Security Groups ehk turbe/ ligipääsurühmad: Difference between revisions
(29 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
=Sissejuhatus= | =Sissejuhatus= | ||
Microsofti tarkvaras kastutatakse turvalisuse tagamiseks õiguste süsteeme. Antud artiklis | Microsofti tarkvaras kastutatakse turvalisuse tagamiseks õiguste süsteeme. Antud artiklis vaadeldakse Windows server 2008 R2 poolt pakutavaid õiguste gruppe ning nende toimimise erisusi. | ||
=Kus kasutatakse ligipääsurühmasid?= | =Kus kasutatakse ligipääsurühmasid?= | ||
Line 10: | Line 10: | ||
Standard | Standard Ligipääsugrupid Server 2008 <br> | ||
Administrator <BR> | Administrator <BR> | ||
Backup Operators | Backup Operators | ||
Line 17: | Line 17: | ||
GUESTS | GUESTS | ||
IIS_IUSRS | IIS_IUSRS | ||
Network Configuration Operators | Network Configuration Operators | ||
Offer Remote Assistance Helpers | Offer Remote Assistance Helpers | ||
Performance Log Users | Performance Log Users | ||
Performance Monitor Users | Performance Monitor Users | ||
Power Users | |||
Remote Desktop Users | |||
Replicator | |||
User | |||
Terminal server user | |||
Enamuse eelpool loetletud õiguste grupiga käivad kaasas ka standard õigused. Mõnedega küll mitte Järgnevalt kaasnevatest õigustest. | |||
=Ligipääsurühmad ja nendega kaasnevad õigused.= | |||
==Administrator== | |||
Antud grupi liikmetel on kõik õigused operatsioonisüsteemis ja arvutis. Samuti saavad antud grupi liikmed jagada õigusi teistele kasutajatele vstavalt vajadusele. Konto "Administraator" on peamine liige antud grupis. Kui arvuti liidetakse Domeeniga siis lisatakse Domeeni Administraatorite grupp antud gruppi automaatselt. Kuna antud grupil on kõik õigused arvuti üle siis tuleb arvestada kaasnevate ohtudega kui lisatakse kasutajaid antud gruppi. | |||
<B>Standard õigused:</B> Pääs arvutisse üle võrgu, seadistada mälu piiranguid (Quotas) protsessidele, lokaalselt sisse logida, luba logida arvutisse "Remote Deskdop Service" abil, teostada Back Up protsesse failidele ja katalogidele, süsteemi aja muutmine, Süsteemi ajavööndi muutmine, "page" faili loomine, globaalsete objektide loomine, sümboolic linkide loomine, programmide veaanalüüs, Õigus kaugligipääsult süsteemi sulgeda, klienti muuta isikupäratuks peale sisselogimist, muuda protsesside prioriteete, draiverite paigaldamine ning eemaldamine, batch tööna sisselogimine, töödelda auditeerimise ja turvalisuse logisid, muuta raudvara muutujaid, mahtude hooldus tööd, progiili üksik protsessid, süsteemi jõudluse vaatlus, eemaldada süsteemi portreplikaatorist, taastada faile ja katalooge, sulgeda süsteemi, võtta failide ja muude objektide omaniku statust. | |||
==Backup Operators== | |||
Antud grupi liikmed võivad varundada ja taastada faile antud arvutis, sõltumata faildele kohandatavatest õigustest. See on tingitud sellest, et varundamine on ülimuslik kõigist valisüsteemi õigustest. Antud grupi liikmed ei saa muuta turvalisuse seadeid. | |||
Standard õigused: Võrgust ligipääsu õigus, Lokaalselt sisselogimise õigus, Varundada faie ja katalooge, autenteerida batch tööna, taastada faile ja katalooge, sulgeda süsteem. | |||
==Cryptographic Operators== | |||
Antud grupi liikmed omavad krüpteerimis õigused. | |||
Puuduvad standard õigused. | |||
==Distributed COM User== | |||
Antud grupi liikmetel on lubatud alustada, activeerida ja kasutada DCOM objekte arvutis. | |||
Puuduvad standard õigused. | |||
==GUESTS== | |||
Antud grupi liimetele luuakse ajutine profiil sisse logides mis eemaldatakse peale välja logimist. Guest konto (mis on standard valikuna keelatud staatuses) on ka antud grupi liige. | |||
Puuduvad standard õigused. | |||
==IIS_IUSRS== | |||
See grupp on sisseehitatud grupp Interneti informatsiooni teenusele (IIS). | |||
Puuduvad standard õigused. | |||
==Network Configuration Operators== | |||
Antud grupi liikmed võivad teha muudatusi TCP/IP seadistustes ja nad saavad uuendada ja vabastada TCP/IP aadresse. Sellel grupil puuduvad standard liikmed. | |||
Puuduvad standard õigused. | |||
==Offer Remote Assistance Helpers== | |||
Antud grupi liikmed saavad pakkuda "Remote Assistance" teenust kasutajatele antud arvutis. | |||
Puuduvad standard õigused. | |||
==Performance Log Users== | |||
Antud grupi liikmed võivad seadistada süsteemi mõõdikuid, logisid ja teavitusi arvutis lokaalsekt ja ka kaugkliendina ilma et oleks administraatori grupi liige. | |||
Puuduvad standard õigused. | |||
==Performance Monitor Users== | |||
Antud grupi liikmed võivad jälgida süsteemi mõõdikuid arvutis lokaalselt ja kaugliendina ilma et oleksid arvuti Administraatori- või Perfomance Log Users grupi liikmed. | |||
Puuduvad standard õigused. | |||
==Power Users== | |||
Standardina on antud grupi liikmetel pole lisaks muid õigusi kui tava kasutaja kontol. Power User grupp eelnevates windowsi versioonides kujundatud lubamaks kasutajal spetsiifilisi administraatori õigusi vajavaid toiminguid. Antud versioonis on standard kasutaja kontol olemas juba õigused põhilisteks süsteemi muudatuste tegemiseks nagu ajavööndi muutmine. Ajalooliste programmide jaoks mis nõuavad "Power User" gruppi on loodud antud grupp. | |||
Puuduvad standard õigused. | |||
==Remote Desktop Users== | |||
Antud grui liikmetel on õigus logida arvutisse sisse distantsilt. | |||
Standard õigused: Luba logida sisse Remote Desktop Service kaudu. | |||
==Replicator== | |||
Antud grupp toetab replikeerimise funktsiooi. Ainuke liige antud grupis peaks olema domeeni kasutaja kes kasutab Replicator teenuseid Domeeni kontrolleris. Ära lisa tavakasutajaid antud gruppi. | |||
Puuduvad standard õigused. | |||
==User== | |||
Antud grupi liikmetel on õigus standard tegevusteks nagu käivitada programme, kasutada lokaalseid ja võrguprintereid, lukustada arvutut. Antud grupi liige ei saa jagada välja katalooge, luua lokaalsedi printereid. Standardina Domeeni kasutaja, Autenticated User ja Interactive grupid on antud grupi liikmed. Seetõttu, kõig kasutajakontod mis on loodud domeenis on antud grupi liikmed. | |||
Standard õigused: Liipääs arvutile võrgust, lokaalne ligipääs, muuta ajavööndit, muuta protsesse antud töösessioonis, eemadada arvutit Port replikaatorist, sulgeda süsteem. | |||
=Kasutatud teabeallikad:= | =Kasutatud teabeallikad:= | ||
<ul><li> Microsofti TechNet http://technet.microsoft.com/en-us/library/cc960640.aspx | <ul><li> Microsofti TechNet http://technet.microsoft.com/en-us/library/cc960640.aspx | ||
<ul><li> Windows server 2008 R2 Help. | |||
=Autor= | =Autor= | ||
Teet Raudsep AK41 | Teet Raudsep AK41 | ||
--[[User:traudse|traudse]] 23:26, 16 April 2011 (EEST) | --[[User:traudse|traudse]] 23:26, 16 April 2011 (EEST) |
Latest revision as of 09:57, 9 May 2011
Sissejuhatus
Microsofti tarkvaras kastutatakse turvalisuse tagamiseks õiguste süsteeme. Antud artiklis vaadeldakse Windows server 2008 R2 poolt pakutavaid õiguste gruppe ning nende toimimise erisusi.
Kus kasutatakse ligipääsurühmasid?
Ligipääsurühmasid kastutab windowsi operatsiooni süsteem esiteks kasutajate poolt erinevate protsesside teostamise kontrollimiseks ning failisüsteemis lisamise, muutmise, kustutamise ning muude tegevuste kontrollimiseks. Õiguste andmisel on oluline tagada, et õigusi saaks muuta vajadusel ning ka vajadusel keelata õiguste muutmise ehk paratamatult on õiguste määramine hierarhhilise mudeliga. Kellelgi on kõik õigused ning mõned võivad omada ainult vaataja õigusi või ei ole midagi lubatud.
Tagamaks operatsioonisüsteemide administreerimine on Microsofti poolt loodud standard õiguste grupid mis seadistatakse operatsiooni süsteemide paigaldamisel. Ajas on need muutunud nii operatsiooni systeemi sees kui ka operatsiooni süsteemide vahel.
Standard Ligipääsugrupid Server 2008
Administrator
Backup Operators Cryptographic Operators Distributed COM User GUESTS IIS_IUSRS Network Configuration Operators Offer Remote Assistance Helpers Performance Log Users Performance Monitor Users Power Users Remote Desktop Users Replicator User Terminal server user
Enamuse eelpool loetletud õiguste grupiga käivad kaasas ka standard õigused. Mõnedega küll mitte Järgnevalt kaasnevatest õigustest.
Ligipääsurühmad ja nendega kaasnevad õigused.
Administrator
Antud grupi liikmetel on kõik õigused operatsioonisüsteemis ja arvutis. Samuti saavad antud grupi liikmed jagada õigusi teistele kasutajatele vstavalt vajadusele. Konto "Administraator" on peamine liige antud grupis. Kui arvuti liidetakse Domeeniga siis lisatakse Domeeni Administraatorite grupp antud gruppi automaatselt. Kuna antud grupil on kõik õigused arvuti üle siis tuleb arvestada kaasnevate ohtudega kui lisatakse kasutajaid antud gruppi.
Standard õigused: Pääs arvutisse üle võrgu, seadistada mälu piiranguid (Quotas) protsessidele, lokaalselt sisse logida, luba logida arvutisse "Remote Deskdop Service" abil, teostada Back Up protsesse failidele ja katalogidele, süsteemi aja muutmine, Süsteemi ajavööndi muutmine, "page" faili loomine, globaalsete objektide loomine, sümboolic linkide loomine, programmide veaanalüüs, Õigus kaugligipääsult süsteemi sulgeda, klienti muuta isikupäratuks peale sisselogimist, muuda protsesside prioriteete, draiverite paigaldamine ning eemaldamine, batch tööna sisselogimine, töödelda auditeerimise ja turvalisuse logisid, muuta raudvara muutujaid, mahtude hooldus tööd, progiili üksik protsessid, süsteemi jõudluse vaatlus, eemaldada süsteemi portreplikaatorist, taastada faile ja katalooge, sulgeda süsteemi, võtta failide ja muude objektide omaniku statust.
Backup Operators
Antud grupi liikmed võivad varundada ja taastada faile antud arvutis, sõltumata faildele kohandatavatest õigustest. See on tingitud sellest, et varundamine on ülimuslik kõigist valisüsteemi õigustest. Antud grupi liikmed ei saa muuta turvalisuse seadeid.
Standard õigused: Võrgust ligipääsu õigus, Lokaalselt sisselogimise õigus, Varundada faie ja katalooge, autenteerida batch tööna, taastada faile ja katalooge, sulgeda süsteem.
Cryptographic Operators
Antud grupi liikmed omavad krüpteerimis õigused.
Puuduvad standard õigused.
Distributed COM User
Antud grupi liikmetel on lubatud alustada, activeerida ja kasutada DCOM objekte arvutis.
Puuduvad standard õigused.
GUESTS
Antud grupi liimetele luuakse ajutine profiil sisse logides mis eemaldatakse peale välja logimist. Guest konto (mis on standard valikuna keelatud staatuses) on ka antud grupi liige.
Puuduvad standard õigused.
IIS_IUSRS
See grupp on sisseehitatud grupp Interneti informatsiooni teenusele (IIS).
Puuduvad standard õigused.
Network Configuration Operators
Antud grupi liikmed võivad teha muudatusi TCP/IP seadistustes ja nad saavad uuendada ja vabastada TCP/IP aadresse. Sellel grupil puuduvad standard liikmed.
Puuduvad standard õigused.
Offer Remote Assistance Helpers
Antud grupi liikmed saavad pakkuda "Remote Assistance" teenust kasutajatele antud arvutis.
Puuduvad standard õigused.
Performance Log Users
Antud grupi liikmed võivad seadistada süsteemi mõõdikuid, logisid ja teavitusi arvutis lokaalsekt ja ka kaugkliendina ilma et oleks administraatori grupi liige.
Puuduvad standard õigused.
Performance Monitor Users
Antud grupi liikmed võivad jälgida süsteemi mõõdikuid arvutis lokaalselt ja kaugliendina ilma et oleksid arvuti Administraatori- või Perfomance Log Users grupi liikmed.
Puuduvad standard õigused.
Power Users
Standardina on antud grupi liikmetel pole lisaks muid õigusi kui tava kasutaja kontol. Power User grupp eelnevates windowsi versioonides kujundatud lubamaks kasutajal spetsiifilisi administraatori õigusi vajavaid toiminguid. Antud versioonis on standard kasutaja kontol olemas juba õigused põhilisteks süsteemi muudatuste tegemiseks nagu ajavööndi muutmine. Ajalooliste programmide jaoks mis nõuavad "Power User" gruppi on loodud antud grupp.
Puuduvad standard õigused.
Remote Desktop Users
Antud grui liikmetel on õigus logida arvutisse sisse distantsilt.
Standard õigused: Luba logida sisse Remote Desktop Service kaudu.
Replicator
Antud grupp toetab replikeerimise funktsiooi. Ainuke liige antud grupis peaks olema domeeni kasutaja kes kasutab Replicator teenuseid Domeeni kontrolleris. Ära lisa tavakasutajaid antud gruppi.
Puuduvad standard õigused.
User
Antud grupi liikmetel on õigus standard tegevusteks nagu käivitada programme, kasutada lokaalseid ja võrguprintereid, lukustada arvutut. Antud grupi liige ei saa jagada välja katalooge, luua lokaalsedi printereid. Standardina Domeeni kasutaja, Autenticated User ja Interactive grupid on antud grupi liikmed. Seetõttu, kõig kasutajakontod mis on loodud domeenis on antud grupi liikmed.
Standard õigused: Liipääs arvutile võrgust, lokaalne ligipääs, muuta ajavööndit, muuta protsesse antud töösessioonis, eemadada arvutit Port replikaatorist, sulgeda süsteem.
Kasutatud teabeallikad:
- Microsofti TechNet http://technet.microsoft.com/en-us/library/cc960640.aspx
- Windows server 2008 R2 Help.
Autor
Teet Raudsep AK41 --traudse 23:26, 16 April 2011 (EEST)
- Windows server 2008 R2 Help.