Роль Active Directory
Аутентификация и управление доступом
Аутентификация представляет собой одну из важнейших составляющих безопасности системы. С помощью процедур аутентификации подтверждается подлинность пользователей, осуществляющих вход в домен или пытающихся получить доступ к сетевым ресурсам. В Windows 2000 аутентификация служит для осуществления единого входа в сеть. Единый вход обеспечивает аутентификацию пользователя на любом компьютере домена после прохождения одной процедуры входа с помощью пароля или смарт-карты.
Успешная аутентификация в среде Windows 2000 складывается из двух отдельных процессов: интерактивного входа, при котором учетные данные пользователя сверяются с учетной записью домена или локального компьютера, и сетевой аутентификации при попытке пользователя получить доступ к любой сетевой службе.
После успешной аутентификации пользователя уровень его доступа к объектам определяется исходя как из назначенных пользователю прав, так и из разрешений, установленных для данных объектов. Для объектов, находящихся в домене, управление доступом осуществляет соответствующий диспетчер объектов. Например, доступ к ключам реестра контролируется реестром.
Далее в этом разделе процесс аутентификации в Windows 2000 и осуществление контроля доступа рассматриваются более подробно.
Аутентификация
Для входа в систему компьютера или в домен пользователь Windows 2000 должен иметь учетную запись в Active Directory. Учетная запись служит удостоверением подлинности пользователя, на основании которого операционная система выполняет аутентификацию и предоставляет права доступа к конкретным ресурсам в домене.
Учетные записи пользователей также могут применяться в некоторых приложениях. Службу можно настроить на вход (аутентификацию) с учетной записью пользователя, что предоставит ей соответствующие права на доступ к определенным сетевым ресурсам.
Как и учетные записи пользователей, учетные записи компьютеров в Windows 2000 обеспечивают возможность аутентификации и аудита доступа, осуществляемого с данного компьютера к сети и ее ресурсам. Доступ к ресурсам может быть предоставлен только компьютеру под управлением Windows 2000, имеющему уникальную учетную запись.
Примечание
Компьютеры под управлением Windows 98 и Windows 95 не располагают расширенными возможностями системы безопасности, свойственными Windows 2000 и Windows NT, поэтому им не могут быть присвоены учетные записи в доменах Windows 2000. Однако для регистрации в сети и работы в доменах Active Directory можно использовать компьютеры, работающие под управлением Windows 98 и Windows 95.
Windows 2000 поддерживает несколько механизмов аутентификации для проверки подлинности пользователей, входящих в сеть. Это особенно важно при предоставлении доступа к корпоративной сети внешних пользователей с помощью внешних сетей или приложений электронной коммерции.
При входе в сеть пользователь предъявляет данные для аутентификации, по которым система безопасности проверяет его подлинность и определяет, какие права доступа к сетевым ресурсам могут быть ему предоставлены. В корпоративной сети Windows 2000 используется протокол аутентификации Kerberos (о котором речь ниже). Если же требуется проверить удостоверения партнеров, поставщиков или клиентов компании через Интернет, необходима поддержка различных способов аутентификации. Windows 2000 предоставляет такую возможность, поскольку в ее состав входят различные механизмы аутентификации промышленного стандарта, включая сертификаты X.509, поддержку смарт-карт, а также протокол Kerberos. Кроме того, Windows 2000 поддерживает протокол NTLM, долгое время использовавшийся в Windows, и предоставляет интерфейсы для производителей биометрических механизмов аутентификации.
Используя групповую политику в Active Directory, можно назначать использование различных механизмов аутентификации для конкретных пользователей или групп, исходя из их функций и требований безопасности. Например, можно потребовать от исполнительского персонала прохождения аутентификации только с помощью смарт-карт, что повысит уровень надежности проверки; для пользователей Интернета установить требование аутентификации по сертификатам X.509, работающим с любым браузером; а для корпоративных служащих можно продолжать использовать аутентификацию NTLM по имени пользователя и паролю. Независимо от метода проверки подлинности, Windows 2000 сверяет представленную при аутентификации информацию с Active Directory.
Если аутентификация проходит успешно и подтверждается наличие учетной записи, принадлежащей данному пользователю, Windows 2000 предоставляет ему учетные данные, необходимые для доступа к ресурсам во всей сети.