Учетная запись пользователя формируется согласно следующему правилу: NSurname@ent1.company; где N – первая буква имени, Surname – фамилия, пользователя, domain.company – домен пользователя. При совпадении имени и фамилии 2-х разных пользователей в учетную запись также добавляется первая буква отчества: NPSurname@ent1.company где P – первая буква отчества.
Каждый пользователь обладает правами и привилегиями, согласно членству в группах. Непосредственно самому пользователю никаких прав, кроме квот на дисковое пространство, не назначается. Каждый пользователь обладает перемещаемым профилем и домашним каталогом, куда перенаправляются его каталоги [My Documents], [Application Data], [Desktop]. Эти каталоги располагаются на сервере RootFS.ent1.company. Так же на усмотрение заказчика имеется возможность самостоятельно изменять опцию перемещаемого профиля пользователя, а так же действия политики перемещаемых каталогов.
4.1.1 Шаблоны учетных записей.
Для уменьшения количества простейших административных операций по созданию учетных записей пользователей создаются шаблоны учетных записей. Шаблоны хранятся в контейнере Whole_Organization\Template. Шаблоны представляют собой учетную запись с унифицированным набором свойств и настроек. Шаблонные учетные записи отключены, чтобы никто не мог зарегистрироваться в службе каталога под этими учетными записями.
Имя шаблона
Заполняемые поля
Значение
Fin_user_template
Address/Street
Address/City
Address/Postal Code
Address/Country
Account/Account options
User must change password at next logon
Account/Account expires
Never
Profile/Home folder/Connect
H; [Server Name]\Users$\%Username%
Remote control/Enable Remote control
No
User_template
Address/Street
Address/City
Address/Postal Code
Address/Country
Account/Account options
User must change password at next logon
Account/Account expires
Never
Profile/Home folder/Connect
H; [Server Name]\Users$\%Username%
Remote control/Enable Remote control
Yes
Remote control/Require user's permission
Yes
Remote control/Level of control
Interact with the session
Vip_User_template
Address/Street
Address/City
Address/Postal Code
Address/Country
Account/Account options
User must change password at next logon
Account/Account expires
Never
Profile/Home folder/Connect
H; [Server Name]\Users$\%Username%
Remote control/Enable Remote control
No
Guest_User_Template
Account/Account options
User cannot change password
Account/Account expires
End of [date]
Remote control/Enable Remote control
Yes
Remote control/Require user's permission
No
Remote control/Level of control
Interact with the session
4.1.2 Роли пользователей.
Чтобы избежать назначения прав на доступ к ресурсам конкретным пользовательским учетным записям и связанного с такой практикой усложнения администрирования предлагается создать глобальные группы, соответствующие должностям штатного расписания. Согласно штатному расписанию организации создаются глобальные группы. Например, GlavBuh, соответствует должности главного бухгалтера. В эту группу включается учетная запись пользователя, занимающего эту должность. При переходе пользователя на другую должность, его учетная запись удаляется из этой группы и включается в другую. Т.о. не нужно каждый раз перепроверять доступность необходимых ресурсов для пользователя, а вся структура групп в целом легко администрируется с минимальными изменениями. Каждая учетная запись пользователя входит только в одну Глобальную группу – Роль пользователя, согласно штатному расписанию. Набор прав пользователя, назначаемых путем членства в соответствующих группах, привязывается не к учетной записи пользователя, а к Роли.
4.2 Структура групп.
В Active Directory существуют следующие виды групп.
• Универсальные группы объединяют пользователей в рамках леса. Сведения о членстве в универсальных группах тиражируются на все серверы Глобальных Каталогов. Универсальные группы применяются для объединения пользователей и групп на уровне леса доменов для фильтрации групповых политик и разграничения доступа к корпоративным файловым ресурсам в масштабах всего предприятия. • Глобальные группы объединяют пользователей в рамках домена. Сведения о членстве в глобальных группах не тиражируется на серверы Глобальных Каталогов, передаются только имена глобальных групп. • Локальные группы служат для предоставления доступа к ресурсам и могут включать как отдельных пользователей, так и другие универсальные и глобальные группы. Они применяются только в списках контроля доступа локального домена. Информация о членстве в локальных группах не тиражируется на серверы GC.
4.2.1 Локальные группы.
Для каждого ресурса, файловой папки, очереди печати, доступа в Интернет по определенному протоколу создаются локальные группы, определяющие уровень доступа к этому ресурсу. Для каждого файлового ресурса, создаются локальные группы вида: • [Folder name]_Read_L • [Folder name]_Write_L Этим группам назначаются соответствующие права.
Группы доступа к файловым ресурсам хранятся в контейнерах Организационных Единиц, которым эти файловые ресурсы принадлежат. При возникновении необходимости администратор системы может создавать группы с любым набором разрешений, для гибкого управления разрешениями пользователей.
• List Folder Contents • Read • Read & Execute • Modify • Write • Full Control
Для каждой очереди печати создаются локальные группы вида:
• [Queue name]_Print_L • [Queue name]_Operator_L
Этим группам назначаются соответствующие права.
Группы доступа к очередям печати хранятся в контейнерах Организационных Единиц, которым эти очереди принадлежат. Для предоставления доступа в Интернет по различным протоколам создаются соответствующие этим протоколам локальные группы:
• Inet_HTTP_L • Inet_All_Protocol_L
Этим группам назначаются соответствующие права - Доступ к сети Интернет по протоколу HTTP - Доступ к сети Интернет по всем протоколам, не фильтруемым Firewall .
В группу Inet_HTTP входят все пользователи и группы, имеющие доступ к сети Интернет. В группу Inet_All_Protocol входят группы и учетные записи сотрудников IT, которым необходим доступ к сети Интернет без строгого ограничения по протоколу HTTP. Группы доступа к Интернету хранятся в контейнере Организационной Единицы Whole_Organization.
4.2.2 Глобальные группы.
Структура глобальных групп будет состоять из 3-х наборов глобальных групп. Первый набор глобальных групп представляет собой набор ролей согласно штатному расписанию предприятия. Второй набор глобальных групп состоит из групп, соответствующих структурным подразделениям предприятия. Группы этого уровня включают в себя группы-роли. Третий уровень глобальных групп формируется на основе различных объединяющих признаков, может включать как группы подразделений, так и группы-роли. Например, группы для фильтрации групповых политик, группы соответствующий рабочим группам проектов для предоставления доступа к общим ресурсам проектов и т.п. Этот набор глобальных групп может постоянно изменяться по усмотрению администратора системы.
4.2.3 Универсальные группы.
Для предоставления доступа к ресурсам пользователям других доменов, необходимо создать универсальные группы для соответствующих ресурсов с различным уровнем доступа. Глобальные группы из другого домена будут включаться в эти универсальные группы, для получения прав доступа. Структура универсальных групп повторяет структуру локальных групп. Для каждого файлового ресурса, к которому необходим доступ из другого домена, создаются универсальные группы вида: • [Folder name]_Read_U • [Folder name]_Write_U Этим группам назначаются соответствующие права. Группы доступа к файловым ресурсам хранятся в контейнерах Организационных Единиц, которым эти файловые ресурсы принадлежат.
4.2.4 Структурная схема групп.
Таким образом, схема структуры групп будет выглядеть, как представлено на рисунке: