Author ID1: at Tue Oct 3 20:39:00 2000
]), M[Author ID1: at Tue Oct 3 03:38:00 2000
]M[Author ID1: at Tue Oct 3 03:38:00 2000
]enedżer użytkowników [Author ID3: at Wed Aug 1 12:50:00 2001
]Użytkowników [Author ID3: at Wed Aug 1 12:50:00 2001
]lokalnych[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
]Lokalnych[Author ID3: at Wed Aug 1 12:50:00 2001
] [Author ID3: at Wed Aug 1 12:50:00 2001
](Local [Author ID1: at Tue Oct 3 20:40:00 2000
]l[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:04:00 2001
]L[Author ID3: at Tue Jul 31 01:04:00 2001
]ocal [Author ID1: at Tue Oct 3 20:40:00 2000
]User [Author ID1: at Tue Oct 3 20:40:00 2000
]u[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:05:00 2001
]U[Author ID3: at Tue Jul 31 01:05:00 2001
]ser [Author ID1: at Tue Oct 3 20:40:00 2000
]Manager[Author ID1: at Tue Oct 3 20:40:00 2000
]m[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:05:00 2001
]M[Author ID3: at Tue Jul 31 01:05:00 2001
]anager[Author ID1: at Tue Oct 3 20:40:00 2000
]) oraz M[Author ID1: at Tue Oct 3 03:39:00 2000
]M[Author ID1: at Tue Oct 3 03:39:00 2000
]enedżer serwera[Author ID3: at Wed Aug 1 12:51:00 2001
] [Author ID3: at Wed Aug 1 12:51:00 2001
]Serwera[Author ID3: at Wed Aug 1 12:51:00 2001
] [Author ID3: at Wed Aug 1 12:51:00 2001
](Server [Author ID1: at Tue Oct 3 20:39:00 2000
]s[Author ID1: at Tue Oct 3 20:39:00 2000
][Author ID3: at Tue Jul 31 01:05:00 2001
]S[Author ID3: at Tue Jul 31 01:05:00 2001
]erver [Author ID1: at Tue Oct 3 20:39:00 2000
]Manager[Author ID1: at Tue Oct 3 20:39:00 2000
]m[Author ID1: at Tue Oct 3 20:39:00 2000
][Author ID3: at Tue Jul 31 01:05:00 2001
]M[Author ID3: at Tue Jul 31 01:05:00 2001
]anager[Author ID1: at Tue Oct 3 20:39:00 2000
]). Rozszerzenie U[Author ID1: at Tue Oct 3 03:39:00 2000
]u[Author ID1: at Tue Oct 3 03:39:00 2000
][Author ID3: at Wed Aug 1 12:51:00 2001
]U[Author ID3: at Wed Aug 1 12:51:00 2001
]stawienia zabezpieczeń [Author ID3: at Wed Aug 1 12:51:00 2001
]Zabezpieczeń [Author ID3: at Wed Aug 1 12:51:00 2001
](Security [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:06:00 2001
]S[Author ID3: at Tue Jul 31 01:06:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:40:00 2000
]Settings [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:06:00 2001
]S[Author ID3: at Tue Jul 31 01:06:00 2001
]ettings [Author ID1: at Tue Oct 3 20:40:00 2000
]Extension[Author ID1: at Tue Oct 3 20:40:00 2000
]e[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:06:00 2001
]E[Author ID3: at Tue Jul 31 01:06:00 2001
]xtension[Author ID1: at Tue Oct 3 20:40:00 2000
]) określa procedurę tzw. aparat (engine), który może interpretować standardową konfigurację zabezpieczeń i wykonać konieczne operacje jako zadania drugoplanowe. W razie potrzeby można korzystać z istniejących narzędzi do zmiany poszczególnych ustawień.
Lista kontroli [Author ID3: at Mon Aug 6 09:47:00 2001
]Kontroli [Author ID3: at Mon Aug 6 09:47:00 2001
]dostępu [Author ID3: at Mon Aug 6 09:47:00 2001
]Dostępu [Author ID3: at Mon Aug 6 09:47:00 2001
](Access Control List)
Na[Author ID1: at Tue Oct 3 03:39:00 2000
]W[Author ID1: at Tue Oct 3 03:39:00 2000
] zakończeniu[Author ID1: at Tue Oct 3 03:39:00 2000
]e[Author ID1: at Tue Oct 3 03:39:00 2000
] niniejszego rozdziału opisano listę [Author ID3: at Mon Aug 6 09:47:00 2001
]Listę [Author ID3: at Mon Aug 6 09:47:00 2001
]kontroli [Author ID3: at Mon Aug 6 09:47:00 2001
]Kontroli [Author ID3: at Mon Aug 6 09:47:00 2001
]dostępu[Author ID3: at Mon Aug 6 09:47:00 2001
] [Author ID3: at Mon Aug 6 09:47:00 2001
]Dostępu[Author ID3: at Mon Aug 6 09:47:00 2001
] [Author ID3: at Mon Aug 6 09:47:00 2001
](Access Control List). Domyślne ustawienia kontroli dostępu stanowią znaczną część zabezpieczeń systemu Windows 2000 i dlatego ważna[Author ID1: at Tue Oct 3 03:40:00 2000
]e[Author ID1: at Tue Oct 3 03:40:00 2000
] jest, aby wiedzieć jakie są te ustawienia [Author ID1: at Tue Oct 3 03:40:00 2000
] znajomość tych ustawień [Author ID1: at Tue Oct 3 03:40:00 2000
]oraz w jaki [Author ID1: at Tue Oct 3 03:40:00 2000
]sposób je[Author ID1: at Tue Oct 3 03:40:00 2000
]ich[Author ID1: at Tue Oct 3 03:40:00 2000
] modyfikować[Author ID1: at Tue Oct 3 03:40:00 2000
]acji[Author ID1: at Tue Oct 3 03:40:00 2000
]. Przejście na[Author ID1: at Tue Oct 3 03:41:00 2000
]do[Author ID1: at Tue Oct 3 03:41:00 2000
] system Windows 2000 z systemu Windows NT, w którym nie stosuje się domyślnych ustawień Windows 2000, może mieć wpływ na bezpieczeństwo systemu Windows 2000. Listy kontroli dostępu (ACLs)[Author ID1: at Wed Oct 4 02:02:00 2000
] mogą być modyfikowane za pomocą wielu narzędzi — poleceń,[Author ID1: at Tue Oct 3 06:51:00 2000
] takich jak:[Author ID1: at Tue Oct 3 03:41:00 2000
] Secedit, przystawka (snap-in) Szablony zabezpieczeń[Author ID3: at Wed Aug 1 12:51:00 2001
] [Author ID3: at Wed Aug 1 12:51:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:51:00 2001
] [Author ID3: at Wed Aug 1 12:51:00 2001
](Security [Author ID1: at Tue Oct 3 20:40:00 2000
]s[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:06:00 2001
]S[Author ID3: at Tue Jul 31 01:06:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:40:00 2000
]Templates[Author ID1: at Tue Oct 3 20:40:00 2000
]t[Author ID1: at Tue Oct 3 20:40:00 2000
][Author ID3: at Tue Jul 31 01:06:00 2001
]T[Author ID3: at Tue Jul 31 01:06:00 2001
]emplates[Author ID1: at Tue Oct 3 20:40:00 2000
]) konsoli MMC oraz Edytor [Author ID1: at Tue Oct 3 03:42:00 2000
]Edytor [Author ID1: at Tue Oct 3 03:42:00 2000
]listy [Author ID1: at Tue Oct 3 03:43:00 2000
]ACL (ACL Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]e[Author ID1: at Tue Oct 3 20:41:00 2000
][Author ID3: at Tue Jul 31 01:07:00 2001
]E[Author ID3: at Tue Jul 31 01:07:00 2001
]ditor[Author ID1: at Tue Oct 3 20:41:00 2000
]).
Chociaż lista kontroli dostępu (ACL) [Author ID1: at Wed Oct 4 02:02:00 2000
]nie jest wyłącznie [Author ID1: at Tue Oct 3 03:43:00 2000
]związana wyłącznie [Author ID1: at Tue Oct 3 03:43:00 2000
]z Active Directory (także [Author ID1: at Tue Oct 3 03:43:00 2000
]serwery członkowskie i stacje robocze mają także [Author ID1: at Tue Oct 3 03:43:00 2000
]listy ACL), to [Author ID1: at Tue Oct 3 03:44:00 2000
]ma wpływ na założenia domeny i założenia grupowe (Domain and Group Policy).[Author ID1: at Tue Oct 3 03:44:00 2000
] i[Author ID1: at Tue Oct 3 03:44:00 2000
] d[Author ID1: at Tue Oct 3 03:44:00 2000
]D[Author ID1: at Tue Oct 3 03:44:00 2000
]latego zostanie ona [Author ID1: at Tue Oct 3 03:44:00 2000
]omówiona w niniejszym rozdziale.
Bezpośrednie rozwiązania
Spełnianie standardów otwartych (open standards)
Dzięki Active Directory wygląd sieci został ujednolicony, co znacznie ogranicza liczbę katalogów i przestrzeni nazw (namespaces), z którymi muszą zmagać się administratorzy i użytkownicy. Ma to wpływ na wszystkie sfery administrowania katalogami, włączając w to bezpieczeństwo. Usługi Active Directory zostały specjalnie zaprojektowane, aby scalić inne katalogi i zarządzać nimi, niezależnie od ich fizycznej lokalizacji ani [Author ID1: at Tue Oct 3 03:45:00 2000
]czy [Author ID1: at Tue Oct 3 03:45:00 2000
]systemów operacyjnych, w których zostały utworzone, oraz narzucić granice bezpieczeństwa i dziedziczenia. Aby to osiągnąć,[Author ID1: at Tue Oct 3 03:45:00 2000
] Active Directory korzysta w szerokim zakresie z istniejących standardów i protokołów, łącznie ze standardowymi formatami nazw,[Author ID1: at Tue Oct 3 03:45:00 2000
] i zawiera interfejsy API,[Author ID1: at Tue Oct 3 03:45:00 2000
] ułatwiające komunikowanie się z tymi katalogami.
Active Directory korzysta z usługi DNS (Domain Name Service) jako usługi lokalizującej i może wymieniać dane z dowolnym programem użytkowym lub katalogiem, które[Author ID1: at Tue Oct 3 03:46:00 2000
]y[Author ID1: at Tue Oct 3 03:46:00 2000
] stosuje[Author ID1: at Tue Oct 3 03:46:00 2000
]ą[Author ID1: at Tue Oct 3 03:46:00 2000
] protokół LDAP.
Usługa DNS
Usługa DNS jest usługą lokalizującą (locator service),[Author ID1: at Tue Oct 3 03:46:00 2000
] stosowaną w Internecie i w większości intranetów, dzięki czemu jest[Author ID1: at Tue Oct 3 03:47:00 2000
]. Jest[Author ID1: at Tue Oct 3 03:47:00 2000
] najczęściej stosowaną [Author ID1: at Tue Oct 3 03:47:00 2000
]wykorzystywaną [Author ID1: at Tue Oct 3 03:47:00 2000
]usługą katalogową na świecie. Usługa lokalizacyjna (locator service) tłumaczy nazwę, np. www.mojafirma.com,[Author ID1: at Tue Oct 3 03:47:00 2000
] na adres TCP/IP. W Active Directory nazwy domen systemu Windows 2000 są nazwami DNS — [Author ID1: at Tue Oct 3 03:47:00 2000
]— [Author ID1: at Tue Oct 3 03:47:00 2000
]mojafirma.com może być zarówno domeną DNS (obszarem adresowania) jak i[Author ID1: at Tue Oct 3 03:48:00 2000
] oraz[Author ID1: at Tue Oct 3 03:48:00 2000
] domeną Windows 2000. W ten sposób i.mclean@mojafirma.com jest zarówno internetowym adresem poczty elektronicznej,[Author ID1: at Tue Oct 3 03:48:00 2000
] jak i nazwą użytkownika w domenie mojafirma.com. Domeny systemu Windows 2000 mogą być zlokalizowane w Internecie i I[Author ID1: at Tue Oct 3 03:48:00 2000
]i[Author ID1: at Tue Oct 3 03:48:00 2000
]ntranecie w taki sam sposób, w jaki inne zasoby są umieszczane w Internecie-[Author ID1: at Tue Oct 3 03:48:00 2000
] [Author ID1: at Tue Oct 3 03:48:00 2000
]za pomocą DNS.
W systemie Windows 2000 zastosowano dynamiczną usługę DNS (DDNS). Rozwiązany został jeden z głównych problemów związanych z usługą DDNS [Author ID1: at Tue Oct 3 03:48:00 2000
]-[Author ID1: at Tue Oct 3 03:48:00 2000
]— [Author ID1: at Tue Oct 3 03:48:00 2000
]główny serwer DDNS jest podatny na awarie [Author ID1: at Tue Oct 3 03:51:00 2000
]uszkodzenia [Author ID1: at Tue Oct 3 03:51:00 2000
](point of failure). Ponieważ wszystkie kontrolery domeny w systemie Windows 2000 są równe, to [Author ID1: at Tue Oct 3 03:51:00 2000
]wszystkie są serwerami DDNS, co,[Author ID1: at Tue Oct 3 03:51:00 2000
] w razie awarii, [Author ID1: at Tue Oct 3 03:51:00 2000
]umożliwia pracę bez zakłóceń w razie awarii [Author ID1: at Tue Oct 3 03:51:00 2000
](fail-over protection).
Nazwa DNS dla domeny systemu Windows 2000 jest definiowana w sytuacji, gdy[Author ID1: at Tue Oct 3 03:52:00 2000
] kiedy[Author ID1: at Tue Oct 3 03:52:00 2000
] instaluje się pierwszy kontroler domeny (DC) lub,[Author ID1: at Tue Oct 3 03:52:00 2000
] —[Author ID1: at Tue Oct 3 03:52:00 2000
] bardziej [Author ID1: at Tue Oct 3 03:52:00 2000
]dokładniej — [Author ID1: at Tue Oct 3 03:52:00 2000
], kie[Author ID1: at Tue Oct 3 03:52:00 2000
]g[Author ID1: at Tue Oct 3 03:52:00 2000
]dy zostaje [Author ID1: at Tue Oct 3 03:52:00 2000
]uruchomiony zostanie [Author ID1: at Tue Oct 3 03:52:00 2000
]program dcpromo, który awansuje serwer Windows 2000 na pozycję [Author ID1: at Tue Oct 3 03:54:00 2000
]pierwszy[Author ID1: at Tue Oct 3 03:54:00 2000
]ego[Author ID1: at Tue Oct 3 03:54:00 2000
] kontrolera[Author ID1: at Tue Oct 3 03:54:00 2000
] domeny (DC) w nowej domenie.
Protokół LDAP
Active Directory korzysta również z innego standardu,[Author ID1: at Tue Oct 3 03:55:00 2000
] stosowanego w Internecie,[Author ID1: at Tue Oct 3 03:55:00 2000
] — protokołu LDAP,[Author ID0: at Thu Nov 30 00:00:00 1899
] (Internet Proposed Standard RFC 2251), który stworzono jako prostszą alternatywę dla protokołu [Author ID1: at Tue Oct 3 04:02:00 2000
]X.500[Author ID1: at Tue Oct 3 04:02:00 2000
]. [Author ID1: at Tue Oct 3 04:02:00 2000
]służącego [Author ID1: at Tue Oct 3 04:02:00 2000
]Służy on [Author ID1: at Tue Oct 3 04:02:00 2000
]do uzyskania dostępu do usług katalogowych,[Author ID1: at Tue Oct 3 04:02:00 2000
].[Author ID1: at Tue Oct 3 04:02:00 2000
] który stworzono jako prostszą alternatywę dla protokołu X.500. [Author ID1: at Tue Oct 3 04:02:00 2000
]Firma Microsoft jest [Author ID1: at Tue Oct 3 04:02:00 2000
]aktywnym[Author ID1: at Tue Oct 3 04:02:00 2000
]ie[Author ID1: at Tue Oct 3 04:02:00 2000
] uczestnikiem [Author ID1: at Tue Oct 3 04:02:00 2000
]uczestniczy w [Author ID1: at Tue Oct 3 04:02:00 2000
]pracach[Author ID1: at Tue Oct 3 04:02:00 2000
] nad rozwijaniem standardów LDAP.[Author ID1: at Tue Oct 3 04:03:00 2000
] i w[Author ID1: at Tue Oct 3 04:03:00 2000
] W[Author ID1: at Tue Oct 3 04:03:00 2000
] Active Directory zastosowano protokół LDAP w wersji 2.[Author ID1: at Tue Oct 3 04:03:00 2000
][Author ID3: at Tue Jul 31 16:19:00 2001
] i w wersji [Author ID1: at Tue Oct 3 04:03:00 2000
]3.
Rozpoznawanie standardowych formatów nazw
Formaty nazw (name formats[Author ID1: at Tue Oct 3 04:04:00 2000
]) stosowane przez usługi katalogowe mają wpływ zarówno na użytkowników,[Author ID1: at Tue Oct 3 04:04:00 2000
] jak i na programy użytkowe. Jeśli użytkownik lub program użytkowy ma coś znaleźć lub użyć [Author ID1: at Tue Oct 3 04:05:00 2000
]czegoś użyć[Author ID1: at Tue Oct 3 04:05:00 2000
], to musi on [Author ID1: at Tue Oct 3 04:05:00 2000
]znać nazwę lub niektóre właściwości obiektu, który ma być zlokalizowany. Istnieje kilka powszechnie używanych konwencji nazewniczych w katalogach, które są formalnymi lub faktycznymi standardami. Wiele z nich można stosować w Active Directory. Pozwala to użytkownikom i programom użytkowym,[Author ID1: at Tue Oct 3 04:06:00 2000
] przy korzystaniu z Active Directory,[Author ID1: at Tue Oct 3 04:06:00 2000
] na posługiwanie się formatem nazw, który znają najlepiej. Na przykład [Author ID1: at Tue Oct 3 04:06:00 2000
]p.[Author ID1: at Tue Oct 3 04:06:00 2000
]w Active Directory można stosować następujące formaty nazw:
RFC 822 —
S[Author ID1: at Tue Oct 3 04:06:00 2000 ]s[Author ID1: at Tue Oct 3 04:06:00 2000 ]ą to nazwy w postaci mojanazwa@mojadomena, które są znane większości użytkowników[Author ID1: at Tue Oct 3 04:08:00 2000 ]om[Author ID1: at Tue Oct 3 04:08:00 2000 ] Internetu jako adresy poczty elektronicznej, np. i.mclean@mycompany.com. Wszyscy użytkownicy w Active Directory mogą stosować przyjazne nazwy zgodne ze standardem RFC 822. Nazwa taka może być używana jako adres poczty elektronicznej lub jako nazwa użytkownika przy logowaniu się do systemu,[Author ID1: at Tue Oct 3 04:09:00 2000 ].[Author ID1: at Tue Oct 3 04:09:00 2000 ]A[Author ID1: at Tue Oct 3 04:09:00 2000 ]a[Author ID1: at Tue Oct 3 04:09:00 2000 ]dresy URL protokołu LDAP i nazwy zgodne ze standardem X.500 [Author ID1: at Tue Oct 3 04:09:00 2000 ]-[Author ID1: at Tue Oct 3 04:10:00 2000 ]— [Author ID1: at Tue Oct 3 04:10:00 2000 ]Active Directory obsługuje dostęp za pomocą protokołu LDAP dowolnego klienta, korzystającego z tego protokołu. Nazwy w przypadku protokołu LDAP są mniej intuicyjne niż w przypadku nazw internetowych, ale skomplikowana konwencja nazewnicza zwykle jest ukryta w programie użytkowym. W nazwach tych stosuje się nadawanie nazw na podstawie atrybutów (attributed naming),[Author ID1: at Tue Oct 3 04:15:00 2000 ] zgodnie ze standardem X.500. Adres URL w przypadku protokołu LDAP określa serwer, na którym uruchomiono usługi Active Directory oraz nazwę na podstawie atrybutów (attributed name), np.
LDAP://myserver.mycompany.com/
CN=i.mclean, OU=Sys, OU=Product, OU=Division,
DC=mycompany, DC=com
Zgodność ze standardami otwartymi (open standards), korzystanie z usługi DNS oraz obiektów GPO umożliwiły wprowadzenie w Active Directory modelu zabezpieczeń dziedziczenia założeń grupowych (Group Pol[Author ID1: at Wed Oct 4 02:03:00 2000
]ic[Author ID1: at Wed Oct 4 02:03:00 2000
]ies[Author ID1: at Tue Oct 3 16:03:00 2000
])[Author ID1: at Wed Oct 4 02:03:00 2000
]: prawa, uprawnienia, założenia kont,[Author ID1: at Tue Oct 3 04:17:00 2000
] itd.;[Author ID1: at Tue Oct 3 04:17:00 2000
] ([Author ID1: at Tue Oct 3 04:17:00 2000
]zob. rysunek 2.2.[Author ID2: at Mon Aug 13 12:00:00 2001
])[Author ID1: at Tue Oct 3 04:17:00 2000
].[Author ID2: at Mon Aug 13 12:02:00 2001
] [Author ID2: at Mon Aug 13 12:00:00 2001
]
[Author ID2: at Mon Aug 13 12:00:00 2001
]GPO[Author ID2: at Mon Aug 13 11:59:00 2001
] [Author ID1: at Tue Oct 3 04:17:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:17:00 2000
]— [Author ID1: at Tue Oct 3 04:17:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
][Author ID0: at Thu Nov 30 00:00:00 1899
]
Inheritance Between OUs[Author ID2: at Mon Aug 13 11:59:00 2001
] [Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:19:00 2000
]— [Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]Dziedziczenie pomiędzy jednostkami organizacyjnymi[Author ID0: at Thu Nov 30 00:00:00 1899
]
Mydomain.com[Author ID2: at Mon Aug 13 11:59:00 2001
] [Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:19:00 2000
]— [Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
][Author ID0: at Thu Nov 30 00:00:00 1899
]
DNS[Author ID2: at Mon Aug 13 11:59:00 2001
] —[Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:19:00 2000
] [Author ID1: at Tue Oct 3 04:19:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
][Author ID0: at Thu Nov 30 00:00:00 1899
]
No Inheritance Between Domains[Author ID2: at Mon Aug 13 11:59:00 2001
] [Author ID1: at Tue Oct 3 04:20:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:20:00 2000
]— [Author ID1: at Tue Oct 3 04:20:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]Brak dziedziczenia pomiędzy domenami[Author ID0: at Thu Nov 30 00:00:00 1899
]
Yourdomain.com[Author ID2: at Mon Aug 13 11:59:00 2001
] [Author ID1: at Tue Oct 3 04:20:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
]-[Author ID1: at Tue Oct 3 04:20:00 2000
]— [Author ID1: at Tue Oct 3 04:20:00 2000
][Author ID2: at Mon Aug 13 11:59:00 2001
][Author ID2: at Mon Aug 13 11:59:00 2001
]
Rysunek 2.2.[Author ID1: at Tue Oct 3 04:20:00 2000
] Model połączeń i zabezpieczeń Active Directory.[Author ID1: at Tue Oct 3 04:20:00 2000
]
Zastosowanie interfejsów API
Active Directory oferuje potężne, elastyczne,[Author ID1: at Tue Oct 3 04:23:00 2000
] i[Author ID1: at Tue Oct 3 04:23:00 2000
] łatwe w obsłudze interfejsy API. Dostępność bogatego zestawu interfejsów API dla usług katalogowych zachęca do tworzenia narzędzi [Author ID1: at Tue Oct 3 04:23:00 2000
], [Author ID1: at Tue Oct 3 04:23:00 2000
]korzystających z usług katalogowych. N[Author ID1: at Tue Oct 3 04:26:00 2000
] [Author ID1: at Tue Oct 3 04:26:00 2000
]Na przykład[Author ID1: at Tue Oct 3 04:25:00 2000
]p[Author ID1: at Tue Oct 3 04:26:00 2000
].[Author ID1: at Tue Oct 3 04:25:00 2000
] administrator może napisać skrypt dodający do systemu 100 nowych użytkowników i ustanawiający ich członkami wybranych grup zabezpieczonych (security groups). Zwykle [Author ID1: at Tue Oct 3 04:29:00 2000
]Za[Author ID1: at Tue Oct 3 04:29:00 2000
]zwyczaj [Author ID1: at Tue Oct 3 04:29:00 2000
]interfejsy usług Active Directory (Active Directory Service Interfaces [Author ID1: at Tue Oct 3 04:29:00 2000
]-[Author ID1: at Tue Oct 3 04:29:00 2000
]— [Author ID1: at Tue Oct 3 04:29:00 2000
]ADSI) wykorzystuje się za pomocą języków skryptowych (scripting languages[Author ID1: at Tue Oct 3 04:29:00 2000
]), m.in.[Author ID1: at Tue Oct 3 04:30:00 2000
] takich jak[Author ID1: at Tue Oct 3 04:30:00 2000
] Microsoft Visual Basic, chociaż można również [Author ID1: at Tue Oct 3 04:30:00 2000
]używać również [Author ID0: at Thu Nov 30 00:00:00 1899
]C/C++. Active Directory zawiera trzy główne zestawy interfejsów API:
ADSI —
Z[Author ID1: at Tue Oct 3 04:31:00 2000 ]z[Author ID1: at Tue Oct 3 04:31:00 2000 ]estaw interfejsów COM do manipulowania wieloma [Author ID1: at Tue Oct 3 04:31:00 2000 ]u[Author ID1: at Tue Oct 3 04:31:00 2000 ]usługami katalogowymi i wysyłania do nich zapytań (querying),[Author ID1: at Tue Oct 3 04:31:00 2000 ].[Author ID1: at Tue Oct 3 04:31:00 2000 ]MAPI--> [Author ID1: at Tue Oct 3 04:33:00 2000 ]—
I[Author ID1: at Tue Oct 3 04:31:00 2000 ]i[Author ID1: at Tue Oct 3 04:31:00 2000 ]nterfejs przesyłania informacji ([Author ID1: at Tue Oct 3 04:32:00 2000 ]Messaging API)[Author ID1: at Tue Oct 3 04:32:00 2000 ] architektury WOSA (Windows Open Services Architecture),[Author ID1: at Tue Oct 3 04:33:00 2000 ].[Author ID1: at Tue Oct 3 04:33:00 2000 ]LDAP C API--> (RFC 1823)[Author ID1: at Tue Oct 3 04:33:00 2000 ] — i[Author ID1: at Tue Oct 3 04:33:00 2000 ]
I[Author ID1: at Tue Oct 3 04:33:00 2000 ]nformacyjny dokument RFC, który jest faktycznym standardem przy pisaniu aplikacji protokołu LDAP w języku C.
Interfejsy usług Active Directory (ADSI)
Interfejsy ADSI zostały opracowane po to, by ułatwić pisanie programów użytkowych,[Author ID1: at Tue Oct 3 04:34:00 2000
] korzystających z usług katalogowych, które mają dostęp do Active Directory i innych katalogów obsługujących protokół LDAP. Interfejsy ADSI są zbiorem dających [Author ID1: at Tue Oct 3 04:34:00 2000
]mogących [Author ID1: at Tue Oct 3 04:34:00 2000
]się rozszerzyć interfejsów API, które [Author ID1: at Tue Oct 3 04:34:00 2000
]stosuje[Author ID1: at Tue Oct 3 04:35:00 2000
]owanych[Author ID1: at Tue Oct 3 04:35:00 2000
] się[Author ID1: at Tue Oct 3 04:35:00 2000
] przy pisaniu programów użytkowych, które pozwalają na uzyskanie dostępu i zarządzanie Active Directory, dowolnego[Author ID1: at Tue Oct 3 04:35:00 2000
]ym[Author ID1: at Tue Oct 3 04:35:00 2000
] katalogu[Author ID1: at Tue Oct 3 04:35:00 2000
]iem[Author ID1: at Tue Oct 3 04:35:00 2000
] opartego[Author ID1: at Tue Oct 3 04:35:00 2000
]ym[Author ID1: at Tue Oct 3 04:35:00 2000
] na protokole LDAP i innych[Author ID1: at Tue Oct 3 04:35:00 2000
]mi[Author ID1: at Tue Oct 3 04:35:00 2000
] usługami[Author ID1: at Tue Oct 3 04:35:00 2000
] katalogowych[Author ID1: at Tue Oct 3 04:35:00 2000
]mi[Author ID1: at Tue Oct 3 04:35:00 2000
] w sieci, łącznie z sieciowymi usługami katalogowymi (Network Directory Services-NDS) firmy Novell.
Interfejsy ADSI są częścią interfejsu ODSI (Open Directory Services Interface) architektury Windows Open Services Architecture (WOSA) do manipulacji usługami katalogowymi i wysyłania do nich zapytań.. Obiekty ADSI są dostępne dla Windows NT, NetWare Novell-a, Active Directory,[Author ID1: at Tue Oct 3 04:36:00 2000
] jak również dla innych [Author ID1: at Tue Oct 3 04:36:00 2000
]pozostałych [Author ID1: at Tue Oct 3 04:36:00 2000
]usług katalogowych,[Author ID1: at Tue Oct 3 04:36:00 2000
] korzystających z protokołu LDAP.
Interfejsy ADSI pozwalają na uniezależnienie usług katalogowych o[Author ID1: at Tue Oct 3 04:36:00 2000
]do[Author ID1: at Tue Oct 3 04:36:00 2000
] usługodawców sieciowych,[Author ID1: at Tue Oct 3 04:36:00 2000
] i[Author ID1: at Tue Oct 3 04:36:00 2000
] dzięki t[Author ID1: at Tue Oct 3 04:36:00 2000
]cz[Author ID1: at Tue Oct 3 04:36:00 2000
]emu możliwe stało się [Author ID1: at Tue Oct 3 04:36:00 2000
]otrzymano[Author ID1: at Tue Oct 3 04:37:00 2000
]ie[Author ID1: at Tue Oct 3 04:37:00 2000
] jede[Author ID1: at Tue Oct 3 04:37:00 2000
]nego[Author ID1: at Tue Oct 3 04:37:00 2000
] zestawu[Author ID1: at Tue Oct 3 04:37:00 2000
] interfejsów usług katalogowych do zarządzania zasobami sieciowymi. Efektem jest prostsze[Author ID1: at Tue Oct 3 04:37:00 2000
]Upraszcza to znacznie[Author ID1: at Tue Oct 3 04:37:00 2000
] tworzenie aplikacji rozproszonych i administrowanie systemami rozproszonymi. Programiści i administratorzy wykorzystują[Author ID1: at Tue Oct 3 04:40:00 2000
]stosują[Author ID1: at Tue Oct 3 04:40:00 2000
] te interfejsy do sporządzania wykazu zasobów usługi katalogowej i zarządzania tymi zasobami[Author ID1: at Tue Oct 3 04:41:00 2000
]nimi, [Author ID1: at Tue Oct 3 04:41:00 2000
], [Author ID1: at Tue Oct 3 04:41:00 2000
]niezależnie od rodzaju sieci, w której one [Author ID1: at Tue Oct 3 04:41:00 2000
]zasoby te się [Author ID1: at Tue Oct 3 04:41:00 2000
]znajdują się[Author ID1: at Tue Oct 3 04:41:00 2000
]. W ten sposób interfejsy ADSI ułatwiają wykonywanie najczęściej spotykanych zadań administracyjnych, takich jak[Author ID1: at Tue Oct 3 04:41:00 2000
]np.[Author ID1: at Tue Oct 3 04:41:00 2000
] dodawanie[Author ID1: at Tue Oct 3 04:41:00 2000
]e[Author ID1: at Tue Oct 3 04:41:00 2000
] nowych użytkowników, nadawanie[Author ID1: at Tue Oct 3 04:41:00 2000
]e[Author ID1: at Tue Oct 3 04:41:00 2000
] uprawnień i inne zadania związane z bezpieczeństwem, oraz[Author ID1: at Tue Oct 3 04:42:00 2000
] i[Author ID1: at Tue Oct 3 04:42:00 2000
] zarządzaniem[Author ID1: at Tue Oct 3 04:42:00 2000
] zasobami w rozproszonych systemach komputerowych.
Interfejsy ADSI przedstawiają katalog jako zbiór obiektów COM. Na obiektach tych można wykonywać różne działania za pomocą obiektowych języków programowania,[Author ID1: at Tue Oct 3 06:52:00 2000
] takich jak:[Author ID1: at Tue Oct 3 04:42:00 2000
] Visual Basic czy C++. Ponieważ obiekty ADSI są dostępne dla wielu popularnych usług katalogowych, interfejsy ADSI są [Author ID1: at Tue Oct 3 04:43:00 2000
]używane są [Author ID1: at Tue Oct 3 04:43:00 2000
]do tworzenia programów użytkowych, które będą pracowały z wieloma katalogami. Wykaz obiektów COM i ich właściwości można od[Author ID1: at Tue Oct 3 04:44:00 2000
]z[Author ID1: at Tue Oct 3 04:44:00 2000
]naleźć w następujący sposób:
Z menu Start
|[Author ID3: at Tue Jul 31 01:28:00 2001 ]\[Author ID3: at Tue Jul 31 01:28:00 2001 ]Programy|[Author ID3: at Tue Jul 31 01:28:00 2001 ]\[Author ID3: at Tue Jul 31 01:28:00 2001 ]Narzędzia administracyjne (Start|[Author ID3: at Tue Jul 31 01:28:00 2001 ]\[Author ID3: at Tue Jul 31 01:28:00 2001 ]Programs|[Author ID3: at Tue Jul 31 01:28:00 2001 ]\[Author ID3: at Tue Jul 31 01:28:00 2001 ]Administrative t[Author ID1: at Tue Oct 3 18:37:00 2000 ]T[Author ID1: at Tue Oct 3 18:37:00 2000 ]ools) wybierz opcję Usługiskładowe[Author ID3: at Tue Jul 31 16:21:00 2001 ]Składowe [Author ID3: at Tue Jul 31 16:21:00 2001 ](C[Author ID1: at Tue Oct 3 18:31:00 2000 ]c[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 01:29:00 2001 ]C[Author ID3: at Tue Jul 31 01:29:00 2001 ]omponents[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 01:29:00 2001 ]S[Author ID3: at Tue Jul 31 16:21:00 2001 ]S[Author ID1: at Tue Oct 3 18:31:00 2000 ]ervices).Rozszerz gałąź Usługi
składowe[Author ID3: at Tue Jul 31 16:21:00 2001 ]Składowe [Author ID3: at Tue Jul 31 16:21:00 2001 ](C[Author ID1: at Tue Oct 3 18:31:00 2000 ]c[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 01:29:00 2001 ]C[Author ID3: at Tue Jul 31 01:29:00 2001 ]omponentS[Author ID1: at Tue Oct 3 18:31:00 2000 ]s[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 16:21:00 2001 ]S[Author ID3: at Tue Jul 31 16:21:00 2001 ]ervices) w sposób pokazany na rysunku 2.3.[Author ID1: at Tue Oct 3 04:44:00 2000 ][Author ID2: at Mon Aug 13 12:02:00 2001 ] i wybierz kontener COM [Author ID1: at Tue Oct 3 18:38:00 2000 ]+ Programyużytkowe[Author ID3: at Tue Jul 31 16:21:00 2001 ]Użytkowe [Author ID3: at Tue Jul 31 16:21:00 2001 ](COM [Author ID1: at Tue Oct 3 18:38:00 2000 ]+ Applications).Kliknij prawym klawiszem myszki dowolny w [Author ID1: at Tue Oct 3 04:45:00 2000 ]obiekt w prawej części okna i z menu wybierz opcję Właściwości (
P[Author ID1: at Tue Oct 3 18:31:00 2000 ]p[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 01:29:00 2001 ]P[Author ID3: at Tue Jul 31 01:29:00 2001 ]roperties). Pojawi się okno przedstawiające właściwości obiektu COM (rysunek 2.4.[Author ID1: at Tue Oct 3 04:45:00 2000 ][Author ID2: at Mon Aug 13 12:03:00 2001 ]).Wybierz dowolną zakładkę,[Author ID1: at Tue Oct 3 04:45:00 2000 ] aby zobaczyć lub dokonać edycji odpowiedniej właściwości.
Rysunek 2.3.[Author ID1: at Tue Oct 3 04:46:00 2000
] Przystawka (snap-in) Usługi składowe [Author ID0: at Thu Nov 30 00:00:00 1899
]Składowe [Author ID3: at Tue Jul 31 16:22:00 2001
](C[Author ID0: at Thu Nov 30 00:00:00 1899
]c[Author ID1: at Tue Oct 3 18:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Tue Jul 31 01:29:00 2001
]omponent S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Tue Jul 31 16:22:00 2001
]ervices) konsoli MMC.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.4.[Author ID1: at Tue Oct 3 04:46:00 2000
] Karta W[Author ID1: at Tue Oct 3 18:38:00 2000
]W[Author ID0: at Thu Nov 30 00:00:00 1899
]łaściwości (P[Author ID0: at Thu Nov 30 00:00:00 1899
]p[Author ID1: at Tue Oct 3 18:31:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Tue Jul 31 01:29:00 2001
]roperties) obiektu IIS Narzędzia (COM IIS Utilities).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Interfejs API usługi przesyłania komunikatów (Windows Messaging API)
Active Directory zapewniają obsługę interfejsu MAPI (Messaging API) po to,[Author ID1: at Tue Oct 3 04:48:00 2000 ] a[Author ID1: at Tue Oct 3 04:48:00 2000 ]by stare programy użytkowe MAPI nadal współpracowały z Active Directory. Zachęca to do korzystania z ADSI przy pisaniu aplikacji korzystających z usług katalogowych.
Interfejs API LDAP C
Z interfejsu API LDAP C korzystają programiści piszący programy użytkowe pracujące z wieloma różnymi rodzajami klientów. Istniejące programy użytkowe LDAP będą konkurować z usługami Active Directory, ale pozostaną niezmienione lub zostaną z[Author ID1: at Tue Oct 3 04:49:00 2000
]modyfikowane[Author ID1: at Tue Oct 3 04:49:00 2000
]zmienione [Author ID1: at Tue Oct 3 04:49:00 2000
]tylko w niewielkim stopniu, za wyjątkiem rozszerzenia zestawu funkcji programów użytkowych do obsługi specjalnych typów obiektów Active Directory. Programiści piszący aplikacje LDAP są zachęcani do przechodzenia na interfejs ADSI, który obsługuje każdą z usług katalogowych,[Author ID1: at Tue Oct 3 04:49:00 2000
] korzystających[Author ID1: at Tue Oct 3 04:49:00 2000
]ą[Author ID1: at Tue Oct 3 04:49:00 2000
] z protokołu LDAP.
Innymi słowy, aby opracować własne procedury, a coraz więcej administratorów musi to robić, zwłaszcza biorąc pod uwagę bezpieczeństwo, należy poznać i pokochać ADSI.
Zastosowanie programu Windows Scripting Host
Nawet ci, którzy nigdy nie napisali żadnej procedury obiektowej ani skryptu, korzystającego z obiektów COM, na pewno będą je uruchamiać. Program [Author ID0: at Thu Nov 30 00:00:00 1899
]Windows Scripting Host (WSH) w systemie Windows 2000 jest interfejsem służącym do uruchamiania skryptów Visual Basic Scripting Edition (VBSript) lub JavaScript. Program ten działa jako sterownik aparatu skryptowego Active X (Active X scripting engines) i może być stosowany zarówno [Author ID1: at Tue Oct 3 04:51:00 2000
]w przypadku [Author ID1: at Tue Oct 3 04:51:00 2000
]skryptów[Author ID1: at Tue Oct 3 04:51:00 2000
]ach[Author ID1: at Tue Oct 3 04:51:00 2000
] interaktywnych jak [Author ID1: at Tue Oct 3 04:51:00 2000
]i nieinteraktywnych.
Istnieją dwie wersje WSH: [Author ID1: at Tue Oct 3 04:51:00 2000
][Author ID1: at Tue Oct 3 04:51:00 2000
]
wersja okienkowa, wscript.exe
,[Author ID1: at Tue Oct 3 04:51:00 2000 ] — [Author ID1: at Tue Oct 3 04:51:00 2000 ]która[Author ID1: at Tue Oct 3 04:51:00 2000 ]ma swoją kartę W[Author ID1: at Tue Oct 3 18:38:00 2000 ]w[Author ID1: at Tue Oct 3 18:38:00 2000 ]łaściwości (properties[Author ID3: at Tue Jul 31 01:37:00 2001 ]Properties [Author ID3: at Tue Jul 31 01:37:00 2001 ]sheet),[Author ID1: at Tue Oct 3 04:52:00 2000 ],[Author ID1: at Tue Oct 3 04:52:00 2000 ][Author ID1: at Tue Oct 3 04:52:00 2000 ]oraz[Author ID1: at Tue Oct 3 04:52:00 2000 ]wersja pracująca w trybie znakowym, cscript.exe, — [Author ID1: at Tue Oct 3 04:52:00 2000 ]dla której[Author ID1: at Tue Oct 3 04:52:00 2000 ]w wierszu poleceń podaje się dla niej [Author ID1: at Tue Oct 3 04:52:00 2000 ]odpowiednie parametry (switches).
W wierszu poleceń można uruchomić obydwie wersje programu WSH. Skrypt można również uruchomić,[Author ID1: at Tue Oct 3 04:53:00 2000 ] klikając odpowiednią ikonę na pulpicie.
Uruchamianie skryptów za pomocą programu WSH w wersji dla wiersza poleceń
Aby uruchomić skrypty za pomocą programu WSH w wersji dla wiersza poleceń (cscript.exe),[Author ID1: at Tue Oct 3 04:53:00 2000 ] należy wpisać następujące polecenie:
cscript [nazwa skryptu] [parametry hosta] [parametry skryptu]
Nazwa skryptu (script name) oznacza pełną nazwę pliku skryptowego, włącznie z rozszerzeniem oraz niezbędnymi informacjami o ścieżce dostępu.[Author ID1: at Tue Oct 3 04:53:00 2000
], [Author ID1: at Tue Oct 3 04:53:00 2000
]p[Author ID1: at Tue Oct 3 04:53:00 2000
] P[Author ID1: at Tue Oct 3 04:53:00 2000
]arametry hosta (host parameters) są to parametry podawane w wierszu poleceń, które uaktywniają lub wyłączają różne opcje programu WSH, a parametry skryptu (script parameters) — [Author ID1: at Tue Oct 3 04:54:00 2000
]to przekazywane do s[Author ID1: at Tue Oct 3 04:54:00 2000
]kryptu [Author ID1: at Tue Oct 3 04:54:00 2000
]parametry podawane w wierszu poleceń, które są przekazywane do skryptu[Author ID1: at Tue Oct 3 04:54:00 2000
]. Parametry skryptu są zawsze poprzedzone pojedynczym znakiem ukośnika (/). Parametry hosta zawsze poprzedzają dwa ukośniki.
Parametry te są opcjonalne. Jednak nie można podać parametrów skryptu bez podania skryptu. Jeśli nie zostanie podana nazwa skryptu ani żaden parametr skryptu, cscript.exe wyświetli informację o prawidłowej składni i listę parametrów programu Windows Scripting Host.
Oto lista parametrów hosta wykorzystywanych przez program cscript:
//B —
O[Author ID1: at Tue Oct 3 04:55:00 2000 ]o[Author ID1: at Tue Oct 3 04:55:00 2000 ]znacza tryb wsadowy (batch mode), w którym nie są wyświetlane komunikaty o alarmach, błędach skryptów ani oknach[Author ID1: at Tue Oct 3 04:55:00 2000 ] dialogowe[Author ID1: at Tue Oct 3 04:55:00 2000 ]ych,[Author ID1: at Tue Oct 3 04:55:00 2000 ].[Author ID1: at Tue Oct 3 04:55:00 2000 ]//D —
W[Author ID1: at Tue Oct 3 04:55:00 2000 ]w[Author ID1: at Tue Oct 3 04:55:00 2000 ]łącza aktywne usuwanie błędów (active debugging),[Author ID1: at Tue Oct 3 04:55:00 2000 ].[Author ID1: at Tue Oct 3 04:55:00 2000 ]//E:engine [Author ID1: at Tue Oct 3 05:00:00 2000 ]
D[Author ID1: at Tue Oct 3 04:55:00 2000 ]o wykonania skryptu użyty będzie aparat (engine),[Author ID1: at Tue Oct 3 04:55:00 2000 ].[Author ID1: at Tue Oct 3 04:55:00 2000 ]
//H:Cscript lub //H:Wscript — U[Author ID1: at Tue Oct 3 04:56:00 2000
]u[Author ID1: at Tue Oct 3 04:56:00 2000
]stanawia domyślny program uruchamiający skrypty (cscript.exe lub wscript.exe). Jeśli nie zostanie wybrany żaden z programów, domyślnym programem uruchamiającym skryptem[Author ID1: at Tue Oct 3 05:01:00 2000
] jest wscript.exe,[Author ID1: at Tue Oct 3 05:02:00 2000
].[Author ID1: at Tue Oct 3 05:02:00 2000
]
//I —
O[Author ID1: at Tue Oct 3 05:01:00 2000 ]o[Author ID1: at Tue Oct 3 05:01:00 2000 ]znacza wybór trybu interaktywnego. Wyświetlane są komunikaty o alarmach, błędach skryptów oraz monity (input prompts). Jest to tryb domyślny, przeciwnydo[Author ID1: at Tue Oct 3 05:02:00 2000 ]trybu[Author ID1: at Tue Oct 3 05:02:00 2000 ]owi[Author ID1: at Tue Oct 3 05:02:00 2000 ] ustawianemu[Author ID1: at Tue Oct 3 05:02:00 2000 ]go[Author ID1: at Tue Oct 3 05:02:00 2000 ] za pomocą parametru //B,[Author ID1: at Tue Oct 3 05:02:00 2000 ].[Author ID1: at Tue Oct 3 05:02:00 2000 ]//Job:xxxx — powoduje wykonanie zadania Windows Scripting (WS job),[Author ID1: at Tue Oct 3 05:02:00 2000 ]
.[Author ID1: at Tue Oct 3 05:02:00 2000 ]//Logo — o[Author ID1: at Tue Oct 3 05:02:00 2000 ]
O[Author ID1: at Tue Oct 3 05:02:00 2000 ]znacza, że podczas działania wyświetlany będzie banner. Jest to tryb domyślny, odwrotne znaczenie ma //Nologo.[Author ID1: at Tue Oct 3 05:02:00 2000 ].[Author ID1: at Tue Oct 3 05:02:00 2000 ]//S —
B[Author ID1: at Tue Oct 3 05:02:00 2000 ]b[Author ID1: at Tue Oct 3 05:02:00 2000 ]ieżące parametry podane w wierszu poleceń zostaną zapisane dla aktualnego użytkownika.[Author ID1: at Tue Oct 3 05:03:00 2000 ],[Author ID1: at Tue Oct 3 05:03:00 2000 ]//T:nn —
Podaje[Author ID1: at Tue Oct 3 05:03:00 2000 ]podaje [Author ID1: at Tue Oct 3 05:03:00 2000 ]maksymalny czas pracy skryptu w sekundach. Górna granica to 32 767 sekund. Domyślnie nie ma ograniczenia czasu,[Author ID1: at Tue Oct 3 05:03:00 2000 ].[Author ID1: at Tue Oct 3 05:03:00 2000 ]//X —
P[Author ID1: at Tue Oct 3 05:03:00 2000 ]p[Author ID1: at Tue Oct 3 05:03:00 2000 ]owoduje wykonanie skryptu w trybie usuwania błędów,[Author ID1: at Tue Oct 3 05:03:00 2000 ].[Author ID1: at Tue Oct 3 05:03:00 2000 ]//U —
O[Author ID1: at Tue Oct 3 05:03:00 2000 ]o[Author ID1: at Tue Oct 3 05:03:00 2000 ]znacza, że bezpośrednie operacje wejście-[Author ID1: at Tue Oct 3 05:03:00 2000 ]-[Author ID1: at Tue Oct 3 05:03:00 2000 ]wyjście[Author ID1: at Tue Oct 3 05:04:00 2000 ] z konsoli będąstosować[Author ID1: at Tue Oct 3 05:04:00 2000 ]wykorzystywać [Author ID1: at Tue Oct 3 05:04:00 2000 ]znaki w standardzie Unicode.//? —
S[Author ID1: at Tue Oct 3 05:04:00 2000 ]s[Author ID1: at Tue Oct 3 05:04:00 2000 ]powoduje wyświetlenie informacji,[Author ID1: at Tue Oct 3 05:04:00 2000 ] w jaki sposób korzystać z tego polecenia. Ten[Author ID1: at Tue Oct 3 05:04:00 2000 ]o[Author ID1: at Tue Oct 3 05:04:00 2000 ] samo[Author ID1: at Tue Oct 3 05:04:00 2000 ] efekt[Author ID1: at Tue Oct 3 05:04:00 2000 ] można uzyskać,[Author ID1: at Tue Oct 3 05:04:00 2000 ] wpisując polecenie cscript.exe bez żadnych parametrów.
Uruchamianie skryptów za pomocą okienkowej wersji hosta skryptów
Skrypty można również [Author ID1: at Tue Oct 3 05:05:00 2000
]uruchamiać również [Author ID1: at Tue Oct 3 05:05:00 2000
]za pomocą programu okienkowej wersji hosta skryptów wscript.exe w następujący sposób:
W wierszu poleceń lub oknie dialogowym Uruchom (
R[Author ID1: at Wed Oct 4 02:03:00 2000 ]r[Author ID1: at Wed Oct 4 02:03:00 2000 ][Author ID3: at Tue Jul 31 01:40:00 2001 ]R[Author ID3: at Tue Jul 31 01:40:00 2001 ]un) wpisz wscript.exe.Ustaw wybrane przez siebie właściwości hosta skryptów (script host), a potem naciśnij przycisk OK. Stosując ten sposób do wyboru są tylko dwie opcje — zatrzymanie skryptu po określonej liczbie sekund
oraz[Author ID1: at Tue Oct 3 05:06:00 2000 ]lub [Author ID1: at Tue Oct 3 05:06:00 2000 ]wyświetlanie logo.W oknie Eksploratora Windows (Windows Explorer) lub Mój komputer (
M[Author ID1: at Tue Oct 3 18:39:00 2000 ]MyC[Author ID1: at Tue Oct 3 18:39:00 2000 ]c[Author ID1: at Tue Oct 3 18:39:00 2000 ][Author ID3: at Tue Jul 31 16:27:00 2001 ]C[Author ID3: at Tue Jul 31 16:27:00 2001 ]omputer) kliknij dwukrotnie plik skryptu, który ma zostać uruchomiony.
Strona w[Author ID0: at Thu Nov 30 00:00:00 1899
]W[Author ID1: at Tue Oct 3 18:41:00 2000
]łaściwości programu wscript.exe pozwala na ustawienia globalnych właściwości dla wszystkich skryptów uruchamianych przez wscript.exe na komputerze lokalnym. Można również ustawić właściwości dla pojedynczych skryptów klikając prawym klawiszem myszki plik skryptu w oknie Eksplorator Windows (Windows Explorer) lub Mój komputer (M[Author ID1: at Tue Oct 3 18:39:00 2000
]m[Author ID1: at Tue Oct 3 18:39:00 2000
][Author ID3: at Tue Jul 31 01:40:00 2001
]M[Author ID3: at Tue Jul 31 01:40:00 2001
]y c[Author ID1: at Tue Oct 3 18:39:00 2000
][Author ID3: at Tue Jul 31 01:40:00 2001
]C[Author ID3: at Tue Jul 31 01:40:00 2001
]C[Author ID1: at Tue Oct 3 18:39:00 2000
]omputer), wybierając opcję Właściwości (p[Author ID1: at Tue Oct 3 18:39:00 2000
][Author ID3: at Tue Jul 31 01:40:00 2001
]P[Author ID3: at Tue Jul 31 01:40:00 2001
]P[Author ID1: at Tue Oct 3 18:39:00 2000
]roperties) a następnie wybierając zakładkę Skrypt (S[Author ID1: at Tue Oct 3 18:39:00 2000
]s[Author ID1: at Tue Oct 3 18:39:00 2000
][Author ID3: at Tue Jul 31 01:41:00 2001
]S[Author ID3: at Tue Jul 31 01:41:00 2001
]cript). Na rysunku 2.5.[Author ID1: at Tue Oct 3 18:39:00 2000
][Author ID2: at Mon Aug 13 12:04:00 2001
] przedstawiono zakładkę Skrypt [Author ID1: at Wed Oct 4 02:04:00 2000
]([Author ID1: at Wed Oct 4 02:04:00 2000
]S[Author ID1: at Tue Oct 3 18:39:00 2000
]cript)[Author ID1: at Wed Oct 4 02:04:00 2000
] pliku metaback.vbs, który jest zapisany w folderze Inetpub/issamples/sdk/admin. Ten sam efekt da uruchomienie programu wscript.exe za pomocą okna dialogowego Uruchom (Run)[Author ID0: at Thu Nov 30 00:00:00 1899
].
Do tworzenia prostych skryptów logowania, na przykład [Author ID1: at Tue Oct 3 05:07:00 2000
]np. [Author ID1: at Tue Oct 3 05:07:00 2000
]skryptów używających Active Directory do zarządzania usługami katalogowymi, [Author ID1: at Tue Oct 3 05:07:00 2000
]administratorzy mogą również korzystać z funkcji pomocnika WSH (WSH helper functions).
Rysunek 2.5.[Author ID1: at Tue Oct 3 05:07:00 2000
] Strona Plik skryptowy [Author ID0: at Thu Nov 30 00:00:00 1899
]Skryptowy [Author ID3: at Wed Aug 1 12:52:00 2001
]W[Author ID0: at Thu Nov 30 00:00:00 1899
]w[Author ID1: at Tue Oct 3 19:35:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]W[Author ID3: at Wed Aug 1 12:52:00 2001
]łaściwości.[Author ID0: at Thu Nov 30 00:00:00 1899
]
Jednak programowanie obiektowe (OOP) i języki skryptowe wykraczają poza zakres niniejszej książki. Istnieje wiele doskonałych publikacji na ten temat. Administrator zabezpieczeń powinien wiedzieć o istnieniu takich narzędzi, które mogą stanowić dodatkową broń w arsenale środków, służących poprawieniu bezpieczeństwa systemu. Więcej szczegółów na temat programu Windows Scripting Host można znaleźć podążając za łączem znajdującym [Author ID1: at Tue Oct 3 05:10:00 2000
]na stronie o adresie [Author ID1: at Tue Oct 3 05:10:00 2000
]www.microsoft.com/isapi. Klikając odpowiednie łącza,[Author ID1: at Tue Oct 3 05:10:00 2000
] znajdujące się na tej stronie,[Author ID1: at Tue Oct 3 05:10:00 2000
] można pobrać próbne skrypty WSH.
Możliwości rozbudowy
Przedsiębiorstwa różnią się między sobą wielkością, więc[Author ID1: at Tue Oct 3 05:12:00 2000
]więc[Author ID1: at Tue Oct 3 05:11:00 2000
] ich[Author ID1: at Tue Oct 3 05:11:00 2000
] usługi katalogowe, aby być wartościowymi,[Author ID1: at Tue Oct 3 05:11:00 2000
] nie miałyby wielkiej wartości jeśli nie [Author ID1: at Tue Oct 3 05:11:00 2000
] muszą [Author ID1: at Tue Oct 3 05:11:00 2000
]odpowiadałyby [Author ID1: at Tue Oct 3 05:11:00 2000
]odpowiadać [Author ID1: at Tue Oct 3 05:11:00 2000
]potrzebom zarówno małych,[Author ID1: at Tue Oct 3 05:11:00 2000
] jak i wielkich firm. Dlatego właśnie usługi katalogowe Active Directory zostały zaprojektowane w taki sposób, by pracowały tak samo [Author ID1: at Tue Oct 3 05:12:00 2000
]ró[Author ID1: at Tue Oct 3 05:12:00 2000
]wnie [Author ID1: at Tue Oct 3 05:12:00 2000
]wydajnie na pojedynczym komputerze jak i[Author ID1: at Tue Oct 3 05:12:00 2000
]oraz[Author ID1: at Tue Oct 3 05:12:00 2000
] w wielkim przedsiębiorstwie. Usługi katalogowe Active Directory mogą obsłużyć ponad milion użytkowników w pojedynczej domenie. Liczba użytkowników może być jeszcze większa jeśli utworzy się drzewo domen, strukturę z wieloma drzewami domen lub las domen (forest). Za pomocą usług katalogowych Active Directory można tworzyć małe domeny, które są łatwe do[Author ID1: at Tue Oct 3 05:13:00 2000
]w[Author ID1: at Tue Oct 3 05:13:00 2000
] administrowania[Author ID1: at Tue Oct 3 05:13:00 2000
]u[Author ID1: at Tue Oct 3 05:13:00 2000
]. Pozwala to organizacjom, a tym samym sieciom, z których korzystają, na osiągnięcie wielkich rozmiarów. Administrowanie systemami komputerowymi w wielkich przedsiębiorstwach nie różni się niczym od administrowania systemami w małych firmach — [Author ID1: at Tue Oct 3 05:13:00 2000
]— [Author ID1: at Tue Oct 3 05:13:00 2000
]potrzeba[Author ID1: at Tue Oct 3 05:13:00 2000
]nych jest[Author ID1: at Tue Oct 3 05:13:00 2000
] tylko więcej administratorów.
Active Directory tworzy[Author ID1: at Tue Oct 3 04:47:00 2000
]ą[Author ID1: at Tue Oct 3 04:47:00 2000
] jedną kopię składu katalogu (directory store) [Author ID3: at Tue Jul 31 16:29:00 2001
]dla każdej domeny. Kopia składu katalogu (directory store)[Author ID1: at Wed Oct 4 02:04:00 2000
] zawiera obiekty odnoszące się tylko do danej domeny. Domeny pokrewne można połączyć w strukturę drzewa, a każda domena w drzewie domen ma swoją kopię składu katalogu (directory s[Author ID1: at Wed Oct 4 02:04:00 2000
]tore) [Author ID1: at Wed Oct 4 02:04:00 2000
]ze swoimi obiektami. Ma również możliwości znajdowania innych kopii w drzewie składu katalogu (tree of the directory store).
Zastosowanie drzew domen i lasów domen
Najważniejszym elementem Active Directory, który stanowi o dużych możliwościach rozbudowy systemu, [Author ID1: at Tue Oct 3 05:14:00 2000
]jest struktura o nazwie drzewo domen (domain tree). W odróżnieniu od usług katalogowych, w których występuje [Author ID1: at Tue Oct 3 05:14:00 2000
]pojedyncze drzewo i konieczny jest złożony proces podziału „od góry do dołu” (top-down partitioning), w Active Directory tworzenie dużych drzew domen metodą „od dołu do góry” (bottom-up method) jest proste i intuicyjne. W Active Directory pojedyncza domena jest kompletną częścią katalogu. Jeśli konieczna jest złożona struktura organizacyjna lub konieczne jest [Author ID1: at Tue Oct 3 05:14:00 2000
]zapisanie dużej liczby[Author ID1: at Tue Oct 3 05:15:00 2000
]ba[Author ID1: at Tue Oct 3 05:15:00 2000
]rdzo wielu[Author ID1: at Tue Oct 3 05:15:00 2000
] obiektów, można wiele domen połączyć w drzewo. Wiele drzew może utworzyć las (forest). Na rysunku 2.6.[Author ID1: at Tue Oct 3 05:15:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
] przedstawiono drzewo domen (domain tree)[Author ID1: at Wed Oct 4 02:04:00 2000
],[Author ID1: at Tue Oct 3 05:15:00 2000
] składające się z jedenastu połączonych ze sobą domen. Jest to model pełnego zaufania (full trust model) uzyskany za pomocą dziesięciu[Author ID1: at Tue Oct 3 05:15:00 2000
]10[Author ID1: at Tue Oct 3 05:15:00 2000
] relacji zaufania (trusts). Równoważny model w systemie Windows NT 4 wymagałby ustanowienia 110 relacji zaufania (trusts)[Author ID1: at Wed Oct 4 02:04:00 2000
].
Root domain[Author ID2: at Mon Aug 13 12:05:00 2001
] [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]-[Author ID1: at Tue Oct 3 05:16:00 2000
]— [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]Domena główna[Author ID0: at Thu Nov 30 00:00:00 1899
]
Trust[Author ID2: at Mon Aug 13 12:05:00 2001
] [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]-[Author ID1: at Tue Oct 3 05:16:00 2000
]— [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]Relacja zaufania[Author ID0: at Thu Nov 30 00:00:00 1899
]
Child domain[Author ID2: at Mon Aug 13 12:05:00 2001
] [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]-[Author ID1: at Tue Oct 3 05:16:00 2000
]— [Author ID1: at Tue Oct 3 05:16:00 2000
][Author ID2: at Mon Aug 13 12:05:00 2001
]Domena potomna[Author ID2: at Mon Aug 13 12:05:00 2001
]
[Author ID2: at Mon Aug 13 12:05:00 2001
]
Rysunek 2.6.[Author ID1: at Tue Oct 3 05:16:00 2000 ] Drzewo domen
Usługi katalogowe Active Directory są potężnymi i intuicyjnymi narzędziami administracyjnymi. W przypadku wielkich przedsiębiorstw obiekty można uporządkować hierarchicznie. Graficzny interfejs użytkownika (GUI) zawiera konsolę, w której zastosowano metodę „przeciągnij [Author ID1: at Tue Oct 3 05:16:00 2000
]-[Author ID1: at Tue Oct 3 05:16:00 2000
]i [Author ID1: at Tue Oct 3 05:16:00 2000
]-[Author ID1: at Tue Oct 3 05:16:00 2000
]upuść” [Author ID1: at Tue Oct 3 05:16:00 2000
](drag-and-drop control console), umożliwiającą podejście obiektowe do administrowania.
Zastosowanie przystawki (snap-in) Domeny Active Directory i relacje zaufania ([Author ID1: at Tue Oct 3 05:17:00 2000
]Active Directory Domains and Trusts [Author ID1: at Tue Oct 3 05:17:00 2000
]Active Dire[Author ID1: at Tue Oct 3 05:17:00 2000
]ctory Domains and Trusts [Author ID1: at Tue Oct 3 05:17:00 2000
](Active Directory Domeny i relacje zaufania[Author ID1: at Tue Oct 3 05:17:00 2000
])
Domenami administruje się za pomocą przystawki D[Author ID1: at Tue Oct 3 05:28:00 2000
]D[Author ID1: at Tue Oct 3 05:28:00 2000
]omeny Active Directory i relacje [Author ID3: at Tue Jul 31 16:29:00 2001
]Relacje [Author ID3: at Tue Jul 31 16:29:00 2001
]zaufania [Author ID3: at Tue Jul 31 16:29:00 2001
]Zaufania [Author ID3: at Tue Jul 31 16:29:00 2001
](Active Directory Domains and Trusts). Dodatkowe domeny są identyfikowane za pomocą przyrostków UPN (User Principal Name suffixes). Domyślnym przyrostkiem UPN jest nazwa drzewa, która jest nazwą UPN pierwszej domeny w danym drzewie.
Aby użyć przystawkę (snap-in) D[Author ID1: at Tue Oct 3 05:28:00 2000
]D[Author ID1: at Tue Oct 3 05:28:00 2000
]omeny Active Directory i [Author ID3: at Tue Jul 31 16:29:00 2001
]iR[Author ID3: at Tue Jul 31 16:29:00 2001
]relacja zaufania[Author ID3: at Tue Jul 31 16:29:00 2001
]Zaufania[Author ID3: at Tue Jul 31 16:29:00 2001
] [Author ID4: at Wed Oct 4 07:46:00 2000
](Active Directo[Author ID1: at Wed Oct 4 02:05:00 2000
]ry Domains and Trusts) [Author ID1: at Wed Oct 4 02:05:00 2000
]n[Author ID4: at Wed Oct 4 07:46:00 2000
], n[Author ID1: at Wed Oct 4 07:46:00 2000
]ależy:
Wyb
ierz[Author ID1: at Tue Oct 3 05:26:00 2000 ]rać[Author ID1: at Tue Oct 3 05:26:00 2000 ] menu Start/[Author ID3: at Tue Jul 31 01:45:00 2001 ]\[Author ID3: at Tue Jul 31 01:45:00 2001 ]Programy/[Author ID3: at Tue Jul 31 01:45:00 2001 ]\[Author ID3: at Tue Jul 31 01:45:00 2001 ]Narzędzia administracyjne (Start/[Author ID3: at Tue Jul 31 01:45:00 2001 ]\[Author ID3: at Tue Jul 31 01:45:00 2001 ]Programs/[Author ID3: at Tue Jul 31 01:45:00 2001 ]\[Author ID3: at Tue Jul 31 01:45:00 2001 ]AdministrativeT[Author ID1: at Tue Oct 3 18:31:00 2000 ]t[Author ID1: at Tue Oct 3 18:31:00 2000 ]ools) iwybierz[Author ID1: at Tue Oct 3 05:26:00 2000 ]pozycję Do[Author ID1: at Tue Oct 3 08:28:00 2000 ]meny [Author ID1: at Tue Oct 3 05:26:00 2000 ]Active DirectoryDomeny[Author ID1: at Tue Oct 3 05:26:00 2000 ]irelacje[Author ID3: at Mon Aug 6 09:50:00 2001 ]Relacje [Author ID3: at Mon Aug 6 09:50:00 2001 ]zaufania[Author ID3: at Mon Aug 6 09:50:00 2001 ]Zaufania [Author ID3: at Mon Aug 6 09:50:00 2001 ](Active DirectoryD[Author ID1: at Tue Oct 3 18:31:00 2000 ]d[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 16:30:00 2001 ]D[Author ID3: at Tue Jul 31 16:30:00 2001 ]omains andT[Author ID1: at Tue Oct 3 18:31:00 2000 ]t[Author ID1: at Tue Oct 3 18:31:00 2000 ][Author ID3: at Tue Jul 31 16:30:00 2001 ]T[Author ID3: at Tue Jul 31 16:30:00 2001 ]rusts).Klikn
ij[Author ID1: at Tue Oct 3 05:26:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:26:00 2000 ] prawym klawiszem myszki ikonę Do[Author ID1: at Tue Oct 3 05:29:00 2000 ]meny [Author ID1: at Tue Oct 3 05:26:00 2000 ]Active DirectoryDomeny[Author ID1: at Tue Oct 3 05:26:00 2000 ]irelacje[Author ID3: at Tue Jul 31 16:30:00 2001 ]Relacje [Author ID3: at Tue Jul 31 16:30:00 2001 ]zaufania[Author ID3: at Tue Jul 31 16:30:00 2001 ]Zaufania [Author ID3: at Tue Jul 31 16:30:00 2001 ](Active Directory[Author ID1: at Wed Oct 4 02:05:00 2000 ]D[Author ID1: at Tue Oct 3 18:32:00 2000 ]omains and[Author ID1: at Wed Oct 4 02:05:00 2000 ]T[Author ID1: at Tue Oct 3 18:32:00 2000 ]rusts)[Author ID1: at Wed Oct 4 02:05:00 2000 ]umieszczoną najwyżej w lewej części okna i z menu wybie[Author ID1: at Tue Oct 3 05:27:00 2000 ]rz[Author ID1: at Tue Oct 3 05:27:00 2000 ]ać[Author ID1: at Tue Oct 3 05:27:00 2000 ] Właściwości([Author ID1: at Wed Oct 4 02:05:00 2000 ]P[Author ID1: at Tue Oct 3 18:32:00 2000 ]roperties)[Author ID1: at Wed Oct 4 02:05:00 2000 ]. Pojawi się okno dialogowe podobne do przedstawionego na rysunku 2.7.[Author ID2: at Mon Aug 13 12:06:00 2001 ].[Author ID2: at Mon Aug 13 12:06:00 2001 ] Umożliwia ono podanie alternatywnego przyrostka UPN dla domeny lub drzewa domen.
Rysunek 2.7.[Author ID1: at Tue Oct 3 05:27:00 2000
] Okno dialogowe d[Author ID1: at Tue Oct 3 05:29:00 2000
]omeny [Author ID1: at Tue Oct 3 05:27:00 2000
]Active Directory Domeny [Author ID0: at Thu Nov 30 00:00:00 1899
]i relacje [Author ID0: at Thu Nov 30 00:00:00 1899
]Relacje [Author ID3: at Tue Jul 31 16:31:00 2001
]zaufania [Author ID0: at Thu Nov 30 00:00:00 1899
]Zaufania [Author ID3: at Tue Jul 31 16:31:00 2001
](Active Directory D[Author ID0: at Thu Nov 30 00:00:00 1899
]d[Author ID1: at Tue Oct 3 18:32:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]D[Author ID3: at Tue Jul 31 16:31:00 2001
]omains and T[Author ID0: at Thu Nov 30 00:00:00 1899
]t[Author ID1: at Tue Oct 3 18:32:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]T[Author ID3: at Tue Jul 31 16:31:00 2001
]rusts P[Author ID0: at Thu Nov 30 00:00:00 1899
]p[Author ID1: at Tue Oct 3 18:32:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Tue Jul 31 16:31:00 2001
]roperties) przyrostki UPN ([Author ID1: at Tue Oct 3 18:32:00 2000
]UPN Suffixes (Przyrostki UPN[Author ID0: at Thu Nov 30 00:00:00 1899
]).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.8.[Author ID1: at Tue Oct 3 05:27:00 2000
] Okno dialogowe D[Author ID1: at Tue Oct 3 05:29:00 2000
]D[Author ID0: at Thu Nov 30 00:00:00 1899
]omena W[Author ID0: at Thu Nov 30 00:00:00 1899
]w[Author ID1: at Tue Oct 3 05:29:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]W[Author ID3: at Tue Jul 31 16:31:00 2001
]łaściwości (D[Author ID0: at Thu Nov 30 00:00:00 1899
]d[Author ID1: at Tue Oct 3 18:32:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]D[Author ID3: at Tue Jul 31 01:49:00 2001
]omain P[Author ID0: at Thu Nov 30 00:00:00 1899
]p[Author ID1: at Tue Oct 3 18:32:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Tue Jul 31 16:31:00 2001
]roperties).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Zamkn
ij[Author ID1: at Tue Oct 3 05:29:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:29:00 2000 ] okno dialogowe. K[Author ID1: at Tue Oct 3 05:30:00 2000 ] i k[Author ID1: at Tue Oct 3 05:30:00 2000 ]liknij[Author ID1: at Tue Oct 3 05:30:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:30:00 2000 ] prawym klawiszem myszki nazwę twojej domeny lub nazwę domeny głównej (root domain). J[Author ID1: at Tue Oct 3 05:30:00 2000 ], j[Author ID1: at Tue Oct 3 05:30:00 2000 ]eśli istnieje drzewo domen,[Author ID1: at Tue Oct 3 05:30:00 2000 ]K[Author ID1: at Tue Oct 3 05:30:00 2000 ]k[Author ID1: at Tue Oct 3 05:30:00 2000 ]liknij[Author ID1: at Tue Oct 3 05:30:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:30:00 2000 ] opcję Właściwości (P[Author ID1: at Tue Oct 3 18:32:00 2000 ]p[Author ID1: at Tue Oct 3 18:32:00 2000 ][Author ID3: at Tue Jul 31 01:49:00 2001 ]P[Author ID3: at Tue Jul 31 01:49:00 2001 ]roperties). Powinno pojawić się okno dialogowe,[Author ID1: at Tue Oct 3 05:30:00 2000 ] takie jak na rysunku 2.8.
Uwaga: Domena przedstawiona na rysunku 2.8.[Author ID1: at Tue Oct 3 05:31:00 2000
][Author ID2: at Mon Aug 13 12:07:00 2001
] została przetworzona na tryb Native, który oznacza, że w tym drzewie domen mogą być wyłącznie kontrolerz[Author ID1: at Tue Oct 3 05:31:00 2000
]y domeny z systemem Windows 2000. Gdyby domena była w trybie Mixed, pojawiłby się aktywny przycisk umożliwiający jednokierunkową konwersję na tryb Native.
Wyb
ier[Author ID1: at Tue Oct 3 05:31:00 2000 ]rać[Author ID1: at Tue Oct 3 05:31:00 2000 ]z[Author ID1: at Tue Oct 3 05:31:00 2000 ] zakładkęR[Author ID1: at Tue Oct 3 05:31:00 2000 ]R[Author ID1: at Wed Oct 4 02:05:00 2000 ]elacjezaufania[Author ID3: at Wed Aug 1 12:53:00 2001 ]Zauf[Author ID3: at Wed Aug 1 12:53:00 2001 ]ania [Author ID3: at Wed Aug 1 12:53:00 2001 ](T[Author ID1: at Tue Oct 3 18:33:00 2000 ]t[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 01:49:00 2001 ]T[Author ID3: at Tue Jul 31 01:49:00 2001 ]rusts). Możesz ustanowić relacje zaufania z innymi domenami,[Author ID1: at Tue Oct 3 05:31:00 2000 ] podając nazwy tych domen oraz hasło administratora. Naciśnąć[Author ID1: at Tue Oct 3 05:32:00 2000 ]ij[Author ID1: at Tue Oct 3 05:32:00 2000 ] przycisk Anuluj (C[Author ID1: at Tue Oct 3 18:33:00 2000 ]c[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 01:49:00 2001 ]C[Author ID3: at Tue Jul 31 01:49:00 2001 ]ancel),[Author ID1: at Tue Oct 3 05:32:00 2000 ] aby powrócić do przystawki (snap-in) Domeny [Author ID1: at Tue Oct 3 05:32:00 2000 ]Active DirectoryDomeny[Author ID1: at Tue Oct 3 05:32:00 2000 ]irelacje[Author ID3: at Tue Jul 31 16:32:00 2001 ]Relacje [Author ID3: at Tue Jul 31 16:32:00 2001 ]zaufania[Author ID3: at Tue Jul 31 16:32:00 2001 ]Zaufania [Author ID3: at Tue Jul 31 16:32:00 2001 ](Active DirectoryD[Author ID1: at Tue Oct 3 18:33:00 2000 ]d[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 16:32:00 2001 ]D[Author ID3: at Tue Jul 31 16:32:00 2001 ]omains andT[Author ID1: at Tue Oct 3 18:33:00 2000 ]t[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 16:32:00 2001 ]T[Author ID3: at Tue Jul 31 16:32:00 2001 ]rusts).
Wskazówka: Jeśli instalujesz kontroler domeny jako domenę potomną (child domain) domeny głównej (root domain),[Author ID1: at Tue Oct 3 05:32:00 2000
] nie musisz ustanawiać żadnych relacji zaufania. Instalacja domeny potomnej (child domain) automatycznie ustana[Author ID1: at Tue Oct 3 05:32:00 2000
]wia obustronne relacje zaufania lub relacje zaufania usługi Kerberos (Kerberos trust) pomiędzy tymi domenami.
Rozwiązania pokrewne [Author ID1: at Wed Oct 4 02:06:00 2000
]: [Author ID1: at Wed Oct 4 02:06:00 2000
]zobacz na stronie:
Zastosowanie przechodnich dwustronnych relacji zaufania
Klikn
ij[Author ID1: at Tue Oct 3 05:33:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:33:00 2000 ] domenę główną (root domain) prawym klawiszem myszki i wybierz[Author ID1: at Tue Oct 3 05:33:00 2000 ]rać[Author ID1: at Tue Oct 3 05:33:00 2000 ] opcję Zarządzaj (M[Author ID1: at Tue Oct 3 18:33:00 2000 ]m[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 01:50:00 2001 ]M[Author ID3: at Tue Jul 31 01:50:00 2001 ]anage). Uruchomiona zostanie przystawka (snap-in) Active DirectoryU[Author ID1: at Tue Oct 3 05:33:00 2000 ]u[Author ID1: at Tue Oct 3 05:33:00 2000 ][Author ID3: at Tue Jul 31 16:32:00 2001 ]U[Author ID3: at Tue Jul 31 16:32:00 2001 ]żytkownicy ikomputery[Author ID3: at Tue Jul 31 16:32:00 2001 ]Komputery [Author ID3: at Tue Jul 31 16:32:00 2001 ](Active Directoryu[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 16:32:00 2001 ]U[Author ID3: at Tue Jul 31 16:32:00 2001 ]U[Author ID1: at Tue Oct 3 18:33:00 2000 ]sers andC[Author ID1: at Tue Oct 3 18:33:00 2000 ]c[Author ID1: at Tue Oct 3 18:33:00 2000 ][Author ID3: at Tue Jul 31 16:32:00 2001 ]C[Author ID3: at Tue Jul 31 16:32:00 2001 ]omputers).Klikn
ij[Author ID1: at Tue Oct 3 05:33:00 2000 ]ąć[Author ID1: at Tue Oct 3 05:33:00 2000 ] prawym klawiszem myszki nazwę domeny. Możesz terazna przykład[Author ID1: at Tue Oct 3 05:33:00 2000 ]np. [Author ID1: at Tue Oct 3 05:33:00 2000 ]dodać nowąJ[Author ID1: at Tue Oct 3 05:33:00 2000 ]j[Author ID1: at Tue Oct 3 05:33:00 2000 ]ednostkę organizacyjną (OU), jak przedstawiono to na rysunku 2.9.
Wszystko co można wykonać za pomocą interfejsu GUI,[Author ID1: at Tue Oct 3 05:33:00 2000
] powinno dać [Author ID1: at Tue Oct 3 05:34:00 2000
]się z[Author ID1: at Tue Oct 3 05:34:00 2000
]robić [Author ID1: at Tue Oct 3 05:33:00 2000
] programowo lub w postaci skryptu. Active Directory zapewnia pełną automatyzację dodawania, zmian, przenoszenia, kopiowania i innych funkcji administracyjnych przez umiejętne posługiwanie się skryptami Visual Basica czy Javy.
Rysunek 2.9.[Author ID1: at Tue Oct 3 05:34:00 2000
] Dodawanie J[Author ID0: at Thu Nov 30 00:00:00 1899
]j[Author ID1: at Tue Oct 3 05:34:00 2000
]ednostki organizacyjnej (OU).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Zastosowanie hierarchii kontenerów do modelowania organizacji
Cecha hierarchii kontenerów (container hierarchy) Active Directory,[Author ID1: at Tue Oct 3 05:35:00 2000
] pozwalająca na umieszczanie [Author ID1: at Tue Oct 3 05:35:00 2000
]u [Author ID1: at Tue Oct 3 05:35:00 2000
]jednej j[Author ID1: at Tue Oct 3 05:35:00 2000
]J[Author ID1: at Tue Oct 3 05:35:00 2000
]ednostki organizacyjnej (OU) wewnątrz innej Jednostki organizacyjnej (OU) [Author ID1: at Tue Oct 3 05:35:00 2000
]lub wewnątrz domen, daje w wyniku hierarchiczną przestrzeń nazw (hierarchical namespace), która może być zastosowana przez administratorów do odwzorowania struktury organizacji i przekazania uprawnień kontrolnych administratora.
Zastosowanie hierarchii kontenerów (container hierarchy) z modelem bardziej precyzyjnego administrowania (finer-grained administrative model) rozwiązuje wiele problemów. Chociaż domeny mogą być duże, znalezienie w nich czegokolwiek [Author ID1: at Tue Oct 3 05:36:00 2000
]któregokolwiek elementu [Author ID1: at Tue Oct 3 05:36:00 2000
]powinno być łatwe. Wszystko,[Author ID1: at Tue Oct 3 05:36:00 2000
] co znajduje się w drzewie domen (domain tree),[Author ID1: at Tue Oct 3 05:36:00 2000
] pojawia[Author ID1: at Tue Oct 3 05:36:00 2000
] się w katalogu globalnym (global catalog). Istnieje[Author ID1: at Tue Oct 3 05:36:00 2000
]Jest[Author ID1: at Tue Oct 3 05:36:00 2000
] usługa umożliwiająca użytkownikom na łatwe [Author ID1: at Tue Oct 3 05:36:00 2000
]prost[Author ID1: at Tue Oct 3 05:36:00 2000
]e[Author ID1: at Tue Oct 3 05:37:00 2000
] od[Author ID1: at Tue Oct 3 05:36:00 2000
]z[Author ID1: at Tue Oct 3 05:36:00 2000
]nalezienie dowolnego obiektu, niezależnie od tego,[Author ID1: at Tue Oct 3 05:37:00 2000
] w [Author ID1: at Tue Oct 3 05:37:00 2000
] której części drzewa lub lasu ([Author ID1: at Tue Oct 3 05:37:00 2000
]forest) domen ten obiekt ten[Author ID1: at Tue Oct 3 05:37:00 2000
]się[Author ID1: at Tue Oct 3 05:37:00 2000
] znajduje się[Author ID1: at Tue Oct 3 05:37:00 2000
].
Uzyskanie bardziej precyzyjnego administrowania
Drzewa domen Active Directory oferują[Author ID1: at Tue Oct 3 05:37:00 2000
]e[Author ID1: at Tue Oct 3 05:37:00 2000
] większą elastyczność administrowania a[Author ID1: at Tue Oct 3 05:38:00 2000
]niżeli[Author ID1: at Tue Oct 3 05:38:00 2000
] ma to miejsce w odniesieniu do[Author ID1: at Tue Oct 3 05:38:00 2000
]jest to w przypadku[Author ID1: at Tue Oct 3 05:38:00 2000
] struktury organizacji z pojedynczym drzewem. Chociaż Active Directory może zawierać domeny o strukturze pojedynczego drzewa (single-tree domains), to —[Author ID1: at Tue Oct 3 05:38:00 2000
] ze względów bezpieczeństwa —[Author ID1: at Tue Oct 3 05:38:00 2000
] lepiej jest utworzyć drzewo domen, z których każda ma własne bezpieczne granice (security boundary[Author ID1: at Tue Oct 3 05:39:00 2000
]ies[Author ID1: at Tue Oct 3 05:39:00 2000
]). Hierarchia domen pozwala na bardziej precyzyjną kontrolę administracyjną,[Author ID1: at Tue Oct 3 05:39:00 2000
] bez stwarzania zagrożeń ich[Author ID1: at Tue Oct 3 05:39:00 2000
]narażania [Author ID1: at Tue Oct 3 05:40:00 2000
]na szwank [Author ID1: at Tue Oct 3 05:39:00 2000
]ich[Author ID1: at Tue Oct 3 05:40:00 2000
] bezpieczeństwu[Author ID1: at Tue Oct 3 05:40:00 2000
]a[Author ID1: at Tue Oct 3 05:40:00 2000
]. Uprawnienia mogą być przekazywane w dół drzewa z użytkownikami, którym nadaje się uprawnienia (jak również nadając uprawnienia innym) na podstawie jednostek organizacyjnych (OU). Takie drzewo domen można przystosować do zmian struktury organizacji przez przycinanie gałęzi, przeszczepianie i scalanie.
Każda z domen w drzewie ma kopię usługi katalogowej (directory service), zawierającą wszystkie obiekty dla tej domeny i metadane (metadata) drzewa domen,[Author ID1: at Tue Oct 3 06:53:00 2000
],[Author ID1: at Tue Oct 3 05:43:00 2000
] takie jak:[Author ID1: at Tue Oct 3 05:43:00 2000
] schemat (schema), wykaz wszystkich domen w drzewie, lokalizacją[Author ID1: at Tue Oct 3 05:43:00 2000
]a[Author ID1: at Tue Oct 3 05:43:00 2000
] serwerów katalogów globalnych (global [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:42:00 2000
] [Author ID1: at Tue Oct 3 05:42:00 2000
]catalog servers),[Author ID1: at Tue Oct 3 05:43:00 2000
] itd. Ponieważ pojedynczy skład katalogu (directory store)nie musi zawierać wszystkich obiektów wszystkich domen można budować duże drzewa bez obniżania wydajności systemu.
Usługi katalogowe Active Directory umożliwiają zdecentralizowane administrowanie bez narażania zabezpieczeń na szwank[Author ID1: at Tue Oct 3 05:44:00 2000
]. Ponieważ każda z domen jest granicą zabezpieczeń (security boundary), tych[Author ID1: at Tue Oct 3 05:45:00 2000
]może być[Author ID1: at Tue Oct 3 05:45:00 2000
] wiele [Author ID1: at Tue Oct 3 05:45:00 2000
]granic może być wiele[Author ID1: at Tue Oct 3 05:45:00 2000
]zabezpieczeń[Author ID1: at Tue Oct 3 05:45:00 2000
]. W ten sposób, np.[Author ID1: at Tue Oct 3 05:45:00 2000
] na przykład[Author ID1: at Tue Oct 3 05:45:00 2000
] administratorzy domeny mojadomena.com nie są automatycznie administratorami w [Author ID1: at Tue Oct 3 05:45:00 2000
]domenie[Author ID1: at Tue Oct 3 05:45:00 2000
]y[Author ID1: at Tue Oct 3 05:45:00 2000
] twojadomena.com. Hierarchia kontenerów (container hierarchy) jest ważna,[Author ID1: at Tue Oct 3 05:45:00 2000
] ponieważ administrator domeny ma władzę nad każdym obiektem i usługą w tej domenie. Usługi katalogowe Active Directory nadają użytkownikom uprawnienia na podstawie specjalnych funkcji, które wykonują w określonym zakresie działania. Zakresem działania administratora (administrative scope) może być cała domena, poddrzewo jednostki organizacyjnej w danej domenie lub pojedyncza [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]jednostka organizacyjna (OU).
Wskazówka: Dokładna kontrola administracyjna (fine-grained administration) polega na edycji listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL i stosowaniu założeń grupowych (Group Policy). Można, np.[Author ID1: at Tue Oct 3 05:46:00 2000
] na przykład[Author ID1: at Tue Oct 3 05:46:00 2000
] mieć jednostkę organizacyjną o nazwie „sales"[Author ID1: at Tue Oct 3 05:47:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]oraz adminstratora tej jednostki administracyjnej, który może nadawać prawa i uprawnienia użytkownikom [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]tej domeny. Jednakże można ustawić takie warunki zabezpieczeń na poziomie domeny (domain level security conditions), który nie może być zmieniony przez administratora domeny „sales"[Author ID1: at Tue Oct 3 05:49:00 2000
] i wymusić dziedziczenie[Author ID1: at Tue Oct 3 05:49:00 2000
]a[Author ID1: at Tue Oct 3 05:49:00 2000
] tych warunków przez wszystkie jednostki organizacyjne w danej domenie. Na przykład [Author ID1: at Tue Oct 3 05:49:00 2000
]p. [Author ID1: at Tue Oct 3 05:49:00 2000
]administrator domeny „sales"[Author ID1: at Tue Oct 3 05:49:00 2000
] może być w stanie nadać uprawnienia do korzystania z pliku lub foldera, ale nie może nadać użytkownikom [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]prawa do logowania się lokalnie w kontrolerach domen. Administrator domeny „sales"[Author ID1: at Tue Oct 3 05:49:00 2000
] nie posiada uprawnień administracyjnych w żadnej innej jednostce organizacyjnej.
Rozwiązania pokrewne [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:50:00 2000
]zobacz na stronie:
Zastosowanie E[Author ID1: at Tue Oct 3 05:50:00 2000
]e[Author ID1: at Tue Oct 3 05:50:00 2000
]dytora listy kontroli dostępu (Access Control List Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]editor[Author ID1: at Tue Oct 3 20:41:00 2000
])
Dostęp do założeń grupowych domeny lub jednostki organizacyjnej
Ustanawianie dziedziczenia i zastępowanie zasad (override)
Korzystając z usług katalogowych Active Directory,[Author ID1: at Tue Oct 3 05:50:00 2000
] można tworzyć rozbudowane struktury użytkowników. Potencjalnie każdy użytkownik może mieć dostęp do wszystkich informacji zapisanych w katalogu,[Author ID1: at Tue Oct 3 05:51:00 2000
] —[Author ID1: at Tue Oct 3 05:51:00 2000
] ale granice zabezpieczeń pozostają wyraźne. Granice zabezpieczeń [Author ID1: at Tue Oct 3 05:51:00 2000
]te [Author ID1: at Tue Oct 3 05:51:00 2000
](security boundaries) mogą być również dużo mniejsze niż domena, np.[Author ID1: at Tue Oct 3 05:51:00 2000
]. Na przykład[Author ID1: at Tue Oct 3 05:51:00 2000
] podczas tworzenia konta użytkownika, przypisuje się je do określonej domeny, ale można je [Author ID1: at Tue Oct 3 05:51:00 2000
]także umieścić je [Author ID1: at Tue Oct 3 05:51:00 2000
]w jednostce organizacyjnej. Uprawnienie do tworzenia użytkowników w danej jednostce organizacyjnej (OU) może być przekazane komuś, aby [Author ID1: at Tue Oct 3 05:52:00 2000
]kto [Author ID1: at Tue Oct 3 05:52:00 2000
]mógłby[Author ID1: at Tue Oct 3 05:52:00 2000
] tworzyć użytkowników lub inne obiekty katalogowe tylko w jednym miejscu, a prawa te obowiązują tylko w danej jednostce organizacyjnej (OU)[Author ID1: at Wed Oct 4 02:06:00 2000
]. Dodatkowo można tworzyć hierarchie jednostek organizacyjnych. W Active Directory wprowadzono specjalne uprawnienia, każde z nich może być przekazane i każdemu można ograniczyć zakres stosowania.
Rozszerzanie usług katalogowych za pomocą schematu otwartego (extensible schema)
Aby administratorzy mogli tworzyć własne typy obiektów katalogowych (directory object types),[Author ID1: at Tue Oct 3 05:52:00 2000
] do Active Directory można wprowadzić nowe elementy za pomocą mechanizmu schematów (schema mechanism). Użytkownik, który chce opublikować w katalogu jakieś[Author ID1: at Tue Oct 3 05:53:00 2000
]kolwiek[Author ID1: at Tue Oct 3 05:53:00 2000
] ważne dane, może utworzyć typ obiektu i opublikować go, np.[Author ID1: at Tue Oct 3 05:53:00 2000
]. Na przykład[Author ID1: at Tue Oct 3 05:53:00 2000
] hurtownik może utworzyć obiekt typu magazyn,[Author ID1: at Tue Oct 3 05:53:00 2000
] aby umieścić go w jego katalogu, razem z informacjami właściwymi dla swojej działalności. Można też [Author ID1: at Tue Oct 3 05:53:00 2000
]definiować nowe klasy obiektów i dodawać nowe obiekty.
Szeroki zakres klas jest zdefiniowany przez same usługi katalogowe, np.[Author ID1: at Tue Oct 3 05:53:00 2000
] — na przykład[Author ID1: at Tue Oct 3 05:53:00 2000
] w Active Directory są:[Author ID1: at Tue Oct 3 05:54:00 2000
] standardowe obiekty dla klas D[Author ID1: at Tue Oct 3 05:54:00 2000
]d[Author ID1: at Tue Oct 3 05:54:00 2000
]omena (d[Author ID1: at Tue Oct 3 05:54:00 2000
]D[Author ID1: at Tue Oct 3 05:54:00 2000
]omain), J[Author ID1: at Tue Oct 3 05:54:00 2000
]j[Author ID1: at Tue Oct 3 05:54:00 2000
]ednostka organizacyjna (OU)[Author ID1: at Wed Oct 4 02:06:00 2000
], U[Author ID1: at Tue Oct 3 05:54:00 2000
]u[Author ID1: at Tue Oct 3 05:54:00 2000
]żytkownik (U[Author ID1: at Tue Oct 3 05:54:00 2000
]u[Author ID1: at Tue Oct 3 05:54:00 2000
]ser), G[Author ID1: at Tue Oct 3 05:54:00 2000
]g[Author ID1: at Tue Oct 3 05:54:00 2000
]rupa (G[Author ID1: at Tue Oct 3 05:54:00 2000
]g[Author ID1: at Tue Oct 3 05:54:00 2000
]roup), K[Author ID1: at Tue Oct 3 05:54:00 2000
]k[Author ID1: at Tue Oct 3 05:54:00 2000
]omputer (M[Author ID1: at Tue Oct 3 05:54:00 2000
]m[Author ID1: at Tue Oct 3 05:54:00 2000
]achine), W[Author ID1: at Tue Oct 3 05:54:00 2000
]w[Author ID1: at Tue Oct 3 05:54:00 2000
]olumin (V[Author ID1: at Tue Oct 3 05:54:00 2000
]v[Author ID1: at Tue Oct 3 05:54:00 2000
]olume) i K[Author ID1: at Tue Oct 3 05:54:00 2000
]k[Author ID1: at Tue Oct 3 05:54:00 2000
]olejka wydruku (P[Author ID1: at Tue Oct 3 05:55:00 2000
]p[Author ID1: at Tue Oct 3 05:55:00 2000
]rintQueue),[Author ID1: at Tue Oct 3 05:54:00 2000
] jak również zestaw obiektów punkt połączenia (connection point) wykorzystywanych przez Winsock, RPC i usługi modelu obiektowego składników rozproszonych [Author ID1: at Wed Oct 4 04:36:00 2000
]DCOM [Author ID1: at Wed Oct 4 04:36:00 2000
](Distributed Component Object Model — [Author ID1: at Wed Oct 4 04:36:00 2000
]DCOM[Author ID1: at Wed Oct 4 04:36:00 2000
]),[Author ID1: at Tue Oct 3 05:55:00 2000
] służących[Author ID1: at Tue Oct 3 05:55:00 2000
]e[Author ID1: at Tue Oct 3 05:55:00 2000
] do publikowania informacji o [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]powiązaniach (binding information).
Zastosowanie zabezpieczeń rozproszonych
Razem z Active Directory w systemie Windows 2000 Server wprowadzono model zabezpieczeń rozproszonych (distributed security model), oparty na protokole uwierzytelniania Kerberos. Uwierzytelnianie za pomocą protokołu Kerberos jest stosowane do zabezpieczeń rozproszonych w granicach [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]drzewa [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]domen,[Author ID1: at Tue Oct 3 05:56:00 2000
] a stosowane zabezpieczenia za pomocą klucza publicznego i prywatnego są zgodne z modelem obsługi listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL,[Author ID1: at Tue Oct 3 05:56:00 2000
] jaki występuje w systemie operacyjnym Windows 2000. Active Directory jest składem (store) dla systemu zabezpieczeń (security system), łącznie z kontami użytkowników, grupami i domenami. Zastępuje bazę danych kont R[Author ID1: at Tue Oct 3 05:56:00 2000
]r[Author ID1: at Tue Oct 3 05:56:00 2000
]ejestru (R[Author ID1: at Tue Oct 3 05:56:00 2000
]r[Author ID1: at Tue Oct 3 05:56:00 2000
]egistry account database) i jest elementem zaufanym w granicach L[Author ID1: at Tue Oct 3 05:56:00 2000
]l[Author ID1: at Tue Oct 3 05:56:00 2000
]okalnej jednostki certyfikującej (Local Security Authority [Author ID1: at Tue Oct 3 05:56:00 2000
]-[Author ID1: at Tue Oct 3 05:56:00 2000
]— [Author ID1: at Tue Oct 3 05:56:00 2000
]LSA). Uwierzytelnienie metodą pojedynczego logowania (single sign-on) do drzewa domen Windows 2000 pozwala użytkownikom na dostęp do wszystkich zasobów znajdujących się w dowolnym miejscu sieci przedsiębiorstwa. Narzędzia administracyjne do zarządzania założeniami bezpieczeństwa (security policy) i kontami obniżają koszty wdrażania systemu Windows 2000, który[Author ID1: at Tue Oct 3 05:57:00 2000
]. System Windows 2000 [Author ID1: at Tue Oct 3 05:57:00 2000
] [Author ID1: at Tue Oct 3 05:59:00 2000
]daje również podstawy zintegrowanych zabezpieczeń programów z rodziny BackOffice, zawierającej Exchange, SQL Server, SNA Server oraz Systems Management Server.
Protokół uwierzytelniania Kerberos wersja [Author ID0: at Thu Nov 30 00:00:00 1899
]5 został rozszerzony,[Author ID1: at Tue Oct 3 06:00:00 2000
] aby — [Author ID1: at Tue Oct 3 06:00:00 2000
]oprócz uwierzytelniania na podstawie hasła i wspólnego uwierzytelniania (shared secret authentication) — [Author ID1: at Tue Oct 3 06:00:00 2000
]można było dokonywać uwierzytelniania na podstawie klucza publicznego.
Rozwiązania pokrewne [Author ID1: at Tue Oct 3 06:00:00 2000
]: [Author ID1: at Tue Oct 3 06:00:00 2000
]zobacz na stronie:
Ustanawianie połączenia za pomocą protokołu z kluczem tajnym (shared secret protocol)
Uwierzytelnianie logowania
Zastosowanie zabezpieczeń z kluczem publicznym systemu Windows 2000
Usługi katalogowe Active Directory do nadawania prawa dostępu do zasobów podmiotom, np.[Author ID1: at Tue Oct 3 06:01:00 2000
]takim jak[Author ID1: at Tue Oct 3 06:01:00 2000
] użytkownicy[Author ID1: at Tue Oct 3 06:01:00 2000
]kom[Author ID1: at Tue Oct 3 06:01:00 2000
], które nie mają danych uwierzytelniających protokołu Kerberos, wykorzystują również certyfikaty z kluczem publicznym w standardzie X.509v3. Do tego rodzaju użytkowników należy zwykle [Author ID1: at Tue Oct 3 06:01:00 2000
]zazwyczaj [Author ID1: at Tue Oct 3 06:01:00 2000
]ktoś spoza firmy, komu potrzebny jest dostęp do zasobów firmowych, np.[Author ID1: at Tue Oct 3 06:01:00 2000
]. Na przykład[Author ID1: at Tue Oct 3 06:01:00 2000
] zakład produkcyjny może mieć poddostawców, którym potrzebny jest dostęp [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]do specyfikacji, planów,[Author ID1: at Tue Oct 3 06:05:00 2000
] itp. Active Directory pozwalają[Author ID1: at Tue Oct 3 06:05:00 2000
] na przypisanie certyfikatu X.509v3 wydanego przez zaufaną jednostkę certyfikującą do grup zabezpieczonych (security groups) systemu Windows 2000. Tak więc użytkownikom spoza systemu Windows 2000, którzy mają certyfikat,[Author ID1: at Tue Oct 3 06:06:00 2000
] można nadać prawo dostępu do zasobów w ten sam sposób,[Author ID1: at Tue Oct 3 06:06:00 2000
] jak użytkownikom uwierzytelnionym za pomocą protokołu Kerberos.
Zastosowanie rozszerzenia U[Author ID1: at Tue Oct 3 06:06:00 2000
]u[Author ID1: at Tue Oct 3 06:06:00 2000
]stawienia zabezpieczeń (Security [Author ID1: at Tue Oct 3 20:43:00 2000
]security [Author ID1: at Tue Oct 3 20:43:00 2000
]Settings[Author ID1: at Tue Oct 3 20:43:00 2000
]settings[Author ID1: at Tue Oct 3 20:43:00 2000
]) E[Author ID1: at Tue Oct 3 06:06:00 2000
]e[Author ID1: at Tue Oct 3 06:06:00 2000
]dytora założeń grupowych (Group Policy Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]editor[Author ID1: at Tue Oct 3 20:41:00 2000
])
Jak już wcześniej wspomniano, rozszerzenie U[Author ID1: at Tue Oct 3 06:07:00 2000
]U[Author ID1: at Tue Oct 3 06:07:00 2000
]stawienia zabezpieczeń[Author ID3: at Wed Aug 1 12:54:00 2001
] [Author ID3: at Wed Aug 1 12:54:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:54:00 2001
] [Author ID3: at Wed Aug 1 12:54:00 2001
](S[Author ID1: at Tue Oct 3 19:05:00 2000
]s[Author ID1: at Tue Oct 3 19:05:00 2000
][Author ID3: at Tue Jul 31 01:57:00 2001
]S[Author ID3: at Tue Jul 31 01:57:00 2001
]ecurity S[Author ID1: at Tue Oct 3 19:05:00 2000
]s[Author ID1: at Tue Oct 3 19:05:00 2000
][Author ID3: at Tue Jul 31 01:57:00 2001
]S[Author ID3: at Tue Jul 31 01:57:00 2001
]ettings) E[Author ID1: at Tue Oct 3 06:07:00 2000
]E[Author ID1: at Tue Oct 3 06:07:00 2000
]dytora założeń [Author ID3: at Wed Aug 1 12:54:00 2001
]Założeń [Author ID3: at Wed Aug 1 12:54:00 2001
]grupowych[Author ID3: at Wed Aug 1 12:55:00 2001
] [Author ID3: at Wed Aug 1 12:55:00 2001
]Grupowych[Author ID3: at Wed Aug 1 12:55:00 2001
] [Author ID3: at Wed Aug 1 12:55:00 2001
](Group Policy Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]e[Author ID1: at Tue Oct 3 20:41:00 2000
][Author ID3: at Tue Jul 31 01:58:00 2001
]E[Author ID3: at Tue Jul 31 01:58:00 2001
]ditor[Author ID1: at Tue Oct 3 20:41:00 2000
]) można stosować do definiowania konfiguracji zabezpieczeń w granicach danego obiektu GPO (Group Policy Object). Założenia grupowe (Group Policy) opisano szczegółowo w rozdziale 3.[Author ID1: at Tue Oct 3 06:08:00 2000
], ale w tym miejscu omówione zostaną udogodnienia, które zapewnia ten [Author ID1: at Tue Oct 3 06:08:00 2000
]interfejs GUI. Poniższe procedury przedstawiają tworzenie konsoli,[Author ID1: at Tue Oct 3 06:08:00 2000
] przygotowywanych według potrzeb administratora po[Author ID1: at Tue Oct 3 06:08:00 2000
], [Author ID1: at Tue Oct 3 06:08:00 2000
]przez dodawanie przystawek (snap-in) konsoli MMC, sprawdzenie, czy uaktywniono rozszerzenie Z[Author ID1: at Tue Oct 3 06:08:00 2000
]Z[Author ID1: at Tue Oct 3 06:08:00 2000
]ałożenia g[Author ID1: at Tue Oct 3 19:05:00 2000
]G[Author ID1: at Tue Oct 3 19:05:00 2000
]rupowe — U[Author ID1: at Tue Oct 3 06:08:00 2000
]U[Author ID1: at Tue Oct 3 06:08:00 2000
]stawienia [Author ID1: at Tue Oct 3 06:08:00 2000
] [Author ID1: at Tue Oct 3 06:08:00 2000
]z[Author ID1: at Tue Oct 3 19:05:00 2000
]z[Author ID1: at Tue Oct 3 19:05:00 2000
]abezpieczeń (Group Policy Security [Author ID1: at Tue Oct 3 20:43:00 2000
]s[Author ID1: at Tue Oct 3 20:43:00 2000
][Author ID3: at Sun Aug 5 20:46:00 2001
]S[Author ID3: at Sun Aug 5 20:46:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:43:00 2000
]Settings[Author ID1: at Tue Oct 3 20:43:00 2000
]s[Author ID1: at Tue Oct 3 20:43:00 2000
][Author ID3: at Sun Aug 5 20:46:00 2001
]S[Author ID3: at Sun Aug 5 20:46:00 2001
]ettings[Author ID1: at Tue Oct 3 20:43:00 2000
]) i zapisanie konsoli, w celu jej wykorzystania[Author ID1: at Tue Oct 3 06:09:00 2000
]aby można było ją wykorzystać[Author ID1: at Tue Oct 3 06:09:00 2000
] w przyszłości.
Z menu Start wybierz Uruchom (
r[Author ID1: at Tue Oct 3 19:05:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]R[Author ID3: at Tue Jul 31 01:58:00 2001 ]R[Author ID1: at Tue Oct 3 19:05:00 2000 ]un) i wpisz polecenie mmc.Kliknij menu rozwijalne Konsola (
c[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]C[Author ID3: at Tue Jul 31 01:58:00 2001 ]C[Author ID1: at Tue Oct 3 18:07:00 2000 ]onsole).Kliknij Dodaj/Usuń przystawkę (
a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]A[Author ID3: at Tue Jul 31 01:58:00 2001 ]A[Author ID1: at Tue Oct 3 18:07:00 2000 ]dd/R[Author ID1: at Tue Oct 3 18:07:00 2000 ]r[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]R[Author ID3: at Tue Jul 31 01:58:00 2001 ]emoveS[Author ID1: at Tue Oct 3 06:11:00 2000 ]s[Author ID1: at Tue Oct 3 06:11:00 2000 ]nap-in). Pojawi się okno dialogowe Dodaj/Usuń przystawkę (A[Author ID1: at Tue Oct 3 18:07:00 2000 ]a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]A[Author ID3: at Tue Jul 31 01:58:00 2001 ]dd/R[Author ID1: at Tue Oct 3 18:07:00 2000 ]r[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]R[Author ID3: at Tue Jul 31 01:58:00 2001 ]emoveS[Author ID1: at Tue Oct 3 06:11:00 2000 ]s[Author ID1: at Tue Oct 3 06:11:00 2000 ]nap-in).Kliknij Dodaj (
a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:58:00 2001 ]A[Author ID3: at Tue Jul 31 01:58:00 2001 ]A[Author ID1: at Tue Oct 3 18:07:00 2000 ]dd). Pojawi się okno dialogowe Dodawajsamodzielną[Author ID3: at Tue Jul 31 16:37:00 2001 ]s[Author ID3: at Tue Jul 31 16:39:00 2001 ]amodzielną [Author ID3: at Tue Jul 31 16:37:00 2001 ]przystawkę[Author ID3: at Tue Jul 31 16:37:00 2001 ]a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:59:00 2001 ]A[Author ID3: at Tue Jul 31 01:59:00 2001 ]A[Author ID1: at Tue Oct 3 18:07:00 2000 ]ddS[Author ID1: at Tue Oct 3 18:07:00 2000 ]s[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 16:37:00 2001 ]s[Author ID3: at Tue Jul 31 16:39:00 2001 ]tandaloneS[Author ID1: at Tue Oct 3 18:07:00 2000 ]s[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 16:37:00 2001 ]s[Author ID3: at Tue Jul 31 16:39:00 2001 ]nap-in).Z listy Dostępne samodzielne przystawki (
A[Author ID1: at Tue Oct 3 18:07:00 2000 ]a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 01:59:00 2001 ]A[Author ID3: at Tue Jul 31 01:59:00 2001 ]vailableS[Author ID1: at Tue Oct 3 06:11:00 2000 ]s[Author ID1: at Tue Oct 3 06:11:00 2000 ]tandaloneS[Author ID1: at Tue Oct 3 06:11:00 2000 ]s[Author ID1: at Tue Oct 3 06:11:00 2000 ]nap-in) wybierz Active DirectoryU[Author ID1: at Tue Oct 3 06:11:00 2000 ]u[Author ID1: at Tue Oct 3 06:11:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]U[Author ID3: at Tue Jul 31 16:39:00 2001 ]żytkownicy ikomputery[Author ID3: at Tue Jul 31 16:39:00 2001 ]U[Author ID1: at Tue Oct 3 18:08:00 2000 ]u[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]U[Author ID3: at Tue Jul 31 16:39:00 2001 ]sers andc[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]C[Author ID3: at Tue Jul 31 16:39:00 2001 ]C[Author ID1: at Tue Oct 3 18:08:00 2000 ]omputers). Kliknij Dodaj([Author ID1: at Wed Oct 4 02:07:00 2000 ]A[Author ID1: at Tue Oct 3 18:08:00 2000 ]dd)[Author ID1: at Wed Oct 4 02:07:00 2000 ].Wybierz Active Directory
L[Author ID1: at Tue Oct 3 06:12:00 2000 ]l[Author ID1: at Tue Oct 3 06:12:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]L[Author ID3: at Tue Jul 31 16:39:00 2001 ]okacje iusługi[Author ID3: at Tue Jul 31 16:39:00 2001 ]S[Author ID1: at Tue Oct 3 18:08:00 2000 ]s[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]S[Author ID3: at Tue Jul 31 16:39:00 2001 ]ites ands[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 16:39:00 2001 ]S[Author ID3: at Tue Jul 31 16:39:00 2001 ]S[Author ID1: at Tue Oct 3 18:08:00 2000 ]ervices). Kliknij Dodaj (A[Author ID1: at Tue Oct 3 18:08:00 2000 ]a[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 01:59:00 2001 ]A[Author ID3: at Tue Jul 31 01:59:00 2001 ]dd).Wybierz Założenia
grupowe[Author ID3: at Wed Aug 1 12:55:00 2001 ]A[Author ID1: at Tue Oct 3 18:08:00 2000 ]a[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 01:59:00 2001 ]A[Author ID3: at Tue Jul 31 01:59:00 2001 ]dd).Pojawi się nowe okno. Upewnij się,[Author ID1: at Tue Oct 3 06:12:00 2000 ] czy dla przystawki Założenia
grupowe[Author ID3: at Tue Jul 31 16:40:00 2001 ](Group Policy)[Author ID1: at Wed Oct 4 02:07:00 2000 ]lokalny[Author ID3: at Wed Aug 1 12:55:00 2001 ]L[Author ID1: at Tue Oct 3 18:08:00 2000 ]l[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]L[Author ID3: at Tue Jul 31 02:00:00 2001 ]ocalC[Author ID1: at Tue Oct 3 18:08:00 2000 ]c[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Wed Aug 1 12:55:00 2001 ]C[Author ID3: at Wed Aug 1 12:55:00 2001 ]omputer), a następnie naciśnij przycisk Zakończ (F[Author ID1: at Tue Oct 3 18:08:00 2000 ]f[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]F[Author ID3: at Tue Jul 31 02:00:00 2001 ]inish).Wybierz zakładkę Rozszerzenia (
e[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]E[Author ID3: at Tue Jul 31 02:00:00 2001 ]E[Author ID1: at Tue Oct 3 18:08:00 2000 ]xtensions). Upewnij się, czy zaznaczono pole wyboru Dodaj wszystkie (A[Author ID1: at Tue Oct 3 18:08:00 2000 ]a[Author ID1: at Tue Oct 3 18:08:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]A[Author ID3: at Tue Jul 31 02:00:00 2001 ]dd all) dla każdej z przystawek dodanych do konsoli MMC (są wybrane domyślnie). W szczególności upewnij się, czy uaktywniono rozszerzenie Z[Author ID1: at Tue Oct 3 18:09:00 2000 ]Z[Author ID1: at Tue Oct 3 18:09:00 2000 ]ałożenia grupowe [Author ID1: at Tue Oct 3 06:12:00 2000 ]-[Author ID1: at Tue Oct 3 06:12:00 2000 ]— [Author ID1: at Tue Oct 3 06:12:00 2000 ]Ustawienie zabezpieczeń(Group Policy[Author ID1: at Wed Oct 4 02:07:00 2000 ]S[Author ID1: at Tue Oct 3 18:09:00 2000 ]ecurity[Author ID1: at Wed Oct 4 02:07:00 2000 ]S[Author ID1: at Tue Oct 3 18:09:00 2000 ]ettings)[Author ID1: at Wed Oct 4 02:07:00 2000 ], jak przedstawiono na rysunku 2.10.Naciśnij OK.
Wybierz Konsola
/[Author ID3: at Tue Jul 31 16:40:00 2001 ]\[Author ID3: at Tue Jul 31 16:40:00 2001 ]Zapisz (C[Author ID1: at Tue Oct 3 18:09:00 2000 ]c[Author ID1: at Tue Oct 3 18:09:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]C[Author ID3: at Tue Jul 31 02:00:00 2001 ]onsole/[Author ID3: at Tue Jul 31 16:40:00 2001 ]\[Author ID3: at Tue Jul 31 16:40:00 2001 ]S[Author ID1: at Tue Oct 3 18:09:00 2000 ]s[Author ID1: at Tue Oct 3 18:09:00 2000 ][Author ID3: at Tue Jul 31 02:00:00 2001 ]S[Author ID3: at Tue Jul 31 02:00:00 2001 ]ave). W celu wykorzystania konsoli w dalszej części niniejszego rozdziału i zapewnienia zgodności z opisem w rozdziale 3.[Author ID1: at Tue Oct 3 06:15:00 2000 ], zapisz konsolę pod nazwą GroupAD. Konsola powinna wyglądać podobnie jak na[Author ID1: at Tue Oct 3 06:15:00 2000 ]do tej z[Author ID1: at Tue Oct 3 06:15:00 2000 ] rysunku 2.11. Zauważ, że Założeniagrupowe[Author ID3: at Wed Aug 1 12:55:00 2001 ]komputera[Author ID3: at Tue Jul 31 16:48:00 2001 ]Komputera [Author ID3: at Tue Jul 31 16:48:00 2001 ]lokalnego[Author ID3: at Tue Jul 31 16:48:00 2001 ]L[Author ID1: at Tue Oct 3 18:09:00 2000 ]l[Author ID1: at Tue Oct 3 18:09:00 2000 ][Author ID3: at Tue Jul 31 02:01:00 2001 ]L[Author ID3: at Tue Jul 31 02:01:00 2001 ]ocalC[Author ID1: at Tue Oct 3 18:09:00 2000 ]c[Author ID1: at Tue Oct 3 18:09:00 2000 ][Author ID3: at Tue Jul 31 16:44:00 2001 ]C[Author ID3: at Tue Jul 31 16:44:00 2001 ]omputerP[Author ID1: at Tue Oct 3 19:06:00 2000 ]p[Author ID1: at Tue Oct 3 19:06:00 2000 ][Author ID3: at Tue Jul 31 16:44:00 2001 ]P[Author ID3: at Tue Jul 31 16:44:00 2001 ]olicy),[Author ID1: at Tue Oct 3 06:15:00 2000 ] ponieważ dla przystawki (snap-in) Założeniagrupowe[Author ID3: at Wed Aug 1 12:55:00 2001 ](Group Policy)[Author ID1: at Wed Oct 4 02:07:00 2000 ]kroku[Author ID1: at Tue Oct 3 06:16:00 2000 ]punkcie[Author ID1: at Tue Oct 3 06:16:00 2000 ] 8.[Author ID1: at Tue Oct 3 06:16:00 2000 ] wybrano opcję K[Author ID1: at Tue Oct 3 06:15:00 2000 ]K[Author ID1: at Tue Oct 3 06:15:00 2000 ]omputerlokalny[Author ID3: at Wed Aug 1 12:55:00 2001 ]Lokalny[Author ID3: at Wed Aug 1 12:55:00 2001 ]([Author ID1: at Wed Oct 4 02:08:00 2000 ]L[Author ID1: at Tue Oct 3 18:09:00 2000 ]ocal[Author ID1: at Wed Oct 4 02:08:00 2000 ]C[Author ID1: at Tue Oct 3 18:09:00 2000 ]omputer)[Author ID1: at Wed Oct 4 02:08:00 2000 ].
Wskazówka: Domyślnie nowa konsola zapisana jest w folderze N[Author ID0: at Thu Nov 30 00:00:00 1899
]n[Author ID1: at Tue Oct 3 06:16:00 2000
][Author ID3: at Tue Jul 31 02:01:00 2001
]N[Author ID3: at Tue Jul 31 02:01:00 2001
]arzędzia administracyjne (a[Author ID1: at Tue Oct 3 18:33:00 2000
][Author ID3: at Tue Jul 31 02:01:00 2001
]A[Author ID3: at Tue Jul 31 02:01:00 2001
]A[Author ID1: at Tue Oct 3 18:33:00 2000
]dministrative tools). Prostym sposobem uruchomienia tej konsoli jest wybór opcji menu Start|[Author ID0: at Thu Nov 30 00:00:00 1899
]\[Author ID3: at Tue Jul 31 02:01:00 2001
]Programy|[Author ID0: at Thu Nov 30 00:00:00 1899
]\[Author ID3: at Tue Jul 31 02:01:00 2001
]Narzędzia administracyjne (Start|[Author ID3: at Tue Jul 31 16:41:00 2001
]\[Author ID3: at Tue Jul 31 16:41:00 2001
]Programs|[Author ID3: at Tue Jul 31 16:41:00 2001
]\[Author ID3: at Tue Jul 31 16:41:00 2001
]Administrative Tools).
Rysunek 2.10.[Author ID1: at Tue Oct 3 06:16:00 2000
] Upewnij się, że wybrano Założenia grupowe[Author ID0: at Thu Nov 30 00:00:00 1899
] [Author ID1: at Tue Oct 3 06:16:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Grupowe [Author ID3: at Wed Aug 1 12:56:00 2001
]-U[Author ID0: at Thu Nov 30 00:00:00 1899
]u[Author ID1: at Tue Oct 3 19:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Wed Aug 1 12:56:00 2001
]stawienia zabezpieczeń [Author ID0: at Thu Nov 30 00:00:00 1899
]Zabezpieczeń [Author ID3: at Wed Aug 1 12:56:00 2001
](Group Policy S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:33:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Wed Aug 1 12:56:00 2001
]ecurity S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:33:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Wed Aug 1 12:56:00 2001
]ettings).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.11.[Author ID1: at Tue Oct 3 06:16:00 2000
].[Author ID0: at Thu Nov 30 00:00:00 1899
] Rozszerzenie U[Author ID0: at Thu Nov 30 00:00:00 1899
]u[Author ID1: at Tue Oct 3 06:16:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Mon Aug 6 09:51:00 2001
]stawienia zabezpieczeń [Author ID0: at Thu Nov 30 00:00:00 1899
]Zabezpieczeń [Author ID3: at Mon Aug 6 09:51:00 2001
](S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:34:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Mon Aug 6 09:51:00 2001
]ecurity S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:34:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Mon Aug 6 09:52:00 2001
]ettings) przystawki Założenia grupowe [Author ID0: at Thu Nov 30 00:00:00 1899
]Grupowe [Author ID3: at Wed Aug 1 12:56:00 2001
](P[Author ID0: at Thu Nov 30 00:00:00 1899
]p[Author ID1: at Tue Oct 3 18:34:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Tue Jul 31 02:02:00 2001
]olicy S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 18:34:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Wed Aug 1 12:56:00 2001
]ettings snap-in).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Zbadaj wszystkie zabezpieczenia rozszerzając gałęzie Założenia
komputera[Author ID3: at Tue Jul 31 16:44:00 2001 ]Komputera [Author ID3: at Tue Jul 31 16:44:00 2001 ]lokalnego[Author ID3: at Tue Jul 31 16:45:00 2001 ]Lokalnego [Author ID3: at Tue Jul 31 16:45:00 2001 ](L[Author ID1: at Tue Oct 3 18:34:00 2000 ]l[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 02:02:00 2001 ]L[Author ID3: at Tue Jul 31 02:02:00 2001 ]ocalC[Author ID1: at Tue Oct 3 18:34:00 2000 ]c[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]C[Author ID3: at Tue Jul 31 16:45:00 2001 ]omputerP[Author ID1: at Tue Oct 3 18:34:00 2000 ]p[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]P[Author ID3: at Tue Jul 31 16:45:00 2001 ]olicy), Konfiguracjakomputera[Author ID3: at Tue Jul 31 16:45:00 2001 ]Komputera [Author ID3: at Tue Jul 31 16:45:00 2001 ](c[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 02:02:00 2001 ]C[Author ID3: at Tue Jul 31 02:02:00 2001 ]C[Author ID1: at Tue Oct 3 18:34:00 2000 ]omputerC[Author ID1: at Tue Oct 3 18:34:00 2000 ]c[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]C[Author ID3: at Tue Jul 31 16:45:00 2001 ]onfiguration), Ustawieniasystemu[Author ID3: at Tue Jul 31 16:45:00 2001 ]Systemu [Author ID3: at Tue Jul 31 16:45:00 2001 ]Windows (WindowsS[Author ID1: at Tue Oct 3 18:34:00 2000 ]s[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]S[Author ID3: at Tue Jul 31 16:45:00 2001 ]ettings) i Ustawieniazabezpieczeń[Author ID3: at Tue Jul 31 16:45:00 2001 ]Zabezpieczeń [Author ID3: at Tue Jul 31 16:45:00 2001 ](S[Author ID1: at Tue Oct 3 18:34:00 2000 ]s[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 02:02:00 2001 ]S[Author ID3: at Tue Jul 31 02:02:00 2001 ]ecurityS[Author ID1: at Tue Oct 3 18:34:00 2000 ]s[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]S[Author ID3: at Tue Jul 31 16:45:00 2001 ]ettings) jak przedstawiono to na rysunku 2.12. Można skonfigurować i przeanalizować następujące pozycje:
z[Author ID1: at Tue Oct 3 06:17:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]Z[Author ID3: at Tue Jul 31 16:45:00 2001 ]Z[Author ID1: at Tue Oct 3 06:17:00 2000 ]ałożeniakont[Author ID3: at Tue Jul 31 16:45:00 2001 ]Kont [Author ID3: at Tue Jul 31 16:45:00 2001 ](a[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]A[Author ID3: at Tue Jul 31 16:45:00 2001 ]A[Author ID1: at Tue Oct 3 18:34:00 2000 ]ccountP[Author ID1: at Tue Oct 3 18:34:00 2000 ]p[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]P[Author ID3: at Tue Jul 31 16:45:00 2001 ]olicies) — zawiera ustawienia zabezpieczeń dotyczące założeń haseł, zasad blokady kont (account lockout policies) i protokołu Kerberos,[Author ID1: at Tue Oct 3 06:17:00 2000 ].[Author ID1: at Tue Oct 3 06:17:00 2000 ]
z[Author ID1: at Tue Oct 3 06:17:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]Z[Author ID3: at Tue Jul 31 16:45:00 2001 ]Z[Author ID1: at Tue Oct 3 06:17:00 2000 ]ałożenialokalne[Author ID3: at Tue Jul 31 16:45:00 2001 ]Lokalne [Author ID3: at Tue Jul 31 16:45:00 2001 ](L[Author ID1: at Tue Oct 3 18:34:00 2000 ]l[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]L[Author ID3: at Tue Jul 31 16:45:00 2001 ]ocalP[Author ID1: at Tue Oct 3 18:34:00 2000 ]p[Author ID1: at Tue Oct 3 18:34:00 2000 ][Author ID3: at Tue Jul 31 16:45:00 2001 ]P[Author ID3: at Tue Jul 31 16:45:00 2001 ]olicies) —Z[Author ID1: at Tue Oct 3 06:17:00 2000 ]z[Author ID1: at Tue Oct 3 06:17:00 2000 ]awiera ustawienia zabezpieczeń dotyczące inspekcji (auditing), nadawania praw użytkownikomlokalne[Author ID3: at Wed Aug 1 12:56:00 2001 ]([Author ID1: at Wed Oct 4 02:08:00 2000 ]L[Author ID1: at Tue Oct 3 18:35:00 2000 ]ocal[Author ID1: at Wed Oct 4 02:08:00 2000 ]P[Author ID1: at Tue Oct 3 18:35:00 2000 ]olicies)[Author ID1: at Wed Oct 4 02:08:00 2000 ]umożliwiają określenie, kto ma dostęp do danego komputera lokalnie lub poprzez sieć oraz w jaki sposób dokonuje się inspekcji zdarzeń lokalnych,[Author ID1: at Tue Oct 3 06:18:00 2000 ].[Author ID1: at Tue Oct 3 06:18:00 2000 ]
z[Author ID1: at Tue Oct 3 06:18:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]Z[Author ID3: at Tue Jul 31 16:46:00 2001 ]Z[Author ID1: at Tue Oct 3 06:18:00 2000 ]ałożeniaklucza[Author ID3: at Tue Jul 31 16:46:00 2001 ]Klucza [Author ID3: at Tue Jul 31 16:46:00 2001 ]publicznego[Author ID3: at Tue Jul 31 16:46:00 2001 ]Publicznego [Author ID3: at Tue Jul 31 16:46:00 2001 ](P[Author ID1: at Tue Oct 3 18:35:00 2000 ]p[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]P[Author ID3: at Tue Jul 31 16:46:00 2001 ]ublicK[Author ID1: at Tue Oct 3 18:35:00 2000 ]k[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]K[Author ID3: at Tue Jul 31 16:46:00 2001 ]eyP[Author ID1: at Tue Oct 3 18:35:00 2000 ]p[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]P[Author ID3: at Tue Jul 31 16:46:00 2001 ]olicies) —W[Author ID1: at Tue Oct 3 06:18:00 2000 ]w[Author ID1: at Tue Oct 3 06:18:00 2000 ]yszczególnia Agentyodzyskiwania[Author ID3: at Tue Jul 31 16:46:00 2001 ]Odzyskiw[Author ID3: at Tue Jul 31 16:46:00 2001 ]ania [Author ID3: at Tue Jul 31 16:46:00 2001 ]danych[Author ID3: at Tue Jul 31 16:46:00 2001 ]Danych [Author ID3: at Tue Jul 31 16:46:00 2001 ]zaszyfrowanych[Author ID3: at Tue Jul 31 16:46:00 2001 ]E[Author ID1: at Tue Oct 3 18:35:00 2000 ]e[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 02:03:00 2001 ]E[Author ID3: at Tue Jul 31 02:03:00 2001 ]ncryptedd[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]D[Author ID3: at Tue Jul 31 16:46:00 2001 ]D[Author ID1: at Tue Oct 3 18:35:00 2000 ]ataR[Author ID1: at Tue Oct 3 18:35:00 2000 ]r[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]R[Author ID3: at Tue Jul 31 16:46:00 2001 ]ecoveryA[Author ID1: at Tue Oct 3 18:35:00 2000 ]a[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]A[Author ID3: at Tue Jul 31 16:46:00 2001 ]gents),[Author ID1: at Tue Oct 3 06:18:00 2000 ].[Author ID1: at Tue Oct 3 06:18:00 2000 ]
Z[Author ID1: at Tue Oct 3 06:18:00 2000 ]z[Author ID1: at Tue Oct 3 06:18:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]Z[Author ID3: at Tue Jul 31 16:46:00 2001 ]ałożeniazabezpieczeń[Author ID3: at Tue Jul 31 16:46:00 2001 ]Zabezpieczeń [Author ID3: at Tue Jul 31 16:46:00 2001 ]protokołu[Author ID3: at Tue Jul 31 16:46:00 2001 ]Protokołu [Author ID3: at Tue Jul 31 16:46:00 2001 ]IP (IPS[Author ID1: at Tue Oct 3 18:35:00 2000 ]s[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]S[Author ID3: at Tue Jul 31 16:46:00 2001 ]ecurityP[Author ID1: at Tue Oct 3 18:35:00 2000 ]p[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 16:46:00 2001 ]P[Author ID3: at Tue Jul 31 16:46:00 2001 ]olicies) na komputerze lokalnym — zawiera reguły Serwera (Żądaj zabezpieczeń) (R[Author ID1: at Tue Oct 3 18:35:00 2000 ]r[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Sun Aug 5 20:47:00 2001 ]R[Author ID3: at Sun Aug 5 20:47:00 2001 ]equestS[Author ID1: at Tue Oct 3 18:35:00 2000 ]s[Author ID1: at Tue Oct 3 18:35:00 2000 ]ecurity), właściwości Serwerabezpiecznego[Author ID3: at Wed Aug 1 12:56:00 2001 ]S[Author ID1: at Tue Oct 3 18:35:00 2000 ]s[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 02:03:00 2001 ]S[Author ID3: at Tue Jul 31 02:03:00 2001 ]ecures[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Wed Aug 1 12:56:00 2001 ]S[Author ID3: at Wed Aug 1 12:56:00 2001 ]S[Author ID1: at Tue Oct 3 18:35:00 2000 ]erver) Zabezpieczenia wymagane (R[Author ID1: at Tue Oct 3 18:35:00 2000 ]r[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 02:03:00 2001 ]R[Author ID3: at Tue Jul 31 02:03:00 2001 ]equireS[Author ID1: at Tue Oct 3 18:35:00 2000 ]s[Author ID1: at Tue Oct 3 18:35:00 2000 ]ecurity) oraz właściwości Klienta (Tylko odpowiada)r[Author ID1: at Tue Oct 3 18:35:00 2000 ][Author ID3: at Tue Jul 31 02:03:00 2001 ]R[Author ID3: at Tue Jul 31 02:03:00 2001 ]R[Author ID1: at Tue Oct 3 18:35:00 2000 ]espondO[Author ID1: at Tue Oct 3 18:35:00 2000 ]o[Author ID1: at Tue Oct 3 18:35:00 2000 ]nly).
Rysunek 2.12.[Author ID1: at Tue Oct 3 06:18:00 2000
] Ustawienia zabezpieczeń Założeń komputera [Author ID0: at Thu Nov 30 00:00:00 1899
]Komp[Author ID3: at Wed Aug 1 12:57:00 2001
]utera [Author ID3: at Wed Aug 1 12:57:00 2001
]lokalnego [Author ID0: at Thu Nov 30 00:00:00 1899
]Lokalnego [Author ID3: at Wed Aug 1 12:57:00 2001
](l[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]L[Author ID3: at Tue Jul 31 02:03:00 2001
]L[Author ID0: at Thu Nov 30 00:00:00 1899
]ocal C[Author ID0: at Thu Nov 30 00:00:00 1899
]c[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Tue Jul 31 16:47:00 2001
]omputer P[Author ID0: at Thu Nov 30 00:00:00 1899
]p[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Tue Jul 31 16:47:00 2001
]olicy), K[Author ID0: at Thu Nov 30 00:00:00 1899
]k[Author ID1: at Tue Oct 3 06:19:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]K[Author ID3: at Tue Jul 31 02:04:00 2001
]onfiguracja komputera [Author ID0: at Thu Nov 30 00:00:00 1899
]Komputera [Author ID3: at Tue Jul 31 16:47:00 2001
](C[Author ID0: at Thu Nov 30 00:00:00 1899
]c[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Tue Jul 31 02:04:00 2001
]omputer C[Author ID0: at Thu Nov 30 00:00:00 1899
]c[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Tue Jul 31 16:47:00 2001
]onfiguration).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.13.[Author ID1: at Tue Oct 3 06:19:00 2000
] Ustawienia zabezpieczeń Założeń komputera [Author ID0: at Thu Nov 30 00:00:00 1899
]Komputera [Author ID3: at Wed Aug 1 12:57:00 2001
]lokalnego [Author ID0: at Thu Nov 30 00:00:00 1899
]Lokalnego [Author ID3: at Wed Aug 1 12:57:00 2001
](L[Author ID0: at Thu Nov 30 00:00:00 1899
]l[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]L[Author ID3: at Tue Jul 31 02:04:00 2001
]ocal c[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Wed Aug 1 12:57:00 2001
]C[Author ID0: at Thu Nov 30 00:00:00 1899
]omputer p[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]P[Author ID3: at Wed Aug 1 12:57:00 2001
]P[Author ID0: at Thu Nov 30 00:00:00 1899
]olicy), K[Author ID0: at Thu Nov 30 00:00:00 1899
]k[Author ID1: at Tue Oct 3 06:19:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]K[Author ID3: at Tue Jul 31 02:04:00 2001
]onfiguracja użytkownika [Author ID0: at Thu Nov 30 00:00:00 1899
]Użytkownika [Author ID3: at Wed Aug 1 12:57:00 2001
](U[Author ID0: at Thu Nov 30 00:00:00 1899
]u[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Tue Jul 31 02:04:00 2001
]ser C[Author ID0: at Thu Nov 30 00:00:00 1899
]c[Author ID1: at Tue Oct 3 18:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]C[Author ID3: at Wed Aug 1 12:57:00 2001
]onfiguration).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rozszerz gałąź Konfiguracja
użytkownika[Author ID3: at Tue Jul 31 16:48:00 2001 ]u[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 02:04:00 2001 ]U[Author ID3: at Tue Jul 31 02:04:00 2001 ]U[Author ID1: at Tue Oct 3 18:36:00 2000 ]serC[Author ID1: at Tue Oct 3 18:36:00 2000 ]c[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 16:48:00 2001 ]C[Author ID3: at Tue Jul 31 16:48:00 2001 ]onfiguration), Ustawieniasystemu[Author ID3: at Tue Jul 31 16:49:00 2001 ]Systemu [Author ID3: at Tue Jul 31 16:49:00 2001 ]Windows (WindowsS[Author ID1: at Tue Oct 3 18:36:00 2000 ]s[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 16:49:00 2001 ]S[Author ID3: at Tue Jul 31 16:49:00 2001 ]ettings) i Szablonyadministracyjne[Author ID3: at Tue Jul 31 16:49:00 2001 ]A[Author ID1: at Tue Oct 3 18:36:00 2000 ]a[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 02:04:00 2001 ]A[Author ID3: at Tue Jul 31 02:04:00 2001 ]dministrativeT[Author ID1: at Tue Oct 3 18:36:00 2000 ]t[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 16:49:00 2001 ]T[Author ID3: at Tue Jul 31 16:49:00 2001 ]emplates) jak przedstawiono to [Author ID1: at Tue Oct 3 06:19:00 2000 ]na rysunku 2.13.Także[Author ID1: at Tue Oct 3 06:19:00 2000 ]Ponadto [Author ID1: at Tue Oct 3 06:19:00 2000 ]prześledź dostępne udogodnienia. W tym miejscu można, np.[Author ID1: at Tue Oct 3 06:20:00 2000 ]na przykład[Author ID1: at Tue Oct 3 06:20:00 2000 ] skonfigurować menu Start użytkownika, Pasekzadań[Author ID3: at Tue Jul 31 16:49:00 2001 ]t[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 02:05:00 2001 ]T[Author ID3: at Tue Jul 31 02:05:00 2001 ]T[Author ID1: at Tue Oct 3 18:36:00 2000 ]askbar), Pulpit (D[Author ID1: at Tue Oct 3 18:36:00 2000 ]d[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 02:05:00 2001 ]T[Author ID3: at Tue Jul 31 02:05:00 2001 ]esktop) i Panelsterowania[Author ID3: at Tue Jul 31 16:49:00 2001 ]C[Author ID1: at Tue Oct 3 18:36:00 2000 ]c[Author ID1: at Tue Oct 3 18:36:00 2000 ][Author ID3: at Tue Jul 31 02:05:00 2001 ]C[Author ID3: at Tue Jul 31 02:05:00 2001 ]ontrol [Author ID1: at Tue Oct 3 18:36:00 2000 ]P[Author ID1: at Tue Oct 3 18:37:00 2000 ]p[Author ID1: at Tue Oct 3 18:37:00 2000 ][Author ID3: at Tue Jul 31 16:49:00 2001 ]P[Author ID3: at Tue Jul 31 16:49:00 2001 ]anel). Elementy te nie zostaną tu opisane szczegółowo;[Author ID1: at Tue Oct 3 06:30:00 2000 ]. Ś[Author ID1: at Tue Oct 3 06:30:00 2000 ] ś[Author ID1: at Tue Oct 3 06:30:00 2000 ]ciślej[Author ID1: at Tue Oct 3 06:30:00 2000 ] mówiąc,[Author ID1: at Tue Oct 3 06:30:00 2000 ] nie należą one do zabezpieczeń,[Author ID1: at Tue Oct 3 06:30:00 2000 ] ponieważ zabezpieczenia użytkownika ustawia się na poziomie jednostki organizacyjnej (OU),[Author ID1: at Tue Oct 3 06:30:00 2000 ] a nie na poziomie domeny. Dlatego kontener Ustawieniazabezpieczeń[Author ID3: at Tue Jul 31 16:50:00 2001 ]([Author ID1: at Wed Oct 4 02:08:00 2000 ]S[Author ID1: at Tue Oct 3 18:37:00 2000 ]ecurity[Author ID1: at Wed Oct 4 02:08:00 2000 ]S[Author ID1: at Tue Oct 3 18:37:00 2000 ]ettings container)[Author ID1: at Wed Oct 4 02:08:00 2000 ]na[Author ID1: at Tue Oct 3 06:31:00 2000 ]dowolnej[Author ID1: at Tue Oct 3 06:31:00 2000 ]ą[Author ID1: at Tue Oct 3 06:31:00 2000 ] pozycję[Author ID1: at Tue Oct 3 06:31:00 2000 ]i[Author ID1: at Tue Oct 3 06:31:00 2000 ] w lewej części okna,[Author ID1: at Tue Oct 3 06:31:00 2000 ] można wywołać Pomoc kontekstową (context[Author ID3: at Tue Jul 31 02:05:00 2001 ]Context[Author ID3: at Tue Jul 31 02:05:00 2001 ]-sensitive help).Zamknij konsolę. Nie zapisuj ustawień.
Analiza domyślnych ustawień kontroli dostępu
Znaczna część zabezpieczeń systemu Windows 2000 jest definiowanych za pomocą domyślnych uprawnień dostępu wpisanych do listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL podczas instalacji lub, w przypadku kontrolerów domen, kiedy uruchamiany jest program dcpromo. Na stacji roboczej z systemem Windows 2000 Professional lub serwerze członkowskim Windows 2000 uprawnienia te nadawane [Author ID1: at Tue Oct 3 06:35:00 2000
]są nadawane [Author ID1: at Tue Oct 3 06:35:00 2000
]trzem grupom: a[Author ID1: at Tue Oct 3 06:36:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]A[Author ID3: at Tue Jul 31 02:06:00 2001
]dministratorom[Author ID1: at Tue Oct 3 06:36:00 2000
] ([Author ID1: at Tue Oct 3 06:36:00 2000
]A[Author ID1: at Tue Oct 3 06:55:00 2000
]A[Author ID0: at Thu Nov 30 00:00:00 1899
]dministrators)[Author ID1: at Tue Oct 3 06:37:00 2000
], z[Author ID1: at Tue Oct 3 06:37:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Z[Author ID3: at Tue Jul 31 02:06:00 2001
]aawansowanym użytkownikom[Author ID1: at Tue Oct 3 06:37:00 2000
] [Author ID1: at Tue Oct 3 06:37:00 2000
](P[Author ID1: at Tue Oct 3 06:37:00 2000
]P[Author ID0: at Thu Nov 30 00:00:00 1899
]ower U[Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID1: at Tue Oct 3 06:37:00 2000
]sers)[Author ID1: at Tue Oct 3 06:37:00 2000
] i U[Author ID0: at Thu Nov 30 00:00:00 1899
]u[Author ID1: at Tue Oct 3 06:37:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Tue Jul 31 02:06:00 2001
]żytkownikom[Author ID1: at Tue Oct 3 06:37:00 2000
] (U[Author ID1: at Tue Oct 3 06:37:00 2000
]sers)[Author ID1: at Tue Oct 3 06:37:00 2000
]. Na kontrolerach domen takimi grupami są: tak, jak poprzednio [Author ID1: at Tue Oct 3 06:38:00 2000
]a[Author ID1: at Tue Oct 3 06:38:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]A[Author ID3: at Tue Jul 31 02:06:00 2001
]dministratorzy[Author ID1: at Tue Oct 3 06:38:00 2000
] ([Author ID1: at Tue Oct 3 06:38:00 2000
]A[Author ID0: at Thu Nov 30 00:00:00 1899
]A[Author ID1: at Tue Oct 3 06:38:00 2000
]dministrators)[Author ID1: at Tue Oct 3 06:38:00 2000
] oraz[Author ID1: at Tue Oct 3 06:38:00 2000
](tak jak poprzednio),[Author ID0: at Thu Nov 30 00:00:00 1899
] o[Author ID1: at Tue Oct 3 06:42:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]O[Author ID3: at Tue Jul 31 02:06:00 2001
]bsługujący serwer[Author ID1: at Tue Oct 3 06:42:00 2000
] [Author ID1: at Tue Oct 3 06:42:00 2000
]([Author ID1: at Tue Oct 3 06:41:00 2000
]S[Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID1: at Tue Oct 3 06:41:00 2000
]erver O[Author ID0: at Thu Nov 30 00:00:00 1899
]O[Author ID1: at Tue Oct 3 06:41:00 2000
]perators)[Author ID1: at Tue Oct 3 06:41:00 2000
] i u[Author ID1: at Tue Oct 3 06:39:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Tue Jul 31 02:06:00 2001
]żytkownicy zatwierdzeni [Author ID1: at Tue Oct 3 06:39:00 2000
]([Author ID1: at Tue Oct 3 06:39:00 2000
]A[Author ID0: at Thu Nov 30 00:00:00 1899
]A[Author ID1: at Tue Oct 3 06:39:00 2000
]uthenticated U[Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID1: at Tue Oct 3 06:39:00 2000
]sers)[Author ID1: at Tue Oct 3 06:39:00 2000
]. Grupa Użytkownicy zatwierdzeni[Author ID3: at Tue Jul 31 02:08:00 2001
] ([Author ID3: at Tue Jul 31 02:08:00 2001
]A[Author ID0: at Thu Nov 30 00:00:00 1899
]A[Author ID1: at Tue Oct 3 06:44:00 2000
]uthenticated U[Author ID1: at Tue Oct 3 06:44:00 2000
]U[Author ID0: at Thu Nov 30 00:00:00 1899
]sers)[Author ID3: at Tue Jul 31 02:08:00 2001
] zawiera grupy takie jak[Author ID0: at Thu Nov 30 00:00:00 1899
]: Account Operators i Print Operators oraz każdego użytkownika korzystającego z dostępu zdalnego do kontrolera domeny. Członkom grupy Użytkownicy[Author ID3: at Tue Jul 31 02:09:00 2001
] [Author ID3: at Tue Jul 31 02:09:00 2001
]zatwierdzeni[Author ID3: at Tue Jul 31 02:09:00 2001
] ([Author ID3: at Tue Jul 31 02:09:00 2001
]A[Author ID1: at Tue Oct 3 06:47:00 2000
]A[Author ID0: at Thu Nov 30 00:00:00 1899
]uthenticated U[Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID1: at Tue Oct 3 06:47:00 2000
]sers)[Author ID3: at Tue Jul 31 02:09:00 2001
] na kontrolerze domeny (DC) nadaje się te same uprawnienia kontroli dostępu,[Author ID1: at Tue Oct 3 06:47:00 2000
] co członkom grupy Użytkowni[Author ID3: at Tue Jul 31 02:09:00 2001
]k[Author ID3: at Tue Jul 31 02:10:00 2001
] ([Author ID3: at Tue Jul 31 02:09:00 2001
]U[Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID1: at Tue Oct 3 06:47:00 2000
]sers)[Author ID3: at Tue Jul 31 02:10:00 2001
] na stacji roboczej lub serwerze członkowskim.
Domyślne ustawienia zabezpieczeń stosuje się na początku instalacji w trybie graficznym (GUI [Author ID1: at Tue Oct 3 06:47:00 2000
]-[Author ID1: at Tue Oct 3 06:47:00 2000
]— [Author ID1: at Tue Oct 3 06:47:00 2000
]mode setup) podczas nowej instalacji systemu Windows 2000 lub w trakcie aktualizacji Windows 9x. Aktualizacja systemu Windows NT 4 nie powoduje zmiany ustawień zabezpieczeń. Ustawienia zabezpieczeń systemu plików mogą być stosowane tylko wtedy, gdy[Author ID1: at Tue Oct 3 06:48:00 2000
] [Author ID1: at Tue Oct 3 06:48:00 2000
]kiedy[Author ID1: at Tue Oct 3 06:48:00 2000
] system Windows 2000 instalowany [Author ID1: at Tue Oct 3 06:48:00 2000
]jest instalowany [Author ID1: at Tue Oct 3 06:48:00 2000
]na partycji NTFS. Ponieważ zabezpieczenia dla składników opcjonalnych, takich jak [Author ID1: at Tue Oct 3 06:54:00 2000
]Internet Information Server[Author ID1: at Tue Oct 3 06:54:00 2000
], wybranych w trakcie instalacji w trybie graficznym (GUI — mode setup)[Author ID1: at Tue Oct 3 06:54:00 2000
] [Author ID1: at Tue Oct 3 06:55:00 2000
]ustanawia [Author ID1: at Tue Oct 3 06:54:00 2000
]ustala [Author ID1: at Tue Oct 3 06:54:00 2000
]się na początku instalowania w trybie graficznym (GUI [Author ID1: at Tue Oct 3 06:48:00 2000
]-[Author ID1: at Tue Oct 3 06:48:00 2000
]— [Author ID1: at Tue Oct 3 06:48:00 2000
]mode S[Author ID1: at Tue Oct 3 06:48:00 2000
]s[Author ID1: at Tue Oct 3 06:48:00 2000
]etup), to[Author ID1: at Tue Oct 3 06:55:00 2000
]dla składników opcjonalnych[Author ID1: at Tue Oct 3 06:54:00 2000
] ([Author ID1: at Tue Oct 3 06:48:00 2000
]takich jak Internet Information Server[Author ID1: at Tue Oct 3 06:54:00 2000
])[Author ID1: at Tue Oct 3 06:48:00 2000
], wybranych w trakcie instalacji w trybie graficznym (GUI[Author ID1: at Tue Oct 3 06:54:00 2000
]-[Author ID1: at Tue Oct 3 06:53:00 2000
]mode setup)[Author ID1: at Tue Oct 3 06:54:00 2000
],[Author ID1: at Tue Oct 3 06:55:00 2000
] nie ma wyraźnie zdefiniowanych ustawień zabezpieczeń. Jeśli zabezpieczenia składników opcjonalnych są inne niż odziedziczone domyślnie, to składniki te są same odpowiedzialne za ustawienia swoich zabezpieczeń.
Ustawienia domyślne dla grupy użytkowników ([Author ID1: at Tue Oct 3 07:44:00 2000 ]Users)[Author ID1: at Tue Oct 3 07:44:00 2000 ]
Domyślne ustawienia zabezpieczeń zaprojektowano po to, by powstrzymać użytkowników ([Author ID1: at Wed Oct 4 02:09:00 2000
]członków grupy Users)[Author ID1: at Wed Oct 4 02:09:00 2000
] przed potencjalnymi zagrożeniami[Author ID1: at Tue Oct 3 06:57:00 2000
]od narażania na szwank[Author ID1: at Tue Oct 3 06:58:00 2000
] integralności systemu operacyjnego i zainstalowanych aplikacji. Użytkownicy[Author ID1: at Tue Oct 3 06:58:00 2000
]Członkowie grupy Users (Użytkownicy)[Author ID0: at Thu Nov 30 00:00:00 1899
] nie mogą zmieniać ustawień Rejestru, dotyczących całego komputera, plików systemowych ani plików programów. Nie mogą instalować programów, które mogłyby być uruchamiane przez innych użytkowników, aby uchronić się[Author ID1: at Tue Oct 3 06:59:00 2000
]uniknąć[Author ID1: at Tue Oct 3 06:59:00 2000
] w ten sposób przed końmi trojańskimi[Author ID1: at Tue Oct 3 07:00:00 2000
]ukrytych niebezpieczeńs[Author ID1: at Tue Oct 3 07:00:00 2000
]tw[Author ID1: at Tue Oct 3 07:00:00 2000
]. Członkowie grupy Users[Author ID0: at Thu Nov 30 00:00:00 1899
]Użytkownicy[Author ID1: at Wed Oct 4 02:10:00 2000
] nie mają dostępu do prywatnych danych innych użytkowników. Teoretycznie,[Author ID1: at Tue Oct 3 07:03:00 2000
] użytkownicy[Author ID1: at Tue Oct 3 07:01:00 2000
]członkowie grupy Users[Author ID1: at Wed Oct 4 02:09:00 2000
] ([Author ID1: at Tue Oct 3 07:02:00 2000
]Użytkownicy[Author ID1: at Tue Oct 3 07:01:00 2000
])[Author ID1: at Wed Oct 4 02:09:00 2000
] powinni być w stanie [Author ID1: at Tue Oct 3 07:02:00 2000
]umieć [Author ID1: at Tue Oct 3 07:02:00 2000
]uruchamiać programy użytkowe, które wcześniej zostały zainstalowane przez członków grupy administratorzy[Author ID1: at Wed Oct 4 02:09:00 2000
]Administrators[Author ID1: at Wed Oct 4 02:09:00 2000
], zaawansowani użytkownicy[Author ID1: at Wed Oct 4 02:10:00 2000
]Power Users[Author ID1: at Wed Oct 4 02:10:00 2000
] lub przez siebie [Author ID1: at Tue Oct 3 07:02:00 2000
]nich [Author ID1: at Tue Oct 3 07:02:00 2000
]samych. W praktyce,[Author ID1: at Tue Oct 3 07:03:00 2000
] zwykli [Author ID1: at Tue Oct 3 07:03:00 2000
]powszechni [Author ID1: at Tue Oct 3 07:03:00 2000
]użytkownicy nie będą w stanie uruchomić wielu starszych wersji programów użytkowych, ponieważ,[Author ID1: at Tue Oct 3 07:04:00 2000
] przy tworzeniu [Author ID1: at Tue Oct 3 07:04:00 2000
]tych [Author ID1: at Tue Oct 3 07:04:00 2000
]tworząc tamte [Author ID1: at Tue Oct 3 07:04:00 2000
]wersji[Author ID1: at Tue Oct 3 07:04:00 2000
]e[Author ID1: at Tue Oct 3 07:04:00 2000
] programów,[Author ID1: at Tue Oct 3 07:04:00 2000
] nie uwzględniono zagadnień związanych z bezpieczeństwem. Możliwość uruchamiania takich programów powinni mieć członkowie grupy Power Users.
Użytkownicy mogą uruchamiać programy użytkowe zgodne ze specyfikacją Windows 2000 Application Specification, którą można znaleźć pod adresem http://msdn.microsoft.com/winlogo/win2000.asp. Programy użytkowe, spełniające te wymagania, znajdują[Author ID1: at Tue Oct 3 07:04:00 2000
]e[Author ID1: at Tue Oct 3 07:04:00 2000
] się w katalogu Windows 2000 Application Catalog (http://www.microsoft.com/windows/compatible). www.microsoft.com/windows/compatible).
Microsoft Office 2000 i wersja programu Internet Explorer, która jest częścią Windows 2000 będą pracowały poprawnie w kontekście użytkownika (user context).
Użytkownicy (c[Author ID1: at Tue Oct 3 07:05:00 2000
]C[Author ID1: at Tue Oct 3 07:05:00 2000
]złonkowie grupy Users (Użytkownicy[Author ID1: at Tue Oct 3 07:05:00 2000
]) nie mogą instalować programów użytkowych w wersji na komputer (per-machine), ponieważ nie mogą dokonywać zapisów do lokalizacji ogólnosystemowych (system-[Author ID1: at Tue Oct 3 07:05:00 2000
] [Author ID1: at Tue Oct 3 07:05:00 2000
]w[Author ID1: at Tue Oct 3 07:23:00 2000
]W[Author ID1: at Tue Oct 3 07:23:00 2000
]ide locations). Jednak użytkownik może zainstalować program użytkowy w wersji dla użytkownika (per-user) ,[Author ID0: at Thu Nov 30 00:00:00 1899
],[Author ID1: at Tue Oct 3 05:42:00 2000
] pod warunkiem,[Author ID1: at Tue Oct 3 07:08:00 2000
] że instalator tego programu daje taką możliwość. Taki program użytkowy musiałby być zainstalowany w katalogu profilu użytkownika i mógłby modyfikować tylko ustawienia w kluczu Rejestru HKEY_CURRENT_USER oraz pozycje menu Start użytkownika. W ten sposób tylko użytkownik, który zainstalował dany program użytkowy,[Author ID1: at Tue Oct 3 07:09:00 2000
] może go uruchomić. Jest to jedyny sposób na dopuszczenie do instalowania programów przez użytkowników, których wiarygodność nie została potwierdzona.
Ustawienia domyślne dla członków grupy Power Users
Domyślne ustawienia zabezpieczeń systemu Windows 2000 dla zaawansowanych użytkowników ([Author ID1: at Tue Oct 3 08:22:00 2000
]członków grupy Power Users)[Author ID1: at Tue Oct 3 08:22:00 2000
] zapewniają zgodność wsteczną (backward compatibility) [Author ID1: at Tue Oct 3 08:23:00 2000
]są zgodne wstecz [Author ID1: at Tue Oct 3 08:23:00 2000
]z domyślnymi ustawieniami zabezpieczeń dla użytkowników systemu Windows NT 4. W najlepszym razie [Author ID1: at Tue Oct 3 07:20:00 2000
]ej sytuacji [Author ID1: at Tue Oct 3 07:20:00 2000
]członkowie grupy Power Users powinni być w stanie wykonać dowolne zadanie niezwiązane z administrowaniem, czyli[Author ID1: at Tue Oct 3 07:20:00 2000
]. Tak więc[Author ID1: at Tue Oct 3 07:20:00 2000
] powinni być w stanie [Author ID1: at Tue Oct 3 07:20:00 2000
]zainstalować i odinstalować w wersji na komputer (per-machine) takie aplikacje, które nie instalują [Author ID1: at Tue Oct 3 07:22:00 2000
]rozmieszczają [Author ID1: at Tue Oct 3 07:22:00 2000
]usług systemowych (system services). W rzeczywistości członkowie grupy Power Users--> [Author ID1: at Tue Oct 3 07:22:00 2000
]nie mogą zainstalować starszych wersji programów użytkowych, które próbują w trakcie instalowania zamienić pliki systemowe.
Członkowie grupy Power Users mogą dostosować zasoby systemowe (system-[Author ID1: at Tue Oct 3 07:24:00 2000
] [Author ID1: at Tue Oct 3 07:24:00 2000
]wide resources), na przykład [Author ID1: at Tue Oct 3 07:24:00 2000
]np. [Author ID1: at Tue Oct 3 07:24:00 2000
]zegar systemowy, ustawienia ekranu, udziały (shares), konfigurację zasilania, drukarki,[Author ID1: at Tue Oct 3 07:24:00 2000
] itp. do własnych potrzeb.
Użytkownicy z grupy Power Users nie mają dostępu do danych innych użytkowników zapisanych na partycji NTFS.
Dokładnie [Author ID1: at Tue Oct 3 07:24:00 2000
]Ściślej [Author ID1: at Tue Oct 3 07:24:00 2000
]mówiąc,[Author ID1: at Tue Oct 3 07:25:00 2000
] członkowie grupy Power Users mogą:
T[Author ID1: at Tue Oct 3 07:25:00 2000 ]t[Author ID1: at Tue Oct 3 07:25:00 2000 ]worzyć użytkowników lokalnych i grupy lokalne,[Author ID1: at Tue Oct 3 07:25:00 2000 ]M[Author ID1: at Tue Oct 3 07:25:00 2000 ]m[Author ID1: at Tue Oct 3 07:25:00 2000 ]odyfikować użytkowników i grupy, które stworzyli,[Author ID1: at Tue Oct 3 07:25:00 2000 ].[Author ID1: at Tue Oct 3 07:25:00 2000 ]T[Author ID1: at Tue Oct 3 07:25:00 2000 ]t[Author ID1: at Tue Oct 3 07:25:00 2000 ]worzyć i usuwać współużytkowane pliki nieadministracyjne,[Author ID1: at Tue Oct 3 07:25:00 2000 ].[Author ID1: at Tue Oct 3 07:25:00 2000 ]T[Author ID1: at Tue Oct 3 07:25:00 2000 ]t[Author ID1: at Tue Oct 3 07:25:00 2000 ]worzyć, zarządzać, usuwać i udostępniać drukarki lokalne,[Author ID1: at Tue Oct 3 07:25:00 2000 ].[Author ID1: at Tue Oct 3 07:25:00 2000 ]U[Author ID1: at Tue Oct 3 07:25:00 2000 ]u[Author ID1: at Tue Oct 3 07:25:00 2000 ]ruchamiać i zatrzymywać usługi, które nie są uruchamiane automatycznie.
Członkowie grupy Power Users mają następujące prawa dostępu:
P[Author ID1: at Tue Oct 3 07:27:00 2000 ]p[Author ID1: at Tue Oct 3 07:27:00 2000 ]rawo modyfikowania (M[Author ID1: at Tue Oct 3 07:27:00 2000 ]m[Author ID1: at Tue Oct 3 07:27:00 2000 ]odify) — do katalogu Program Files-->,[Author ID1: at Tue Oct 3 07:27:00 2000 ][Author ID1: at Tue Oct 3 07:27:00 2000 ]
P[Author ID1: at Tue Oct 3 07:27:00 2000 ]p[Author ID1: at Tue Oct 3 07:27:00 2000 ]rawo modyfikowania (M[Author ID1: at Tue Oct 3 07:27:00 2000 ]m[Author ID1: at Tue Oct 3 07:27:00 2000 ]odify) — do wielu lokalizacji znajdujących się w zakresie gałęzi Rejestru HKEY_LOCAL_MACHINES\Software,[Author ID1: at Tue Oct 3 07:27:00 2000 ].[Author ID1: at Tue Oct 3 07:27:00 2000 ]P[Author ID1: at Tue Oct 3 07:27:00 2000 ]p[Author ID1: at Tue Oct 3 07:27:00 2000 ]rawo zapisu (W[Author ID1: at Tue Oct 3 07:27:00 2000 ]w[Author ID1: at Tue Oct 3 07:27:00 2000 ]rite) — do większości katalogów systemowych, włącznie z %systemroot% i %systemroot%\system32.
Te uprawnienia pozwalają użytkownikom z grupy Power Users na instalowanie w trybie na komputer (per-machine) takich programów, które nie modyfikują plików systemowych Windows oraz umożliwiają[Author ID1: at Tue Oct 3 07:39:00 2000
]na[Author ID1: at Tue Oct 3 07:39:00 2000
] uruchamianie starszych wersji aplikacji, które zapisują dane konkretnego użytkownika (per-user data) w lokalizacjach trybu na komputer -->([Author ID1: at Tue Oct 3 07:28:00 2000
]per-machine-->)[Author ID1: at Tue Oct 3 07:28:00 2000
].
Grupy specjalne na kontrolerach domen
Użytkownicy zatwierdzeni (c[Author ID1: at Tue Oct 3 07:40:00 2000
]C[Author ID1: at Tue Oct 3 07:40:00 2000
]złonkowie grupy Authenticated User (Użytkownicy zatwierdzeni[Author ID1: at Tue Oct 3 07:40:00 2000
]) na kontrolerze domeny mają takie same ograniczone uprawnienia domyślne,[Author ID1: at Tue Oct 3 07:41:00 2000
] jak użytkownicy ([Author ID1: at Tue Oct 3 07:41:00 2000
]członkowie grupy Users (Użytkownicy[Author ID1: at Tue Oct 3 07:41:00 2000
]) w przypadku stacji roboczej czy serwera.
Członkowie grupy Server Operators na kontrolerze domeny mają wszystkie prawa i uprawnienia dotyczące [Author ID1: at Tue Oct 3 07:42:00 2000 ]użytkowników zaawansowanych ([Author ID1: at Wed Oct 4 02:11:00 2000 ]członków grupy Power Users)[Author ID1: at Wed Oct 4 02:11:00 2000 ] na stacji roboczej lub serwerze. Jednak członkowie tej grupy mogą również zamieniać pliki systemowe Windows i z tego względu muszą to być użytkownicy całkowicie zaufani.
Ustawienia domyślne dla grupy a[Author ID1: at Tue Oct 3 07:45:00 2000
]dministratorzy [Author ID1: at Tue Oct 3 07:43:00 2000
]([Author ID1: at Tue Oct 3 07:45:00 2000
]Administrators ([Author ID1: at Tue Oct 3 07:45:00 2000
]Administratorzy[Author ID1: at Tue Oct 3 07:43:00 2000
])
Standardowe ustawienia zabezpieczeń systemu Windows 2000 nie ograniczają dostępu administracyjnego do Rejestru ani do obiektów systemu plików. Członkowie grupy Administrators[Author ID1: at Tue Oct 3 07:46:00 2000
] mogą wykonywać wszystkie funkcje udostępnione przez system operacyjny, np.[Author ID1: at Tue Oct 3 07:49:00 2000
]. Mogą [Author ID1: at Tue Oct 3 07:49:00 2000
]nadać samym sobie każde prawo, którego nie mają domyślnie.
Oprócz praw i uprawnień nadanych członkom grupy Power Users, członkowie grupy Administrators mogą domyślnie wykonywać następujące zadania:
i[Author ID1: at Tue Oct 3 07:56:00 2000 ]
I[Author ID1: at Tue Oct 3 07:50:00 2000 ]nstalowanie[Author ID1: at Tue Oct 3 07:56:00 2000 ]nstalacja [Author ID1: at Tue Oct 3 07:56:00 2000 ]lub konfiguracja sterowników urządzeń,[Author ID1: at Tue Oct 3 07:51:00 2000 ].[Author ID1: at Tue Oct 3 07:51:00 2000 ]
Uwaga: Członkowie grupy Power Users mogą instalować sterowniki drukowania.
I[Author ID1: at Tue Oct 3 07:54:00 2000 ]i[Author ID1: at Tue Oct 3 07:54:00 2000 ]nstalacja pakietów service pack, hotfix i aktualizacja[Author ID1: at Tue Oct 3 07:57:00 2000 ]i[Author ID1: at Tue Oct 3 07:57:00 2000 ] systemu Windows,[Author ID1: at Tue Oct 3 07:54:00 2000 ].[Author ID1: at Tue Oct 3 07:54:00 2000 ]I[Author ID1: at Tue Oct 3 07:54:00 2000 ]i[Author ID1: at Tue Oct 3 07:54:00 2000 ]nstalacja aplikacji modyfikujących pliki systemowe systemu Windows,[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]K[Author ID1: at Tue Oct 3 07:55:00 2000 ]k[Author ID1: at Tue Oct 3 07:55:00 2000 ]onfiguracja zasad haseł (password policy),[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]K[Author ID1: at Tue Oct 3 07:55:00 2000 ]k[Author ID1: at Tue Oct 3 07:55:00 2000 ]onfiguracja zasad inspekcji (audit policy),[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]Z[Author ID1: at Tue Oct 3 07:55:00 2000 ]z[Author ID1: at Tue Oct 3 07:55:00 2000 ]arządzanie dziennikami zabezpieczeń (security logs),[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]T[Author ID1: at Tue Oct 3 07:55:00 2000 ]t[Author ID1: at Tue Oct 3 07:55:00 2000 ]worzenie udziałów administracyjnych (administrative shares),[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]M[Author ID1: at Tue Oct 3 07:55:00 2000 ]m[Author ID1: at Tue Oct 3 07:55:00 2000 ]odyfikowanie grup i kont utworzonych przez innych użytkowników,[Author ID1: at Tue Oct 3 07:55:00 2000 ].[Author ID1: at Tue Oct 3 07:55:00 2000 ]uruchamianie[Author ID1: at Tue Oct 3 07:57:00 2000 ]
U[Author ID1: at Tue Oct 3 07:55:00 2000 ]ruchamiać[Author ID1: at Tue Oct 3 07:57:00 2000 ] [Author ID1: at Tue Oct 3 07:57:00 2000 ]lub zatrzymywanie[Author ID1: at Tue Oct 3 07:57:00 2000 ]ć[Author ID1: at Tue Oct 3 07:57:00 2000 ] każdą[Author ID1: at Tue Oct 3 07:57:00 2000 ]ej[Author ID1: at Tue Oct 3 07:57:00 2000 ] usługę[Author ID1: at Tue Oct 3 07:57:00 2000 ]i[Author ID1: at Tue Oct 3 07:57:00 2000 ],[Author ID1: at Tue Oct 3 07:56:00 2000 ].[Author ID1: at Tue Oct 3 07:56:00 2000 ]Z[Author ID1: at Tue Oct 3 07:58:00 2000 ]z[Author ID1: at Tue Oct 3 07:58:00 2000 ]większać[Author ID1: at Tue Oct 3 07:58:00 2000 ]nie[Author ID1: at Tue Oct 3 07:58:00 2000 ] zasoby[Author ID1: at Tue Oct 3 07:58:00 2000 ]ów[Author ID1: at Tue Oct 3 07:58:00 2000 ] dyskowe[Author ID1: at Tue Oct 3 07:58:00 2000 ]ych[Author ID1: at Tue Oct 3 07:58:00 2000 ] dostępne[Author ID1: at Tue Oct 3 07:58:00 2000 ]ych[Author ID1: at Tue Oct 3 07:58:00 2000 ] dla użytkowników (quotas),[Author ID1: at Tue Oct 3 07:58:00 2000 ].[Author ID1: at Tue Oct 3 07:58:00 2000 ]P[Author ID1: at Tue Oct 3 07:58:00 2000 ]p[Author ID1: at Tue Oct 3 07:58:00 2000 ]omijanie blokady komputera zablokowanego,[Author ID1: at Tue Oct 3 07:58:00 2000 ].[Author ID1: at Tue Oct 3 07:58:00 2000 ]M[Author ID1: at Tue Oct 3 07:59:00 2000 ]m[Author ID1: at Tue Oct 3 07:59:00 2000 ]odyfikowanie zmiennych środowiskowych obowiązujących w całym systemie,[Author ID1: at Tue Oct 3 07:59:00 2000 ].[Author ID1: at Tue Oct 3 07:59:00 2000 ]D[Author ID1: at Tue Oct 3 07:59:00 2000 ]d[Author ID1: at Tue Oct 3 07:59:00 2000 ]ostęp do prywatnych danych innych użytkowników,[Author ID1: at Tue Oct 3 07:59:00 2000 ].[Author ID1: at Tue Oct 3 07:59:00 2000 ]W[Author ID1: at Tue Oct 3 07:59:00 2000 ]w[Author ID1: at Tue Oct 3 07:59:00 2000 ]ykonywanie kopii zapasowych i odtwarzanie plików.
Wskazówka: Domyślne ustawienia zabezpieczeń systemu Windows 2000 można znaleźć w następujących miejscach:
Stacje robocze [Author ID0: at Thu Nov 30 00:00:00 1899
]%systemroot%\inf\defltwk.inf
Serwery członkowskie %systemroot%\inf\defltsv.inf
Kontrolery domen %systemroot%\inf\defltdc.inf
Analiza członkostwa w grupach domyślnych
W systemie Windows NT 4,[Author ID1: at Tue Oct 3 07:59:00 2000
] grupa Everyone używana była jako połączenie wszystkich list dostępu ACL systemu plików, list ACL Rejestru i praw użytkowników[Author ID1: at Wed Oct 4 02:11:00 2000
]grupy Users[Author ID1: at Wed Oct 4 02:12:00 2000
]. Jeśli administratorowi potrzebna była dokładniejsza kontrola dostępu, musiał zmodyfikować domyślne listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL w ten sposób, by usunąć grupę Everyone,[Author ID1: at Tue Oct 3 08:00:00 2000
] a dodać grupy, w których mógł kontrolować [Author ID1: at Tue Oct 3 08:00:00 2000
]członkostwo mógł kontrolować[Author ID1: at Tue Oct 3 08:00:00 2000
].
W systemie Windows 2000 zastosowano inne podejście. Grupy,[Author ID1: at Tue Oct 3 06:50:00 2000
] takie jak Everyone i u[Author ID1: at Tue Oct 3 08:02:00 2000
][Author ID3: at Tue Jul 31 02:21:00 2001
]U[Author ID3: at Tue Jul 31 02:21:00 2001
]żytkownicy zatwierdzeni[Author ID1: at Tue Oct 3 08:02:00 2000
]Authenticated Users[Author ID1: at Wed Oct 4 02:11:00 2000
], w których członkostwo jest automatycznie konfigurowane przez system operacyjny, zwykle [Author ID1: at Tue Oct 3 08:02:00 2000
]zazwyczaj [Author ID1: at Tue Oct 3 08:02:00 2000
]nie są używane do nadawania uprawnień. Zamiast tego korzysta się tylko z tych grup, w których członkostwo może być kontrolowane przez administratora [Author ID1: at Tue Oct 3 08:03:00 2000
]-[Author ID1: at Tue Oct 3 08:03:00 2000
]— [Author ID1: at Tue Oct 3 08:03:00 2000
]głównie są to grupy:[Author ID1: at Tue Oct 3 08:03:00 2000
] u[Author ID1: at Tue Oct 3 08:03:00 2000
][Author ID3: at Tue Jul 31 02:22:00 2001
]U[Author ID3: at Tue Jul 31 02:22:00 2001
]żytkownicy[Author ID1: at Tue Oct 3 08:03:00 2000
] ([Author ID1: at Tue Oct 3 08:03:00 2000
]Users (Użytkownicy[Author ID1: at Tue Oct 3 08:03:00 2000
]), u[Author ID1: at Tue Oct 3 08:03:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Tue Jul 31 02:22:00 2001
]żytkownicy zaawansowani[Author ID1: at Tue Oct 3 08:03:00 2000
] ([Author ID1: at Tue Oct 3 08:03:00 2000
]Power Users)[Author ID1: at Tue Oct 3 08:03:00 2000
], Server Operators i a[Author ID1: at Tue Oct 3 08:04:00 2000
][Author ID3: at Tue Jul 31 02:22:00 2001
]A[Author ID3: at Tue Jul 31 02:22:00 2001
]dministratorzy[Author ID1: at Tue Oct 3 08:04:00 2000
] ([Author ID1: at Tue Oct 3 08:04:00 2000
]Administrators)[Author ID1: at Tue Oct 3 08:04:00 2000
].
Uwaga: Istnieje kilka wyjątków, np.[Author ID1: at Tue Oct 3 08:04:00 2000
]. Na przykład[Author ID1: at Tue Oct 3 08:04:00 2000
] grupa Everyone używana jest do nadawania prawa do odczytu (read access) niektórych obiektów systemu plików i Rejestru w celu zachowania zgodności wstecznej (backward-compatibility) z niektórymi programami użytkowymi, które wymagają prawa do anonimowego odczytu (anonymous read access). Również korzysta się z grupy Interactive na li[Author ID1: at Tue Oct 3 08:04:00 2000
]stach [Author ID1: at Tue Oct 3 08:04:00 2000
]w [Author ID1: at Tue Oct 3 08:04:00 2000
]ACL Service, do których dostęp zależy od tego, w [Author ID1: at Tue Oct 3 08:05:00 2000
]jaki sposób jest[Author ID1: at Tue Oct 3 08:05:00 2000
] się jest [Author ID1: at Tue Oct 3 08:05:00 2000
]zalogowanym do systemu,[Author ID1: at Tue Oct 3 08:06:00 2000
] a nie jako [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]kto.
W tabeli 2.1.[Author ID1: at Tue Oct 3 08:06:00 2000
] przedstawiono użytkowników, którzy domyślnie są członkami tych grup.[Author ID1: at Tue Oct 3 08:06:00 2000
]
Domyślnie w przypadku komputerów z nową instalacją systemu Windows 2000 Professional lub Windows 2000 Server albo po aktualizacji systemu z wersji Windows 9x grupa u[Author ID1: at Tue Oct 3 08:06:00 2000
][Author ID3: at Mon Aug 6 09:53:00 2001
]U[Author ID3: at Mon Aug 6 09:53:00 2001
]żytkowników zatwierdzonych[Author ID1: at Tue Oct 3 08:06:00 2000
] ([Author ID1: at Tue Oct 3 08:06:00 2000
]Authenticated Users)[Author ID1: at Tue Oct 3 08:07:00 2000
] jest dodawana do grupy u[Author ID1: at Tue Oct 3 08:07:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Mon Aug 6 09:53:00 2001
]żytkowników [Author ID1: at Tue Oct 3 08:07:00 2000
]([Author ID1: at Tue Oct 3 08:07:00 2000
]Users)[Author ID1: at Tue Oct 3 08:07:00 2000
]. Grupa u[Author ID1: at Tue Oct 3 08:08:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Mon Aug 6 09:53:00 2001
]żytkowników interaktywnych [Author ID1: at Tue Oct 3 08:08:00 2000
]([Author ID1: at Tue Oct 3 08:08:00 2000
]Interactive Users)[Author ID1: at Tue Oct 3 08:08:00 2000
] dodawana jest do grupy użytkowników [Author ID1: at Tue Oct 3 08:09:00 2000
]z[Author ID1: at Tue Oct 3 08:09:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]Z[Author ID3: at Mon Aug 6 09:53:00 2001
]aawansowanych [Author ID1: at Tue Oct 3 08:09:00 2000
]([Author ID1: at Tue Oct 3 08:09:00 2000
]Power Users)[Author ID1: at Tue Oct 3 08:09:00 2000
] tylko w przypadku [Author ID1: at Tue Oct 3 08:09:00 2000
]systemu[Author ID1: at Tue Oct 3 08:09:00 2000
]ie[Author ID1: at Tue Oct 3 08:09:00 2000
] Windows 2000 Professional. Członkostwo w grupach u[Author ID1: at Tue Oct 3 08:10:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Mon Aug 6 09:53:00 2001
]żytkowników zatwierdzonych[Author ID1: at Tue Oct 3 08:10:00 2000
]Authenticated Users[Author ID0: at Thu Nov 30 00:00:00 1899
] i u[Author ID1: at Tue Oct 3 08:10:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]U[Author ID3: at Mon Aug 6 09:54:00 2001
]żytkowników interaktywnych [Author ID1: at Tue Oct 3 08:10:00 2000
]([Author ID1: at Tue Oct 3 08:10:00 2000
]Interactive Users)[Author ID1: at Tue Oct 3 08:10:00 2000
] jest kontrolowane automatycznie przez system operacyjny. Grupa u[Author ID1: at Tue Oct 3 08:11:00 2000
][Author ID3: at Mon Aug 6 09:54:00 2001
]U[Author ID3: at Mon Aug 6 09:54:00 2001
]żytkowników zatwierdzonych [Author ID1: at Tue Oct 3 08:11:00 2000
]Authenticated Users [Author ID1: at Wed Oct 4 02:12:00 2000
]jest taka sama,[Author ID1: at Tue Oct 3 08:11:00 2000
] jak grupa Everyone, oprócz tego, że grupa Authenticated Users [Author ID1: at Tue Oct 3 08:12:00 2000
]nie zawiera ona [Author ID1: at Tue Oct 3 08:12:00 2000
]użytkowników anonimowych (anonymous users). Tak wię[Author ID1: at Tue Oct 3 08:12:00 2000
]c [Author ID1: at Tue Oct 3 08:12:00 2000
]W związku z tym [Author ID1: at Tue Oct 3 08:12:00 2000
]domyślnie mają zastosowanie następujące zasady:
K[Author ID1: at Tue Oct 3 08:12:00 2000 ]k[Author ID1: at Tue Oct 3 08:12:00 2000 ]ażdy użytkownik — [Author ID1: at Tue Oct 3 08:16:00 2000 ]nie-[Author ID1: at Tue Oct 3 08:15:00 2000 ] [Author ID1: at Tue Oct 3 08:15:00 2000 ]administrator,[Author ID1: at Tue Oct 3 08:16:00 2000 ] uzyskujący[Author ID1: at Tue Oct 3 08:16:00 2000 ] dostęp do systemu Windows 2000 Server staje się automatycznie zwykłym użytkownikiem, członkiem grupy Users,[Author ID1: at Tue Oct 3 08:16:00 2000 ].[Author ID1: at Tue Oct 3 08:16:00 2000 ]
K[Author ID1: at Tue Oct 3 08:16:00 2000 ]k[Author ID1: at Tue Oct 3 08:16:00 2000 ]ażdy użytkownik — [Author ID1: at Tue Oct 3 08:16:00 2000 ]nie-[Author ID1: at Tue Oct 3 08:16:00 2000 ] [Author ID1: at Tue Oct 3 08:16:00 2000 ]administrator,[Author ID1: at Tue Oct 3 08:16:00 2000 ] uzyskujący[Author ID1: at Tue Oct 3 08:16:00 2000 ] poprzez sieć [Author ID1: at Tue Oct 3 08:17:00 2000 ]dostęp do systemu Windows 2000 Professionalprzez sieć[Author ID1: at Tue Oct 3 08:17:00 2000 ]staje się zwykłym użytkownikiem, członkiem grupy Users,[Author ID1: at Tue Oct 3 08:17:00 2000 ].[Author ID1: at Tue Oct 3 08:17:00 2000 ]
K[Author ID1: at Tue Oct 3 08:17:00 2000 ]k[Author ID1: at Tue Oct 3 08:17:00 2000 ]ażdy użytkownik — [Author ID1: at Tue Oct 3 08:17:00 2000 ]nie-[Author ID1: at Tue Oct 3 08:17:00 2000 ] [Author ID1: at Tue Oct 3 08:17:00 2000 ]administrator,[Author ID1: at Tue Oct 3 08:17:00 2000 ] uzyskujący[Author ID1: at Tue Oct 3 08:17:00 2000 ] lokalnie [Author ID1: at Tue Oct 3 08:17:00 2000 ]dostęp do systemu Windows 2000 Professionallokaln[Author ID1: at Tue Oct 3 08:17:00 2000 ]ie[Author ID1: at Tue Oct 3 08:17:00 2000 ]staje się automatycznie członkiem grupy Power Users.[Author ID1: at Tue Oct 3 08:17:00 2000 ].[Author ID1: at Tue Oct 3 08:17:00 2000 ]
Tabela 2.1.[Author ID1: at Tue Oct 3 08:17:00 2000 ] Grupy używane do nadawania uprawnień
Grupa lokalna |
Domyślne członkostwo [Author ID1: at Tue Oct 3 08:20:00 2000
] |
|
Administrators |
Administrator |
Administrator |
Server Operators |
|
|
Power Users |
Interactive Users |
|
Users |
Authenticated Users |
Authenticated Users |
Taka sytuacja zapewnia zgodność wsteczną (backward-[Author ID1: at Tue Oct 3 08:23:00 2000
] [Author ID1: at Tue Oct 3 08:23:00 2000
]compatibility) systemu Windows 2000 Professional w zakresie ustawień kontroli dostępu. Ponieważ członkowie grupy Power Users systemu Windows 2000 mają te same uprawnienia dotyczące systemu plików i Rejestru,[Author ID1: at Tue Oct 3 08:23:00 2000
] co członkowie grupy Users systemu Windows NT 4, to [Author ID1: at Tue Oct 3 08:24:00 2000
]członkowie grupy Interactive Users w systemie Windows 2000 Professional powinni być w stanie uruchomić każdą aplikację, którą mogą uruchomić członkowie grupy Users w systemie Windows NT 4. Jednak zabezpieczenie stacji roboczej z systemem Windows 2000 jest teraz [Author ID1: at Tue Oct 3 08:24:00 2000
]obecnie [Author ID1: at Tue Oct 3 08:24:00 2000
]zadaniem znacznie prostszym niż w przypadku wcześniejszych wersji systemu Windows NT. Zamiast modyfikacji wielu list [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL systemu plików i Rejestru, trzeba [Author ID1: at Tue Oct 3 08:24:00 2000
]po prostu usunąć [Author ID1: at Tue Oct 3 08:24:00 2000
]usuwa się [Author ID1: at Tue Oct 3 08:24:00 2000
]grupę Interactive Users z grupy Power Users. Po tej operacji użytkownicy — [Author ID1: at Tue Oct 3 08:25:00 2000
]nie-[Author ID1: at Tue Oct 3 08:25:00 2000
] [Author ID1: at Tue Oct 3 08:25:00 2000
]administratorzy po zalogowaniu się,[Author ID1: at Tue Oct 3 08:25:00 2000
] zostaj[Author ID1: at Tue Oct 3 08:25:00 2000
]n[Author ID1: at Tue Oct 3 08:25:00 2000
]ą członkami grupy Users, która automatycznie podlega surowym zasadom kontroli dostępu (access control policy).
Domyślnie nikt nie jest członkiem grupy Power Users w systemie Windows 2000 Server po nowej instalacji lub aktualizacji systemu Windows 9x. W ten sposób użytkownicy lub konta usług (service accounts) logujący się do systemu Windows 2000 Server automatycznie znajdują się w środowisku bezpiecznym (secure environment) zwykłych członków grupy Users. Jeśli wymagana jest zgodność wsteczna z systemem Windows NT 4,[Author ID1: at Tue Oct 3 08:27:00 2000 ] to administrator musi podjąć specjalne działania i umieścić takie konta w mniej zabezpieczonej grupie Power Users.
Na zakończenie, kiedy serwer członkowski (member S[Author ID1: at Tue Oct 3 08:29:00 2000
]s[Author ID1: at Tue Oct 3 08:29:00 2000
]erver) lub stacja robocza są dołączane do domeny, grupy domen administratorów ([Author ID1: at Tue Oct 3 08:29:00 2000
]D[Author ID1: at Tue Oct 3 08:30:00 2000
]d[Author ID1: at Tue Oct 3 08:30:00 2000
]omain Administrators)[Author ID1: at Tue Oct 3 08:30:00 2000
] i domen użytkowników ([Author ID1: at Tue Oct 3 08:30:00 2000
]domain Users)[Author ID1: at Tue Oct 3 08:30:00 2000
] dodawane są odpowiednio[Author ID1: at Tue Oct 3 08:30:00 2000
]a[Author ID1: at Tue Oct 3 08:30:00 2000
] do grup lokalnych Administrators i Users.
Przełączanie pomiędzy kontekstami użytkowników
Administratorzy systemów powinni unikać logowania się na konto administratora przy wykonywaniu zadań nie [Author ID1: at Tue Oct 3 08:30:00 2000
]związanych z administrowaniem systemem. Chroni to system przed wykonaniem jakiegoś programu, napisanego w złych zamiarach, w uprzywilejowanym kontekście zabezpieczeń (security contex). Najczęściej spotykanymi przypadkiem tego rodzaju jest pobieranie i uruchamianie ich [Author ID1: at Tue Oct 3 08:31:00 2000
]programów z Internetu.
Aby zachęcić administratorów do pracy w mniej uprzywilejowanym kontekście (least privileged context),[Author ID1: at Tue Oct 3 08:31:00 2000
] system Windows 2000 zawiera poręczne narzędzie, które pozwala administratorom zalogować się jako użytkownik z grupy User lub Power User,[Author ID1: at Tue Oct 3 08:31:00 2000
] a następnie uruchomić zaufane programy administracyjne w kontekście administracyjnym, bez konieczności wylogowania i ponownego zalogowywania się. Narzędzie to nazywa się runas.exe. Na przykład [Author ID1: at Tue Oct 3 08:32:00 2000
]p., [Author ID1: at Tue Oct 3 08:32:00 2000
]aby uruchomić okno poleceń w kontekście danego administratora, należy wprowadzić w oknie Uruchom (R[Author ID1: at Tue Oct 3 19:07:00 2000
]r[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Tue Jul 31 02:27:00 2001
]R[Author ID3: at Tue Jul 31 02:27:00 2001
]un) następujące polecenie:
RUNAS /user:administrator@yourdoamin cmd
Programy uruchamiane za pomocą tego okna poleceń odziedziczą znacznik dostępu (access token) tego okna.[Author ID1: at Tue Oct 3 08:32:00 2000
] poleceń. [Author ID1: at Tue Oct 3 08:32:00 2000
]Program runas.exe jest również zintegrowany z powłoką (shell) systemu Windows 2000 ( [Author ID1: at Tue Oct 3 05:42:00 2000
]([Author ID1: at Tue Oct 3 05:42:00 2000
]Eksplorator Windows — [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]Windows Explorer),[Author ID1: at Tue Oct 3 08:32:00 2000
] tak więc programy i skróty (shortcuts) do programów mogą być uruchamiane za pomocą interfejsu użytkownika w różnych kontekstach użytkowników (user's context). Aby użyć programu runas.exe z poziomu powłoki (shell),[Author ID1: at Tue Oct 3 08:33:00 2000
] należy wybrać program wykonywalny (executable) oraz nacisnąć Shift i prawy klawisz myszki.
Synchronizacja komputerów po aktualizacji systemu z domyślnymi ustawieniami zabezpieczeń
Ponieważ zabezpieczenia komputerów po aktualizacji z systemu Windows NT nie są modyfikowane w trakcie instalowania systemu Windows 2000, domyślne ustawienia zabezpieczeń muszą być zmienione przez administratora po zakończeniu procesu instalacji.
W przypadku stacji roboczych należy z katalogu %systemroot%\security\templates wpisać następujące polecenie:
Secedit /configure /cfg [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
]basicwk.inf /db basicwk.sdb /log basicwk.log /verbose
Dla serwerów domyślne ustawienia zabezpieczeń zdefiniowano w pliku basicsv.inf. Ponownie z katalogu %systemroot%\security\templates należy wprowadzić następujące polecenie:
Secedit /configure /cfg basicsv.inf /db basicsv.sdb /log basicsv.log /verbose
Podstawowe pliki konfiguracyjne zmienią wszystkie domyślne ustawienia zabezpieczeń oprócz P[Author ID1: at Tue Oct 3 08:33:00 2000
]p[Author ID1: at Tue Oct 3 08:33:00 2000
]raw użytkownika (User Rights) i członkostwa w grupach Users i Power Users. Tak więc może wystąpić potrzeba dołączenia grupy Interactive Users do grupy Power Users po zastosowaniu szablonu[Author ID1: at Tue Oct 3 08:34:00 2000
] podstawowego [Author ID1: at Tue Oct 3 05:41:00 2000
] [Author ID1: at Tue Oct 3 05:41:00 2000
](basic templates). Uzyskanie domyślnych list [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL systemu plików jest możliwe tylko dla systemu NTFS.
Zastosowanie przystawki (snap-in) Szablony zabezpieczeń [Author ID3: at Mon Aug 6 09:54:00 2001
]Zabezpieczeń [Author ID3: at Mon Aug 6 09:54:00 2001
](s[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Mon Aug 6 09:54:00 2001
]S[Author ID3: at Mon Aug 6 09:54:00 2001
]S[Author ID1: at Tue Oct 3 19:07:00 2000
]ecurity T[Author ID1: at Tue Oct 3 19:07:00 2000
]t[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Mon Aug 6 09:54:00 2001
]T[Author ID3: at Mon Aug 6 09:54:00 2001
]emplates)
Przystawkę (snap-in) Szablony zabezpieczeń[Author ID3: at Wed Aug 1 12:58:00 2001
] [Author ID3: at Wed Aug 1 12:58:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:58:00 2001
] [Author ID3: at Wed Aug 1 12:58:00 2001
](s[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Tue Jul 31 02:29:00 2001
]S[Author ID3: at Tue Jul 31 02:29:00 2001
]S[Author ID1: at Tue Oct 3 19:07:00 2000
]ecurity T[Author ID1: at Tue Oct 3 19:07:00 2000
]t[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Wed Aug 1 12:58:00 2001
]T[Author ID3: at Wed Aug 1 12:58:00 2001
]emplates) można zastosować do poprawienia szablonów [Author ID3: at Sun Aug 5 20:48:00 2001
]Szablon[Author ID3: at Sun Aug 5 20:48:00 2001
]ów [Author ID3: at Sun Aug 5 20:48:00 2001
]zabezpieczeń[Author ID3: at Sun Aug 5 20:48:00 2001
] [Author ID3: at Sun Aug 5 20:48:00 2001
]Zabezpieczeń[Author ID3: at Sun Aug 5 20:48:00 2001
] [Author ID3: at Sun Aug 5 20:48:00 2001
](security [Author ID3: at Sun Aug 5 20:48:00 2001
]Security [Author ID3: at Sun Aug 5 20:48:00 2001
]templates[Author ID3: at Sun Aug 5 20:48:00 2001
]Templates[Author ID3: at Sun Aug 5 20:48:00 2001
]) dla grup użytkowników, grup komputerów oraz specjalnych ról komputera (computer roles). Narzędzie to można także wykorzystać do tworzenia nowych szablonów (templates). Przystawkę taką możn[Author ID1: at Tue Oct 3 08:35:00 2000
]a [Author ID1: at Tue Oct 3 08:35:00 2000
], [Author ID1: at Tue Oct 3 08:35:00 2000
]użyć do modyfikacji ustawień listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL,[Author ID1: at Tue Oct 3 08:35:00 2000
] dodając i usuwając prawa i uprawnienia użytkowników i grup (user and group rights and permission) zarówno dla kont wbudowanych,[Author ID1: at Tue Oct 3 08:35:00 2000
] jak i dla utworzonych. Aby zademonstrować zastosowanie takiego narzędzia w [Author ID1: at Tue Oct 3 17:36:00 2000
]grupie „autorzy”(authors), która aktualnie ma jednego członka „i.mclean”, nadane zostanie prawo do zalogowania się lokalnie. W celu [Author ID1: at Tue Oct 3 08:35:00 2000
]Aby [Author ID1: at Tue Oct 3 08:35:00 2000
]wypróbować[Author ID1: at Tue Oct 3 08:35:00 2000
]nia[Author ID1: at Tue Oct 3 08:35:00 2000
] taką [Author ID1: at Tue Oct 3 08:35:00 2000
]tej [Author ID1: at Tue Oct 3 08:35:00 2000
]procedurę[Author ID1: at Tue Oct 3 08:36:00 2000
]y[Author ID1: at Tue Oct 3 08:36:00 2000
] samemu,[Author ID1: at Wed Oct 4 07:47:00 2000
] z[Author ID1: at Tue Oct 3 08:36:00 2000
]n[Author ID1: at Tue Oct 3 08:36:00 2000
]ależy na komputerze [Author ID1: at Tue Oct 3 08:36:00 2000
]wybrać na komputerze [Author ID1: at Tue Oct 3 08:36:00 2000
]lub utworzyć zwykłą grupę użytkowników. Mniej banalne [Author ID1: at Tue Oct 3 08:36:00 2000
]oczywistym przykładem [Author ID1: at Tue Oct 3 08:36:00 2000
]zastosowania [Author ID1: at Tue Oct 3 08:36:00 2000
]e [Author ID1: at Tue Oct 3 08:36:00 2000
]przystawki Szablony zabezpieczeń[Author ID3: at Wed Aug 1 12:58:00 2001
] [Author ID3: at Wed Aug 1 12:58:00 2001
]Zabezpieczeń[Author ID3: at Wed Aug 1 12:58:00 2001
] [Author ID3: at Wed Aug 1 12:58:00 2001
](s[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Tue Jul 31 02:29:00 2001
]S[Author ID3: at Tue Jul 31 02:29:00 2001
]S[Author ID1: at Tue Oct 3 19:07:00 2000
]ecurity T[Author ID1: at Tue Oct 3 19:07:00 2000
]t[Author ID1: at Tue Oct 3 19:07:00 2000
][Author ID3: at Wed Aug 1 12:58:00 2001
]T[Author ID3: at Wed Aug 1 12:58:00 2001
]emplates) to [Author ID1: at Tue Oct 3 08:36:00 2000
]jest [Author ID1: at Tue Oct 3 08:36:00 2000
]zmiana praw dla członków grupy Power Users lub definiowanie domyślnych ustawień zabezpieczeń dla katalogu głównego (root directory) poprzez utworzenie odpowiednio plików defltwk.inf i defltsv.inf:
Wybierz pozycję menu Start
/[Author ID3: at Tue Jul 31 02:30:00 2001 ]\[Author ID3: at Tue Jul 31 02:30:00 2001 ]Uruchom i wpisz polecenie mmc.Wybierz opcję menu Dodaj
/[Author ID3: at Tue Jul 31 02:30:00 2001 ]/[Author ID3: at Tue Jul 31 16:54:00 2001 ]Usuń przystawkę (A[Author ID1: at Tue Oct 3 18:05:00 2000 ]a[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID3: at Tue Jul 31 02:30:00 2001 ]dd/R[Author ID1: at Tue Oct 3 18:05:00 2000 ]r[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:30:00 2001 ]R[Author ID3: at Tue Jul 31 02:30:00 2001 ]emoveS[Author ID1: at Tue Oct 3 08:37:00 2000 ]s[Author ID1: at Tue Oct 3 08:37:00 2000 ]nap-in).Naciśnij Dodaj (
A[Author ID1: at Tue Oct 3 18:05:00 2000 ]a[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID3: at Tue Jul 31 02:30:00 2001 ]dd). Pojawi się okno dialogowe Dodaj samodzielną przystawkę (a[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID1: at Tue Oct 3 18:05:00 2000 ]ddS[Author ID1: at Tue Oct 3 18:09:00 2000 ]s[Author ID1: at Tue Oct 3 18:09:00 2000 ]tandalone s[Author ID1: at Tue Oct 3 08:37:00 2000 ]S[Author ID1: at Tue Oct 3 08:37:00 2000 ]nap-in).W polu listy (list box) Dostępne samodzielne przystawki (
a[Author ID1: at Tue Oct 3 18:09:00 2000 ][Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID3: at Tue Jul 31 02:30:00 2001 ]A[Author ID1: at Tue Oct 3 18:09:00 2000 ]vailableS[Author ID1: at Tue Oct 3 18:10:00 2000 ]s[Author ID1: at Tue Oct 3 18:10:00 2000 ]tandaloneS[Author ID1: at Tue Oct 3 08:37:00 2000 ]s[Author ID1: at Tue Oct 3 08:37:00 2000 ]nap-ins) wybierz Szablonyzabezpieczeń[Author ID3: at Tue Jul 31 16:54:00 2001 ]Zabezpieczeń [Author ID3: at Tue Jul 31 16:54:00 2001 ](Security[Author ID1: at Tue Oct 3 20:43:00 2000 ]s[Author ID1: at Tue Oct 3 20:43:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]S[Author ID3: at Tue Jul 31 02:31:00 2001 ]ecurity [Author ID1: at Tue Oct 3 20:43:00 2000 ]T[Author ID1: at Tue Oct 3 18:05:00 2000 ]t[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 16:55:00 2001 ]T[Author ID3: at Tue Jul 31 16:55:00 2001 ]emplates).Naciśnij Dodaj (
a[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]A[Author ID3: at Tue Jul 31 02:31:00 2001 ]A[Author ID1: at Tue Oct 3 18:05:00 2000 ]dd), naciśnij Zamknij (C[Author ID1: at Tue Oct 3 18:05:00 2000 ]c[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]C[Author ID3: at Tue Jul 31 02:31:00 2001 ]lose) a potem naciśnij OK.Pojawi się przystawka Szablony
zabezpieczeń[Author ID3: at Tue Jul 31 16:55:00 2001 ]Zabezpieczeń [Author ID3: at Tue Jul 31 16:55:00 2001 ](Security[Author ID1: at Tue Oct 3 19:07:00 2000 ]s[Author ID1: at Tue Oct 3 19:07:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]S[Author ID3: at Tue Jul 31 02:31:00 2001 ]ecurity [Author ID1: at Tue Oct 3 19:07:00 2000 ]T[Author ID1: at Tue Oct 3 18:05:00 2000 ]t[Author ID1: at Tue Oct 3 18:05:00 2000 ][Author ID3: at Tue Jul 31 16:55:00 2001 ]T[Author ID3: at Tue Jul 31 16:55:00 2001 ]emplates). Rozszerz przystawkę jak przedstawiono na rysunku 2.14.Kliknij prawym klawiszem myszki pozycję Logowanie
lokalne[Author ID3: at Wed Aug 1 12:58:00 2001 ]Lokalne [Author ID3: at Wed Aug 1 12:58:00 2001 ](L[Author ID1: at Tue Oct 3 18:10:00 2000 ]l[Author ID1: at Tue Oct 3 18:10:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]L[Author ID3: at Tue Jul 31 02:31:00 2001 ]oglocally[Author ID3: at Wed Aug 1 12:59:00 2001 ]Locally[Author ID3: at Wed Aug 1 12:59:00 2001 ]). Wybierz opcję Bezpieczeństwo (S[Author ID1: at Tue Oct 3 18:10:00 2000 ]s[Author ID1: at Tue Oct 3 18:10:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]S[Author ID3: at Tue Jul 31 02:31:00 2001 ]ecurity).Wybierz opcję Definiuj te ustawienia zasad w szablonie (
d[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]D[Author ID3: at Tue Jul 31 02:31:00 2001 ]D[Author ID1: at Tue Oct 3 18:06:00 2000 ]efine these policy settings in the template). Naciśnij Dodaj (A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:31:00 2001 ]A[Author ID3: at Tue Jul 31 02:31:00 2001 ]dd).Na rysunku 2.15
.[Author ID1: at Tue Oct 3 08:37:00 2000 ][Author ID2: at Mon Aug 13 12:11:00 2001 ] przedstawiono dodawanie grupy „autorzy[Author ID1: at Tue Oct 3 17:36:00 2000 ]authors[Author ID1: at Tue Oct 3 17:36:00 2000 ]” (authors)[Author ID1: at Tue Oct 3 17:36:00 2000 ]. Można wybrać dowolną grupę zwykłych użytkowników tego komputera.W każdym z okien dialogowych naciśnij OK. Zamknij konsolę bez zapisywania ustawień.
System zażąda zapisania poprawionego szablonu w katalogu %systemroot%\
Security[Author ID1: at Tue Oct 3 20:44:00 2000 ]security[Author ID1: at Tue Oct 3 20:44:00 2000 ]\Templates[Author ID1: at Tue Oct 3 20:44:00 2000 ]templates[Author ID1: at Tue Oct 3 20:44:00 2000 ]\Dcsecurity[Author ID1: at Tue Oct 3 20:44:00 2000 ]dcsecurity[Author ID1: at Tue Oct 3 20:44:00 2000 ].inf. Naciśnij OK.
Rysunek 2.14.[Author ID1: at Tue Oct 3 08:38:00 2000
] Rozszerzenie przystawki (snap-in) Szablony zabezpieczeń [Author ID0: at Thu Nov 30 00:00:00 1899
]Zabezpieczeń [Author ID3: at Tue Jul 31 16:56:00 2001
](Security [Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 20:44:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Tue Jul 31 02:31:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:44:00 2000
]Templates[Author ID0: at Thu Nov 30 00:00:00 1899
]t[Author ID1: at Tue Oct 3 20:44:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]T[Author ID3: at Tue Jul 31 16:56:00 2001
]emplates[Author ID1: at Tue Oct 3 20:44:00 2000
])[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.15.[Author ID1: at Tue Oct 3 08:38:00 2000
] Zastosowanie ustawień szablonu do danej grupy.[Author ID0: at Thu Nov 30 00:00:00 1899
]
OSTRZEŻENIE! Ważnym[Author ID1: at Tue Oct 3 08:38:00 2000
]e[Author ID1: at Tue Oct 3 08:38:00 2000
] jest,[Author ID1: at Tue Oct 3 08:38:00 2000
] aby zrozumieć, co tu właściwie [Author ID1: at Tue Oct 3 08:38:00 2000
]w rzeczywistości [Author ID1: at Tue Oct 3 08:38:00 2000
]zostało zrobione. Zmieniono domyślne ustawienia szablonu, które po zastosowaniu pozwolą członkom grupy „authors[Author ID1: at Tue Oct 3 17:37:00 2000
]autorzy[Author ID1: at Tue Oct 3 17:37:00 2000
]"[Author ID1: at Tue Oct 3 08:39:00 2000
] na logowanie się lokalnie do systemu,[Author ID1: at Tue Oct 3 08:39:00 2000
] o ile założenia ustanowione na wyższym poziomie nie odbiorą tego prawa. W przypadku kontrolera domeny (DC) mogłyby to być założenia domeny (domain policy). W rozdziale 3.[Author ID1: at Tue Oct 3 08:39:00 2000
] przedstawiono administrowanie założeniami domeny (domain policy). Narzędzie S[Author ID0: at Thu Nov 30 00:00:00 1899
]s[Author ID1: at Tue Oct 3 08:39:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]S[Author ID3: at Tue Jul 31 02:32:00 2001
]zablony zabezpieczeń[Author ID3: at Sun Aug 5 20:49:00 2001
] [Author ID3: at Sun Aug 5 20:49:00 2001
]Zabezpieczeń[Author ID3: at Sun Aug 5 20:49:00 2001
] [Author ID3: at Sun Aug 5 20:49:00 2001
](Security [Author ID1: at Tue Oct 3 20:44:00 2000
]s[Author ID1: at Tue Oct 3 20:44:00 2000
][Author ID3: at Tue Jul 31 02:32:00 2001
]S[Author ID3: at Tue Jul 31 02:32:00 2001
]ecurity [Author ID1: at Tue Oct 3 20:44:00 2000
]Templates[Author ID1: at Tue Oct 3 20:44:00 2000
]t[Author ID1: at Tue Oct 3 20:44:00 2000
][Author ID3: at Sun Aug 5 20:49:00 2001
]T[Author ID3: at Sun Aug 5 20:49:00 2001
]emplates[Author ID1: at Tue Oct 3 20:44:00 2000
]) opisano szczegółowo w rozdziale 12.
Zdefiniowane wstępnie Szablony zabezpieczeń (Security [Author ID1: at Tue Oct 3 20:44:00 2000
]security [Author ID1: at Tue Oct 3 20:44:00 2000
]Templates[Author ID1: at Tue Oct 3 20:44:00 2000
]templates[Author ID1: at Tue Oct 3 20:44:00 2000
])
Jak już wspomniano przy omawianiu przystawki Szablony zabezpieczeń [Author ID3: at Tue Jul 31 16:57:00 2001
]Zabezpieczeń [Author ID3: at Tue Jul 31 16:57:00 2001
](Security [Author ID1: at Tue Oct 3 19:08:00 2000
]s[Author ID1: at Tue Oct 3 19:08:00 2000
][Author ID3: at Tue Jul 31 02:32:00 2001
]S[Author ID3: at Tue Jul 31 02:32:00 2001
]ecurity [Author ID1: at Tue Oct 3 19:08:00 2000
]Templates[Author ID1: at Tue Oct 3 19:08:00 2000
]t[Author ID1: at Tue Oct 3 19:08:00 2000
][Author ID3: at Tue Jul 31 16:57:00 2001
]T[Author ID3: at Tue Jul 31 16:57:00 2001
]emplates[Author ID1: at Tue Oct 3 19:08:00 2000
]) dla najczęściej spotykanych zadań administracyjnych zdefiniowano zestaw szablonów zabezpieczeń. Można je stosować w takiej postaci,[Author ID1: at Tue Oct 3 08:39:00 2000
] jak są lub modyfikować odpowiednio do wymagań dotyczących bezpieczeństwa systemu. Oto zestaw zdefiniowanych wstępnie szablonów zabezpieczeń:
D[Author ID1: at Tue Oct 3 08:40:00 2000 ]d[Author ID1: at Tue Oct 3 08:40:00 2000 ]omyślny — stacja robocza (basicwk.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ].[Author ID1: at Tue Oct 3 08:40:00 2000 ]D[Author ID1: at Tue Oct 3 08:40:00 2000 ]d[Author ID1: at Tue Oct 3 08:40:00 2000 ]omyślny — controler domeny (basicdc.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ]Z[Author ID1: at Tue Oct 3 08:40:00 2000 ]z[Author ID1: at Tue Oct 3 08:40:00 2000 ]godny — stacja robocza lub serwer (compatws.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ]B[Author ID1: at Tue Oct 3 08:40:00 2000 ]b[Author ID1: at Tue Oct 3 08:40:00 2000 ]ezpieczny — stacja robocza lub serwer (securews.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ]W[Author ID1: at Tue Oct 3 08:40:00 2000 ]w[Author ID1: at Tue Oct 3 08:40:00 2000 ]ysoki stopień bezpieczeństwa (H[Author ID1: at Tue Oct 3 08:40:00 2000 ]h[Author ID1: at Tue Oct 3 08:40:00 2000 ]ighlyS[Author ID1: at Tue Oct 3 08:40:00 2000 ]s[Author ID1: at Tue Oct 3 08:40:00 2000 ]ecure) — stacja robocza lub serwer (hisecws.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ]S[Author ID1: at Tue Oct 3 08:40:00 2000 ]s[Author ID1: at Tue Oct 3 08:40:00 2000 ]pecjalizowany kontroler domeny (dedicadc.inf),[Author ID1: at Tue Oct 3 08:40:00 2000 ]B[Author ID1: at Tue Oct 3 08:40:00 2000 ]b[Author ID1: at Tue Oct 3 08:40:00 2000 ]ezpieczny — kontroler domeny (securedc.inf),[Author ID1: at Tue Oct 3 08:41:00 2000 ]W[Author ID1: at Tue Oct 3 08:41:00 2000 ]w[Author ID1: at Tue Oct 3 08:41:00 2000 ]ysoki stopień bezpieczeństwa (H[Author ID1: at Tue Oct 3 08:41:00 2000 ]h[Author ID1: at Tue Oct 3 08:41:00 2000 ]ighlyS[Author ID1: at Tue Oct 3 08:41:00 2000 ]s[Author ID1: at Tue Oct 3 08:41:00 2000 ]ecure) — kontroler domeny (hisecdc.inf).[Author ID1: at Tue Oct 3 08:41:00 2000 ]
Domyślnie szablony te zapisane są w katalogu \%systemroot%\security\templates.
Poziomy zabezpieczeń
Wymienione powyżej szablony zostały zaprojektowane,[Author ID1: at Tue Oct 3 08:41:00 2000 ] aby spełnić kilka grup wymagań w zakresie bezpieczeństwa:
p[Author ID1: at Tue Oct 3 08:41:00 2000 ]
P[Author ID1: at Tue Oct 3 08:41:00 2000 ]odstawowe (B[Author ID1: at Tue Oct 3 08:41:00 2000 ]b[Author ID1: at Tue Oct 3 08:41:00 2000 ]asic) (basic*.inf) —P[Author ID1: at Tue Oct 3 08:41:00 2000 ]p[Author ID1: at Tue Oct 3 08:41:00 2000 ]odstawowe dane konfiguracyjne dotyczą domyślnych ustawień zabezpieczeń dla wszystkich obszarów zabezpieczeń (security area),[Author ID1: at Tue Oct 3 08:41:00 2000 ] oprócztych[Author ID1: at Tue Oct 3 08:42:00 2000 ]odnoszących się do praw użytkownika, które nie są modyfikowane w szablonach podstawowych, ponieważ programy instalacyjne aplikacjizwykle[Author ID1: at Tue Oct 3 08:42:00 2000 ]zazwyczaj [Author ID1: at Tue Oct 3 08:42:00 2000 ]modyfikują prawa użytkowników, aby umożliwić prawidłowe wykorzystanie takiej aplikacji,[Author ID1: at Tue Oct 3 08:42:00 2000 ].[Author ID1: at Tue Oct 3 08:42:00 2000 ]Z[Author ID1: at Tue Oct 3 08:42:00 2000 ]z[Author ID1: at Tue Oct 3 08:42:00 2000 ]godne (C[Author ID1: at Tue Oct 3 08:42:00 2000 ]c[Author ID1: at Tue Oct 3 08:42:00 2000 ]ompatible) (compat*.inf) —J[Author ID1: at Tue Oct 3 08:42:00 2000 ]j[Author ID1: at Tue Oct 3 08:42:00 2000 ]ak opisano wcześniej zabezpieczenia systemu Windows 2000 są konfigurowane domyślnie w ten sposób, aby członkowie grupy lokalnej Users mieli doskonałe ustawienia zabezpieczeń, a członkowie grupy lokalnej Power Usersmają[Author ID1: at Tue Oct 3 08:43:00 2000 ]mieli [Author ID1: at Tue Oct 3 08:43:00 2000 ]ustawienia zabezpieczeń zgodne wstecz z użytkownikami systemu Windows NT 4. Taka domyślna konfiguracja umożliwia pisanie aplikacji dla standardowej definicji środowiska zabezpieczeń Windows, podczas gdy istniejące aplikacje nadal mogą działać poprawnie przy niższym poziomie zabezpieczeń grupy Power Users. Ustawienia dla grupy Power Users mogą być zbyt niepewne dla niektórych środowisk, w których lepiej byłoby, aby domyślnie użytkownicy byli członkami wyłącznie grupy Users. Dla takich środowisk przeznaczone są szablony zgodne (compatible templates), które[Author ID1: at Tue Oct 3 08:43:00 2000 ]. Szablony zgod[Author ID1: at Tue Oct 3 08:43:00 2000 ]ne (compatible templates),[Author ID1: at Tue Oct 3 08:43:00 2000 ], [Author ID1: at Tue Oct 3 08:43:00 2000 ]obniżając poziom zabezpieczeń określonych plików, folderów i kluczy Rejestru ([Author ID1: at Tue Oct 3 08:44:00 2000 ],[Author ID1: at Tue Oct 3 08:44:00 2000 ]do których najczęściej aplikacje mają dostęp)[Author ID1: at Tue Oct 3 08:44:00 2000 ], pozwalają większości aplikacji pracować poprawnie. Dodatkowo, ponieważ administrator,[Author ID1: at Tue Oct 3 08:44:00 2000 ] stosując szablon zgodny (compatible template),[Author ID1: at Tue Oct 3 08:44:00 2000 ] zapewne nie chce, aby użytkownicy byli członkami grupy Power Users, wszyscy członkowie tej grupy zostają usunięci,[Author ID1: at Tue Oct 3 08:44:00 2000 ].[Author ID1: at Tue Oct 3 08:44:00 2000 ]B[Author ID1: at Tue Oct 3 08:44:00 2000 ]b[Author ID1: at Tue Oct 3 08:44:00 2000 ]ezpieczne (S[Author ID1: at Tue Oct 3 08:44:00 2000 ]s[Author ID1: at Tue Oct 3 08:44:00 2000 ]ecure) (secure*.inf) —S[Author ID1: at Tue Oct 3 08:44:00 2000 ]s[Author ID1: at Tue Oct 3 08:44:00 2000 ]zablony bezpieczne (secure templates) wprowadzają zalecane ustawienia zabezpieczeń dla wszystkich obszarów zabezpieczeń,[Author ID1: at Tue Oct 3 08:45:00 2000 ] oprócz plików, folderów i kluczy Rejestru. Ustawienia dla tych elementów nie są modyfikowane, ponieważ system plików i uprawnienia Rejestru są konfigurowane jako bezpieczne domyślnie.[Author ID1: at Tue Oct 3 08:45:00 2000 ],[Author ID1: at Tue Oct 3 08:45:00 2000 ]W[Author ID1: at Tue Oct 3 08:45:00 2000 ]w[Author ID1: at Tue Oct 3 08:45:00 2000 ]ysoki stopień zabezpieczeń (H[Author ID1: at Tue Oct 3 08:45:00 2000 ]h[Author ID1: at Tue Oct 3 08:45:00 2000 ]ighlyS[Author ID1: at Tue Oct 3 08:45:00 2000 ]s[Author ID1: at Tue Oct 3 08:45:00 2000 ]ecure) (hisec*.inf) —S[Author ID1: at Tue Oct 3 08:45:00 2000 ]s[Author ID1: at Tue Oct 3 08:45:00 2000 ]zablony wysokiego stopnia zabezpieczeń określają ustawienia zabezpieczeń systemu Windows 2000 dla komunikacji przez sieć. Obszary zabezpieczeń są ustawione w ten sposób, a[Author ID1: at Tue Oct 3 08:45:00 2000 ]by wymagały maksymalnej ochrony dla transmisji przez sieć i protokołów sieciowych stosowanych pomiędzy komputerami z systemem Windows 2000. W wyniku tego komputery, w których użyto szablonu wysokiego stopnia zabezpieczeń,[Author ID1: at Tue Oct 3 08:46:00 2000 ] mogą komunikować się tylko z innymi komputerami pracujacymi pod kontrolą systemu Windows 2000,[Author ID1: at Tue Oct 3 08:46:00 2000 ].[Author ID1: at Tue Oct 3 08:46:00 2000 ]S[Author ID1: at Tue Oct 3 08:46:00 2000 ]s[Author ID1: at Tue Oct 3 08:46:00 2000 ]pecjalizowane kontrolery domen (d[Author ID1: at Tue Oct 3 08:46:00 2000 ]D[Author ID1: at Tue Oct 3 08:46:00 2000 ]edicatedD[Author ID1: at Tue Oct 3 08:46:00 2000 ]d[Author ID1: at Tue Oct 3 08:46:00 2000 ]omainC[Author ID1: at Tue Oct 3 08:46:00 2000 ]c[Author ID1: at Tue Oct 3 08:46:00 2000 ]ontrollers) (dedica*.info) —K[Author ID1: at Tue Oct 3 08:46:00 2000 ]k[Author ID1: at Tue Oct 3 08:46:00 2000 ]ontrolery domen z zainstalowanym systemem Windows 2000 w przypadku zastosowania ustawień domyślnych nie są idealnie bezpieczne[Author ID1: at Tue Oct 3 08:47:00 2000 ]i[Author ID1: at Tue Oct 3 08:47:00 2000 ]. Umożliwia to administratorowi uruchamiać na kontrolerach domen istniejące aplikacje, korzystające z serwerów, w taki sam sposób,[Author ID1: at Tue Oct 3 08:48:00 2000 ] jak we wcześniejszych wersjach Windows. Jeśli nie uruchamia się aplikacji korzystających z serwera na kontrolerze domeny (co jest zalecane przez Microsoft), domyślne uprawnienia systemu plików i Rejestru dla grupy lokalnej Users mogą być zdefiniowane w ten sam idealny sposób jak w przypadku stacji roboczych lub autonomicznych serwerów z systemem Windows 2000. Korzystając z tego szablonu wprowadza się dla użytkowników lokalnych kontrolera domeny Windows 2000 takie,[Author ID1: at Tue Oct 3 08:55:00 2000 ] idealne ustawienia zabezpieczeń.
Zastosowanie e[Author ID1: at Tue Oct 3 08:55:00 2000
][Author ID3: at Mon Aug 6 09:55:00 2001
]E[Author ID3: at Mon Aug 6 09:55:00 2001
]E[Author ID1: at Tue Oct 3 08:55:00 2000
]dytora listy [Author ID3: at Mon Aug 6 09:55:00 2001
]Listy [Author ID3: at Mon Aug 6 09:55:00 2001
]kontroli [Author ID3: at Mon Aug 6 09:55:00 2001
]Kontroli [Author ID3: at Mon Aug 6 09:55:00 2001
]dostępu [Author ID3: at Mon Aug 6 09:55:00 2001
]Dostępu [Author ID3: at Mon Aug 6 09:55:00 2001
](Access Control List Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]editor[Author ID1: at Tue Oct 3 20:41:00 2000
])
Zakładka B[Author ID1: at Tue Oct 3 08:55:00 2000
]B[Author ID1: at Tue Oct 3 08:55:00 2000
]ezpieczeństwo (S[Author ID1: at Tue Oct 3 08:55:00 2000
]s[Author ID1: at Tue Oct 3 08:55:00 2000
][Author ID3: at Tue Jul 31 02:34:00 2001
]S[Author ID3: at Tue Jul 31 02:34:00 2001
]ecurity) E[Author ID1: at Tue Oct 3 08:56:00 2000
]e[Author ID1: at Tue Oct 3 08:56:00 2000
]dytora ACL obiektu założeń grupowych (GPO) znajduje się w oknie W[Author ID1: at Tue Oct 3 08:56:00 2000
]W[Author ID1: at Tue Oct 3 08:56:00 2000
]łaściwości (P[Author ID1: at Tue Oct 3 08:56:00 2000
]p[Author ID1: at Tue Oct 3 08:56:00 2000
][Author ID3: at Tue Jul 31 02:34:00 2001
]P[Author ID3: at Tue Jul 31 02:34:00 2001
]roperties) tego obiektu. Aby uruchomić E[Author ID0: at Thu Nov 30 00:00:00 1899
]e[Author ID1: at Tue Oct 3 08:56:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]E[Author ID3: at Tue Jul 31 02:49:00 2001
]dytor listy[Author ID0: at Thu Nov 30 00:00:00 1899
] ACL (ACL Editor[Author ID1: at Tue Oct 3 20:41:00 2000
]e[Author ID1: at Tue Oct 3 20:41:00 2000
][Author ID3: at Tue Jul 31 02:49:00 2001
]E[Author ID3: at Tue Jul 31 02:49:00 2001
]ditor[Author ID1: at Tue Oct 3 20:41:00 2000
]) w przystawce (snap-in) MMC Z[Author ID1: at Tue Oct 3 08:56:00 2000
]z[Author ID1: at Tue Oct 3 08:56:00 2000
][Author ID3: at Tue Jul 31 16:58:00 2001
]Z[Author ID3: at Tue Jul 31 16:58:00 2001
]ałożenia grup[Author ID3: at Tue Jul 31 16:58:00 2001
] [Author ID3: at Tue Jul 31 16:58:00 2001
]Grup[Author ID3: at Tue Jul 31 16:58:00 2001
] [Author ID3: at Tue Jul 31 16:58:00 2001
](MMC Group Policy) kliknij prawym klawiszem myszki gałąź główną (root node) obiektu GPO, wybierz z menu pozycję Właściwości (P[Author ID1: at Tue Oct 3 08:57:00 2000
]p[Author ID1: at Tue Oct 3 08:57:00 2000
][Author ID3: at Tue Jul 31 02:36:00 2001
]P[Author ID3: at Tue Jul 31 02:36:00 2001
]roperties), a następnie wybierz zakładkę Bezpieczeństwo (S[Author ID1: at Tue Oct 3 18:40:00 2000
]s[Author ID1: at Tue Oct 3 18:40:00 2000
][Author ID3: at Tue Jul 31 02:37:00 2001
]S[Author ID3: at Tue Jul 31 02:37:00 2001
]ecurity). Strona ta służy do nadawania uprawnień do wybranego obiektu założeń grupowych ([Author ID1: at Tue Oct 3 22:37:00 2000
]GPO)[Author ID1: at Tue Oct 3 22:37:00 2000
]. Za pomocą tych uprawnień,[Author ID1: at Tue Oct 3 08:58:00 2000
] określonym grupom nadaje się prawo dostępu lub odmawia prawa dostępu do danego obiektu GPO. Procedura jest następująca:
Z menu Start wybierz pozycję Uruchom (
r[Author ID1: at Tue Oct 3 18:40:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]R[Author ID3: at Tue Jul 31 02:37:00 2001 ]R[Author ID1: at Tue Oct 3 18:40:00 2000 ]un) i wpisz polecenie mmc.Wybierz pozycję menu MMC Konsola (MMC
C[Author ID1: at Tue Oct 3 18:40:00 2000 ]c[Author ID1: at Tue Oct 3 18:40:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]C[Author ID3: at Tue Jul 31 02:37:00 2001 ]onsole).Wybierz pozycję Dodaj/Usuń przystawkę (
A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]dd/R[Author ID1: at Tue Oct 3 18:06:00 2000 ]r[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]R[Author ID3: at Tue Jul 31 02:37:00 2001 ]emoveS[Author ID1: at Tue Oct 3 08:59:00 2000 ]s[Author ID1: at Tue Oct 3 08:59:00 2000 ]nap-in). Pojawi się okno dialogowe Dodaj/Usuń przystawkę (A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]dd/R[Author ID1: at Tue Oct 3 18:06:00 2000 ]r[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]R[Author ID3: at Tue Jul 31 02:37:00 2001 ]emove s[Author ID1: at Tue Oct 3 08:59:00 2000 ]S[Author ID1: at Tue Oct 3 08:59:00 2000 ]nap-in).Naciśnij Dodaj (
A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]dd). Pojawi się okno dialogowe Dodaj samodzielną przystawkę (A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]ddS[Author ID1: at Tue Oct 3 18:06:00 2000 ]s[Author ID1: at Tue Oct 3 18:06:00 2000 ]tandaloneS[Author ID1: at Tue Oct 3 08:59:00 2000 ]s[Author ID1: at Tue Oct 3 08:59:00 2000 ]nap-in).W polu listy Dostępne samodzielne przystawki (
A[Author ID1: at Tue Oct 3 18:06:00 2000 ]a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]vailableS[Author ID1: at Tue Oct 3 18:06:00 2000 ]s[Author ID1: at Tue Oct 3 18:06:00 2000 ]tandaloneS[Author ID1: at Tue Oct 3 09:00:00 2000 ]s[Author ID1: at Tue Oct 3 09:00:00 2000 ]nap-in's) wybierz Założeniagrupowe[Author ID3: at Tue Jul 31 16:58:00 2001 ]Grupowe [Author ID3: at Tue Jul 31 16:58:00 2001 ](Group Policy), a następnie naciśnij Dodaj (a[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID3: at Tue Jul 31 02:37:00 2001 ]A[Author ID1: at Tue Oct 3 18:06:00 2000 ]dd).Naciśnij Przeglądaj (
b[Author ID1: at Tue Oct 3 18:06:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]B[Author ID3: at Tue Jul 31 02:38:00 2001 ]B[Author ID1: at Tue Oct 3 18:06:00 2000 ]rowse) i wybierz kontener Kontrolerdomeny[Author ID3: at Tue Jul 31 16:58:00 2001 ]Domeny [Author ID3: at Tue Jul 31 16:58:00 2001 ](Domain Controller),[Author ID1: at Tue Oct 3 09:00:00 2000 ] jak przedstawiono na rysunku 2.16. Naciśnij OK.Kliknij Domyślne
założenia[Author ID3: at Tue Jul 31 16:58:00 2001 ]Założenia [Author ID3: at Tue Jul 31 16:58:00 2001 ]kontrolera[Author ID3: at Tue Jul 31 16:59:00 2001 ]Kontrolera [Author ID3: at Tue Jul 31 16:59:00 2001 ]domeny[Author ID3: at Tue Jul 31 16:59:00 2001 ]Domeny [Author ID3: at Tue Jul 31 16:59:00 2001 ](Default Domain Controllers Policy) prawym klawiszem myszki. Z menu wybierz Właściwości (P[Author ID1: at Tue Oct 3 18:40:00 2000 ]p[Author ID1: at Tue Oct 3 18:40:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]P[Author ID3: at Tue Jul 31 02:38:00 2001 ]roperties).Wybierz zakładkę Bezpieczeństwo (
Security[Author ID1: at Tue Oct 3 19:08:00 2000 ]s[Author ID1: at Tue Oct 3 19:08:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]S[Author ID3: at Tue Jul 31 02:38:00 2001 ]ecurity[Author ID1: at Tue Oct 3 19:08:00 2000 ]). Teraz masz dostęp do Edytoralisty[Author ID1: at Tue Oct 3 09:00:00 2000 ]ACL (ACLEditor[Author ID1: at Tue Oct 3 20:41:00 2000 ]e[Author ID1: at Tue Oct 3 20:41:00 2000 ][Author ID3: at Tue Jul 31 02:52:00 2001 ]E[Author ID3: at Tue Jul 31 02:52:00 2001 ]ditor[Author ID1: at Tue Oct 3 20:41:00 2000 ]);[Author ID1: at Tue Oct 3 09:00:00 2000 ],[Author ID1: at Tue Oct 3 09:00:00 2000 ] zobacz[Author ID4: at Wed Oct 4 07:49:00 2000 ].[Author ID1: at Wed Oct 4 07:49:00 2000 ] rysunek 2.17. Zauważ, że tytuł okna dialogowego nie podaje, że korzysta się z edytoralisty[Author ID0: at Thu Nov 30 00:00:00 1899 ]ACL. Zamiast tego określa,[Author ID1: at Tue Oct 3 09:00:00 2000 ] co jest aktualnie edytowane.
Rysunek 2.16.[Author ID1: at Tue Oct 3 09:01:00 2000
] Wybór kontenera K[Author ID1: at Tue Oct 3 19:36:00 2000
]K[Author ID0: at Thu Nov 30 00:00:00 1899
]ontroler domeny [Author ID0: at Thu Nov 30 00:00:00 1899
]Domeny [Author ID3: at Tue Jul 31 16:59:00 2001
](Domain Controller).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Rysunek 2.17.[Author ID1: at Tue Oct 3 09:01:00 2000
] Edytor listy [Author ID0: at Thu Nov 30 00:00:00 1899
]Listy [Author ID3: at Wed Aug 1 12:59:00 2001
]kontroli [Author ID0: at Thu Nov 30 00:00:00 1899
]Kontroli [Author ID3: at Wed Aug 1 12:59:00 2001
]dostępu [Author ID0: at Thu Nov 30 00:00:00 1899
]Dostępu [Author ID3: at Wed Aug 1 12:59:00 2001
](Access Control List Editor[Author ID0: at Thu Nov 30 00:00:00 1899
]e[Author ID1: at Tue Oct 3 20:42:00 2000
][Author ID0: at Thu Nov 30 00:00:00 1899
]E[Author ID3: at Wed Aug 1 13:00:00 2001
]ditor[Author ID1: at Tue Oct 3 20:42:00 2000
]).[Author ID0: at Thu Nov 30 00:00:00 1899
]
Zwróć uwagę na dostępne opcje. Naciśnij przycisk Zaawansowane (
A[Author ID1: at Tue Oct 3 18:41:00 2000 ]a[Author ID1: at Tue Oct 3 18:41:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]A[Author ID3: at Tue Jul 31 02:38:00 2001 ]dvanced) i obejrzyj opcje zaawansowane. Na razie nic nie zmieniaj.W każdym oknie dialogowym naciśnij OK. W oknie Wybierz obiekt założeń grupowych (
S[Author ID1: at Tue Oct 3 18:07:00 2000 ]s[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]S[Author ID3: at Tue Jul 31 02:38:00 2001 ]elect Group Policy Object) naciśnij przycisk Zakończ (F[Author ID1: at Tue Oct 3 18:07:00 2000 ]f[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]F[Author ID3: at Tue Jul 31 02:38:00 2001 ]inish). Zamknij okno dialogowe Dodaj samodzielną przystawkę (a[Author ID1: at Tue Oct 3 18:07:00 2000 ][Author ID3: at Tue Jul 31 02:38:00 2001 ]A[Author ID3: at Tue Jul 31 02:38:00 2001 ]A[Author ID1: at Tue Oct 3 18:07:00 2000 ]ddS[Author ID1: at Tue Oct 3 18:07:00 2000 ]s[Author ID1: at Tue Oct 3 18:07:00 2000 ]tandaloneS[Author ID1: at Tue Oct 3 09:01:00 2000 ]s[Author ID1: at Tue Oct 3 09:01:00 2000 ]nap-in), naciśnij OK. i wyjdź z przystawki. Jeśli chcesz,[Author ID1: at Tue Oct 3 09:01:00 2000 ] zapisz konsolę.
Członkowie grupy Domain Administrators mogą również użyć edytora listy [Author ID0: at Thu Nov 30 00:00:00 1899
]ACL (ACL Editor[Author ID1: at Tue Oct 3 20:42:00 2000
]e[Author ID1: at Tue Oct 3 20:42:00 2000
][Author ID3: at Tue Jul 31 02:51:00 2001
]E[Author ID3: at Tue Jul 31 02:51:00 2001
]ditor[Author ID1: at Tue Oct 3 20:42:00 2000
]) do określenia, która grupa administratorów może modyfikować założenia (policies) w obiektach GPOs[Author ID1: at Tue Oct 3 22:37:00 2000
]. Administratorzy sieci mogą zdefiniować grupy administratorów, na przykład [Author ID1: at Tue Oct 3 09:02:00 2000
]p.[Author ID1: at Tue Oct 3 09:02:00 2000
]Accounting Administrators,[Author ID1: at Tue Oct 3 09:02:00 2000
] a następnie nadać im prawo odczytu — [Author ID1: at Tue Oct 3 09:02:00 2000
][Author ID3: at Tue Jul 31 02:48:00 2001
]-[Author ID3: at Tue Jul 31 02:48:00 2001
]-[Author ID1: at Tue Oct 3 09:02:00 2000
]zapisu wybranych obiektów GPOs[Author ID1: at Tue Oct 3 22:38:00 2000
], przekazując w ten sposób kontrolę nad założeniami obiektów GPOs[Author ID1: at Tue Oct 3 22:38:00 2000
] (GPO policies). Nadanie prawa odczytu [Author ID1: at Tue Oct 3 09:02:00 2000
][Author ID3: at Tue Jul 31 02:48:00 2001
]-[Author ID1: at Tue Oct 3 09:02:00 2000
]— [Author ID1: at Tue Oct 3 09:02:00 2000
][Author ID3: at Tue Jul 31 02:48:00 2001
]-[Author ID3: at Tue Jul 31 02:48:00 2001
]zapisu do obiektu GPO pozwala administratorom na kontrolę wszystkich elementów danego obiektu GPO.[Author ID0: at Thu Nov 30 00:00:00 1899
]
33 Część I ♦ Podstawy obsługi systemu WhizBang (Nagłówek strony)
32 T:\Paweł\5 po wstawieniu rysunków\r-02.05.doc[Author ID2: at Mon Aug 13 12:28:00 2001
]C:\Helion\Windows_2000_Security\zwrot\Poprawione\r-02.03.doc[Author ID3: at Mon Aug 6 09:43:00 2001
][Author ID2: at Mon Aug 13 11:56:00 2001
]C:\Helion\Windows_2000_Security\zwrot\3 po kor. językowej\r-02.03.doc[Author ID3: at Sun Aug 5 20:40:00 2001
]
Wyszukiwarka
Podobne podstrony:
r-dod.B.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-04.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-11.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-00.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-07.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-05.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-10.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-08.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-01.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
r-12.05, ## Documents ##, Bezpieczeństwo w Windows 2000. Czarna księga
Bezpieczenstwo w Windows 2000 Czarna ksiega bewibb
Bezpieczenstwo w Windows 2000 Czarna Księga 4
Bezpieczenstwo w Windows 2000 Czarna ksiega bewibb
Bezpieczenstwo w Windows 2000 Czarna ksiega bewibb
Bezpieczenstwo w Windows 2000 Czarna ksiega 2
Bezpieczenstwo w Windows 2000 Czarna ksiega bewibb
Bezpieczenstwo w Windows 2000 Czarna ksiega
Bezpieczenstwo w Windows 2000 Czarna ksiega bewibb
więcej podobnych podstron