Weitere ähnliche Inhalte Ähnlich wie Permisos, directives de grup i perfils. (13) Mehr von Óscar Ramón (12) Permisos, directives de grup i perfils.7. 2. Permisos
Els sistemes operatius de la família Windows posseïxen dos nivells de
permisos per als recursos compartits:
• Permisos per a carpetes compartides: s'apliquen cada vegada que un
usuari vol accedir a un arxiu o carpeta a través de la xarxa.
• Permisos locals per a arxius i carpetes (NTFS): s'apliquen sobre
dispositius amb format NTFS per a definir en més detall les accions
permeses.
Per tant, quan s'accedix en mode local als arxius o carpetes, només
intervenen els permisos associats al sistema de fitxers, en este cas NTFS.
No obstant això, si s'accedix a través de la xarxa s'apliquen els dos
nivells de permisos (figura 1): en primer lloc s'apliquen els permisos de
carpetes compartides (permisos de xarxa) i posteriorment els permisos NTFS.
Com veurem més avant, en cas que hi haja inconsistències entre els permisos
de cada tipus, s'aplicaran els més restrictius.
Figura 1. Permisos segons el tipus d'accés.
Finalment remarcar que, com veurem a continuació, una tasca correcta
d'administració, requerirà una adequada planificació de l'estructura dels
usuaris, assignantlos en la mesura que siga possible a grups. D'esta
manera, els permisos sobre els recursos s'assignaran als grups d'usuaris
creats (locals de domini), evitant (en la mesura que siga possible) que
usuaris concrets posseïsquen uns permisos determinats, la qual cosa acabaria
dificultant les tasques d'administració.
7
11. • Lector Permís de →
Lectura
• Col∙laborador Permís →
de Canviar
• Copropietari Permís →
de Control Total
Figura 7. Assistent per a compartir i explicació dels tipus
de permisos.
Figura 8. Diàlegs per a compartir carpetes sense assistent.
Per inhabilitar l'assistent cal
accedir a l'opció Ferramentes dins
de l'Explorador de Windows, i en
Opcions de Carpeta → Pestanya
Veure, desmarcar l'opció Usar
l'assistent per a compartir
(figura 9).
Figura 9. Desactivació de l'assistent per a compartir.
11
13. Una vegada que hem introduït el nom d'un usuari o grup que existisca en el
domini, podrem assignarli els permisos (figura 12).
Figura 12. Assignació de permisos a l'usuari alopez.
Com a política adequada d'administració de sistemes, en la mesura que siga
possible s'evitaran les comparticions amb el grup Tots (en eixe grup estan
inclús els comptes d'invitat) encara que en el següent nivell de permisos
(NTFS) es bloquegen accessos indeguts.
2.3. Permisos NTFS
Com s'ha comentat en la secció 2, els permisos NTFS complementen i amplien
els permisos de recursos compartits, sent efectiu el més restrictiu.
Tots els arxius i carpetes d'un volum NTFS tenen associada una ACL o llista
de control d'accés que fixa el nivell d'accés d'un usuari o grup que
necessite accedir al recurs. A més, els permisos NTFS poden ser aplicats a
nivell d'arxiu, a diferència dels permisos de recursos compartits, els quals
únicament poden aplicarse a nivell de carpeta.
D'altra banda, sorgix un nou concepte a l'aplicar els permisos NTFS que els
fa més complexos encara que també més potents: l'herència, la qual
determinarà els permisos que es reben sobre un determinat recurs provinents
d'un nivell superior, encara que açò ho veurem detalladament més avant.
13
17. En la figura 16, es pot apreciar el botó Agregar, el qual permet afegir
grups o usuaris a qui atorgar o denegar permisos.
Atenció amb el grup Usuaris (del domini) perquè apareix per defecte en els
permisos NTFS (amb permisos de lectura), i pot provocar que es produïsquen
accessos diferents de la nostra planificació. Com a norma general, si volem
limitar l'accés a un recurs compartit, eliminarem el grup Usuaris dels
permisos NTFS i explicitarem únicament aquells grups o usuaris que
efectivament volem que tinguen accés al recurs
Permisos implícits i permisos explícits
Els permisos atorgats de manera implícita o explícita són una qüestió
senzilla, en què si no ens fixem amb atenció, podem fer que els accessos als
recursos no funcionen com teníem previst.
Per a evitar problemes tindrem en compte que:
1. Un permís definit de manera explícita sempre prevaldrà sobre un permís
definit de manera implícita.
2. Denegar un permís sempre preval sobre atorgar eixe permís, sempre que
ambdós estiguen definits de la mateixa manera (implícita o
explícitament).
Com es definix un permís de manera explícita? Si ens fixem en la figura 17,
el grup Vendes no té (aparentment) definits permisos d'escriptura. No
obstant això, eixa aparent indefinició en realitat indica que el permís
d'escriptura està denegat implícitament. Si un usuari del grup Vendes
intenta escriure en la carpeta, es produirà un missatge d'error com el de la
figura 18.
Figura 17. Permisos NTFS del grup
Vendes
17
27. if NOT EXIST C:DocumentacioVendes mkdir C:DocumentacioVendes
REM Compartim en xarxa amb 'Tots' les carpetes, amb els permisos NTFS
filtrarem els accessos
net share Documents_Direccio=C:DocumentacioDireccio /GRANT:Todos,full
net share Documents_Finances=C:DocumentacioFinances /GRANT:Todos,full
net share Documents_Produccio=C:DocumentacioProduccio /GRANT:Todos,full
net share Documents_Servicis=C:DocumentacioServicis /GRANT:Todos,full
net share Documents_Vendes=C:DocumentacioVendes /GRANT:Todos,full
REM Apliquem les ACLs
icacls C:DocumentacioDireccio /GRANT CEFIREDireccio:(R,W)
icacls C:DocumentacioFinances /GRANT CEFIREFinances:(R,W)
icacls C:DocumentacioProduccio /GRANT CEFIREProduccio:(R,W)
icacls C:DocumentacioServicis /GRANT CEFIREServicis:(R,W)
icacls C:DocumentacioVendes /GRANT CEFIREVendes:(R,W)
REM Eliminem els permisos assignats al grup 'Usuaris'
icacls C:DocumentacioDireccio /inheritance:d /T
icacls C:DocumentacioDireccio /remove:g Usuaris
icacls C:DocumentacioFinances /inheritance:d /T
icacls C:DocumentacioFinances /remove:g Usuarios
icacls C:DocumentacioProduccio /inheritance:d /T
icacls C:DocumentacioProduccio /remove:g Usuarios
icacls C:DocumentacioServicis /inheritance:d /T
icacls C:DocumentacioServicis /remove:g Usuarios
icacls C:DocumentacioVendes /inheritance:d /T
icacls C:DocumentacioVendes /remove:g Usuarios
REM Afegim el permís extra del grup Accés_extra
icacls C:DocumentacióDireccio /GRANT CEFIREAcces_extra:(R)
icacls C:DocumentacióFinances /GRANT CEFIREAcces_extra:(R)
icacls C:DocumentacióProduccio /GRANT CEFIREAcces_extra:(R)
27
33. Technet). De totes les maneres, no cal modificar este interval per a
comprovar la correcta aplicació de les directives de grup, n'hi ha prou amb
escriure en la consola cmd:
>>gpupdate
o
>>gpupdate /force
Esta última pot requerir el reinici del controlador de domini, més
informació sobre les opcions i característiques de gpupdate en Technet.
Per a exemplificar tot l'anterior modificarem la Default Domain Policy per a
implementar les següents configuracions en el domini:
1. Si l'usuari s'equivoca tres vegades a l'introduir la seua contrasenya,
el seu compte queda bloquejat (només podrà desbloquejarlo
l'administrador). Açò protegix el sistema de possibles atacs.
2. La contrasenya haurà de tindre un mínim de 8 caràcters, però no cal
obligatòriament que siguen majúscules, minúscules, caràcters
alfanumèrics, obligatòriament, etc.
3. La contrasenya que s'haja utilitzat ja, no podrà tornar a utilitzarse
fins passats almenys 10 canvis de contrasenya. D'aquesta manera forcem
l'usuari a què que no recicle contrasenyes antigues, incrementant la
seguretat del sistema.
4. L'usuari ha de canviar la contrasenya cada sis mesos. A l'establir una
vida útil de les contrasenyes tenim un sistema més segur.
En les següents subseccions s'examina la manera de procedir per a dur a
terme estes configuracions del sistema.
Les directives de seguretat relacionades amb les contrasenyes s'han
d'aplicar obligatòriament sobre la GPO Domain Default Policy. Si per
exemple volem que diferents usuaris del domini tinguen diferents
característiques de les seues contrasenyes, haurem d'utilitzar la Fine
Grained Password Policy, la qual és més complexa de configurar i queda fora
de l'abast d'este curs.
33
38. 3.2. Creació de Directives de Grup
Per a crear una directiva de grup obrirem la consola d'administració de
directives com en el punt anterior (Inici → Ferramentes → Administració de
directives de grup).
Suposem que volem crear una Directiva de Grup sobre la unitat organitzativa
Treballadors. Cliquem amb el botó secundari i triem l'opció Crear una GPO en
este domini i vincularla ací. Apareixerà un quadre de diàleg i introduirem
el nom que volem donarli, per exemple Entorn de treball, ja que
posteriorment utilitzarem esta directiva per a configurar un entorn de
treball homogeni en tots els usuaris que pertanyen a la Unitat Organitzativa
Treballadors (figura 52).
Figura 52. Creació d'una nova directiva.
La nova directiva apareixerà en el panell de detalls (figura 53).
Figura 53. Panell detalls de la consola d'administració de directives.
38
45. 4. Perfils
Podem definir un perfil com aquells aspectes de configuració de l'equip i de
l'entorn de treball propis de l'usuari i que a més són exportables a altres
màquines de manera transparent al mateix. En altres paraules, mitjançant els
perfils aconseguim que l'usuari, independentment de l'equip en què inicie la
sessió, dispose d'un entorn de treball semblant. Tot açò s'entendrà millor
amb els exemples preparats en les seccions següents.
Hi ha tres tipus de perfils:
1. Perfils locals: s'emmagatzemen en l'equip, i configuren l'entorn de
treball de cada usuari (figura 68). No els estudiarem en aquest curs
ja que el que ens interessa és la gestió centralitzada de recursos.
2. Perfils mòbils: l'usuari configura l'entorn de treball al seu gust en
un equip, i a l'iniciar sessió en qualsevol altra estació de treball,
la configuració s'importa i s'aplica a eixe nou equip. Estudiarem
aquest tipus de perfils en l'apartat 4.1.
3. Perfils obligatoris: un usuari amb permisos d'administració definix la
configuració de l'entorn de treball, i s'aplica als usuaris del
domini. Aquests poden modificarla durant la sessió, però al tancar la
sessió els canvis es perden, de manera que a l'iniciar sessió
posteriorment, es torna a carregar la configuració del perfil
obligatori. En compte de treballar amb perfils obligatoris, en
l'apartat anterior hem vist com configurar entorns de treball definits
per als membres d'una unitat organitzativa, d'una manera més còmoda i
potent.
Figura 68. Perfils locals.
Des d’aquesta finestra podem aconseguir que un usuari limitat del domini (es
a dir, que no tinga drets administratius sobre el domini), siga
45
1
47. 4.1. Perfils mòbils
Com s'ha comentat en l'apartat anterior, els perfils consistixen en una
sèrie de fitxers de configuració de l'entorn de treball, que s'apliquen a
tots els equips de la xarxa des d'on puga començar sessió l'usuari. Estos
fitxers de configuració han d'emmagatzemarse en una ubicació accessible
pels equips clients, com per exemple el controlador de domini.
Concretament, emmagatzemarem els perfils en una carpeta del servidor
denominada Perfils, i que haurem de compartir en xarxa (figures 70 i 71) amb
els permisos corresponents perquè a l'iniciar sessió el sistema puga
carregar la configuració, i al tancar sessió, si és el cas, es guarden les
modificacions del perfil realitzades (figures 72 i 73). Podem compartir la
carpeta com a Perfils$ per a donarli un plus de seguretat. Recordeu que si
afegim el $ al nom d'un recurs compartit, aquest no apareixerà al navegar
per la xarxa. El perfil de cada usuari es guardarà en una subcarpeta que
estarà dins de la carpeta perfils i que s'anomenarà igual que l'usuari.
Aquesta carpeta no és necessari crearla, perquè es crearà automàticament
quan faça falta.
Figura 70. Propietats de perfils$. Figura 71. Compartició en xarxa de la carpeta
perfils.
Figura 72. Permisos de xarxa. Figura 73. Permisos NTFS
47
59. @echo off
if NOT EXIST X: net use X: server0Public
msg %username% Recorda que les dades guardats en els discos locals poden
perdre's, utilitza les unitats X: o Z:
echo L'usuari %username% ha iniciat sessió el %date% a les %time% en
l'equip %computername% >> Servidor0logs$connexions.log
La redirecció d'eixida >> fa que el comandament echo escriga al final del
fitxer indicat (Servidor0logs$connexions.log), en compte de en el
monitor.
El recurs compartit que hem creat en el servidor (logs$, recordeu que el $
evita la difusió del nom a través de la xarxa) atorga permisos d'escriptura
als usuaris del domini (s'ha de poder afegir la informació de la connexió),
però s'han eliminat els permisos de lectura, mostrar, etc., de manera que
els membres del grup Usuaris no poden consultar el fitxer (figura 88).
Figura 88. Permisos en la carpeta server0log$.
A continuació crearem el fitxer connexions.log, amb permisos per a fer de
tot excepte canviar els permisos, per al grup usuaris del domini (figura
89). És necessari donar permisos de modificar als usuaris, per a que el
comandament echo funcione correctament. Els usuaris no podran consultar el
fitxer, perquè només tenen permís d'escriptura sobre el recurs compartit
log$.
Si es revisa el fitxer connexions.log, es pot veure que s'afegeix la
informació de la connexió que s'ha configurat en l'script anterior (figura
90).
59