Администратор прав доступа

Пользователи и права доступа

В жизни сайта может участвовать неограниченное количество участников (пользователей), а именно: администратор, технический специалист (скорее всего, он же программист), контент-менеджер и т. д. Простой посетитель сайта так же имеет свои права на сайте, как правило, они ограничиваются самыми простыми действиями: просмотр сайта, заполнение каких-либо форм и т. п. Каждый из зарегистрированных пользователей должен:

иметь свои логин и пароль;
принадлежать к одной из групп;
иметь права на осуществление какой-либо деятельности на сайте.

По умолчанию на свежеустановленной системе NetCat добавлены 4 группы пользователей:

Рис.1 — Группы пользователей

Любое из данных наименований является условным и может быть переименовано. Для переименования необходимо нажать на заголовок группы и внести свои изменения:

Рис.2 — Внесение изменений

Вы можете удалить существующие группы и добавить новые, нажав на кнопку «Добавить группу»:

Рис.3 — Добавить группу

Вы также можете удалить существующие группы и добавить свои. Мы оставим для изучения первые 2 группы: «Администраторы» и «Внешние пользователи».

Каждая из этих групп должна содержать свои права. По умолчанию они отсутствуют. Для настройки группы и добавления ей прав необходимо нажать на пиктограмму шестерёнки напротив выбранной группы:

Рис.4 — Редактируем группу

Переходим на вкладку «Права» и видим сообщение, информирующее о том, что «У данной группы нет прав»:

Рис.5 — Сообщение об отсутствии прав

Для присвоения прав необходимо нажать на кнопку «Присвоить права»:

Рис.6 — кнопка «Присвоить права»

В открывшемся окне, необходимо выбрать тип прав для данной группы:

Рис.7 — Выбор типов прав для данной группы

На данном моменте давайте остановимся подробнее и выясним, кто есть кто в данной иерархии.

1. Директор. Является самым главным на сайте. Пользователь с данными правами может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), другими пользователями и т. п.

2. Супервизор. Имеет аналогичные права, а именно: может управлять структурой сайта, инструментами разработчика, контентом (содержимым сайта), но не может управлять пользователями, имеющими права «Директор». Иначе говоря, супервизор не может ни зарегистрировать пользователя с правами «Директор», ни удалить его, ни изменить ему права или регистрационные данные.

3. Редактор. Быть может самая распространённая «должность» для зарегистрированного пользователя, поскольку она является собирательной. Определить права этого типа пользователей нужно вам самим. Пользователь с правами «Редактор» имеет права на управление сайтом, разделом или компонентом в разделе.

При присвоении редактору прав администратора сайта необходимо указать, на какие именно операции с сайтом данному пользователю даются права.

Существует 6 типов операций:

Просмотр. Пользователь будет иметь возможность смотреть любые страницы сайта, даже «закрытые» от обычных пользователей.
Добавление. Пользователь сможет добавлять данные в любой раздел сайта.
Изменение. Пользователь сможет изменять добавленные им объекты на сайте.
Подписка. Пользователю будет дано право подписаться на обновления любых данных (если подписка настроена).
Модерирование. Данный тип операций обозначает возможность изменять и удалять любые данные (объекты) на сайте.
Администрирование. Пользователь с этими правами сможет работать со структурой сайта: удалять, добавлять и менять разделы, управлять составом компонентов раздела.

Включив галочку «Модерирование», все вышеуказанные действия будут включены автоматически, и все галочки будут проставлены также автоматом.

Рассмотрим управление правами доступа для пользователей на примере функционала новостей (Добавление новостей). Для настройки параметров доступа необходимо зайти в редактирование компонента «Новости»

Рис.8 — Управление правами доступа в новостях

В открывающемся меню «Доступ» нужно указать все необходимые параметры.

4. Управление пользователями. Имеет возможность управлять (добавлять, изменять, удалять) пользователями, не имеющими прав в системе.

5. Администратор списка. Имеет права на управление списками (город, пол, регион и т.д.).

6. Подписчик. Имеет право подписаться на выбранную рассылку.

7. Ограничение в правах. Для данной группы права настраиваются весьма гибко.

Рис.9 — Настройка прав

8. Гость. Данный пользователь может просматривать систему администрирования (при установленных настройках), но любые другие действия ему запрещены. Такие возможности хороши для показа клиенту административной части сайта перед сдачей, к примеру.

Каждой из вышеперечисленных групп можно задать ограничение действия по времени.

Рис.10 — Ограничение действия по времени

После того, как вы настроите все группы и их права для работы с сайтом (сайтами), вы можете каждого из пользователей подключить к той или иной группе. Для этого необходимо зайти в меню «Пользователи»:

Рис.11 — меню «Пользователи»

Перед вами появится список зарегистрированных пользователей:

Рис.12 — Список зарегистрированных пользователей

Для редактирования прав конкретного пользователя необходимо нажать на пиктограмму шестерёнки напротив выбранного пользователя.

Рис.13 — Пиктограмма шестерёнки

В открывшемся окне переходим на вкладку «Пользователь».

Рис.14 — Таблица прав пользователя

и выполняем необходимые настройки, а именно:

указываем, включён ли пользователь;
имеет ли он доступ в административный раздел;
выбираем группу пользователя. Есть возможность выбора всех групп;
выбираем сайт, на котором будет авторизован пользователь.

Во второй вкладке страницы пользователя «Права» есть возможность установки прав на конкретный раздел сайта путём выбора разрешённых действий:

Рис.15 — Таблица прав пользователя

Для добавления нового раздела необходимо нажать на кнопку «Присвоить новые права»:

Читать еще: Федеральные нормативные правовые акты административного права

Рис.16 — Присвоить новые права

В открывшемся окне необходимо выбрать «Тип прав» и далее, в соответствии с выбранным типом, все остальные настройки: сущность, сайт и типы доступа.

Подобные разграничения необходимы, их очень удобно использовать в том случае, если в вашей организации располагается большое количество отделов, и каждый из них размещает на сайте свою специфичную информацию. В этом случае мы создаём необходимые группы пользователей, этим группам прописываем необходимые права и добавляем самих пользователей.

Администраторам: код, с помощью которого можно ограничить вывод необходимой информации в шаблоне:

По такому же принципу можно задать ограничения для других групп.

Администратор прав доступа

В этом разделе можно управлять группами администраторов. Пользователи в этих группах автоматически получают права администратора группы. Все права показаны в таблице. Включенные в текущий момент отмечены зеленой галочкой.

С помощью кнопки Действия можно удалить или отредактировать группу. Можно также изменить административные права группы.

Чтобы добавить подготовленную группу администраторов LDAP, выполните следующие действия.

Нажмите кнопку Добавить распределенную группу .
Укажите, должна ли группа иметь функциональность синхронизации и общего доступа.
Отметьте все административные права, которые необходимо предоставить пользователям группы.
Найдите группу.
Щелкните имя группы.
Нажмите кнопку Сохранить .

В этом разделе приведены все пользователи с административными правами, тип проверки их подлинности (эпизодический или LDAP), наличие прав синхронизации и общего доступа, а также статус пользователей (отключен или включен).

Можно пригласить нового пользователя с полными или частичными правами администратора, нажав кнопку Добавить администратора . С помощью кнопки Действия пользователя можно удалить или изменить. Можно изменить административные права, статус, адрес электронной почты и пароль.

Приглашение одного администратора

Откройте веб-интерфейс Acronis Access.
Выполните вход с учетной записью администратора.
Разверните вкладку Общие параметры и откройте страницу Администраторы .
Нажмите кнопку Добавить администратора в разделе Пользователи с правами администратора .
Выберите вкладку «Active Directory/LDAP» или «Пригласить по электронной почте» в зависимости от типа приглашаемого пользователя и объектов, который он будет администрировать. Пользователям LDAP без адреса эл. почты не будет доступна функциональность синхронизации и общего доступа.

Чтобы пригласить пользователя через Active Directory/LDAP, сделайте следующее.
1. Выполните поиск пользователя, которого хотите добавить в Active Directory, и щелкните по его общему имени.
  Примечание. Поля «Пользователь LDAP» и «Эл. почта» будут заполнены автоматически.
2. Включите или отключите функциональность синхронизации и общего доступаe.
3. Выберите, какие административные права должны быть у пользователя.
4. Нажмите кнопку «Добавить».
Чтобы отправить приглашение по электронной почте, выполните следующие действия.
1. Введите адрес электронной почты пользователя, которого требуется добавить как администратора.
  Примечание. Специальные пользователи, приглашенные по эл. почте, всегда будут иметь функциональность синхронизации и общего доступа.
2. Выберите, должен ли этот пользователь быть лицензирован.
3. Выберите, какие административные права должны быть у пользователя.
4. Выберите язык приглашения.
5. Нажмите кнопку «Добавить».

Полные права администратора — предоставить пользователю полные права администратора.
Может управлять пользователями — предоставляет права для управления пользователями. Это права для приглашения новых пользователей, распределения групп LDAP, отправки приглашений для регистрации Acronis Access и управления подключенными мобильными устройствами.
Может управлять мобильными источниками данных — предоставляет пользователю права для управления мобильными источниками данных. Это права для добавления новых серверов шлюзов и источников данных, управления назначенными источниками, серверами шлюзов, доступными на клиентах, и источниками данных предыдущих версий.
Может управлять мобильными политиками — предоставляет пользователю права для управления мобильными политиками. Это права для управления политиками пользователей и групп, разрешенными приложениями и ограничениями доступа по умолчанию.
Может просматривать журнал аудита — предоставляет пользователю права для просмотра журнала аудита.

Примечание. Новые пользователи, которые включены в распределенную группу администраторов LDAP и распределенную группу синхронизации и общего доступа LDAP, получают совмещенные разрешения.

Чтобы предоставить права администратора, выполните следующие действия.

Откройте вкладку Синхронизация и общий доступ .
Откройте вкладку Пользователи .
Нажмите кнопку Действия для пользователя, параметры которого требуется изменить.
Нажмите кнопку Изменить .
Отметьте все права администратора, которые необходимо предоставить пользователю.
Нажмите кнопку Сохранить .

Чтобы предоставить определенные права администратора, выполните следующие действия.

Нажмите кнопку Действия для пользователя, параметры которого требуется изменить.
Нажмите кнопку Изменить .
Отметьте все права администратора, которые необходимо предоставить пользователю.
Нажмите кнопку Сохранить .

[конспект админа] Меньше администраторов всем

Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.

Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.

Ограниченные группы

В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).

Читать еще: Нпа субъектов как источник административного права

Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.

Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.

Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.

Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.

Расположение политик Restricted groups.

Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:

Добавляем группу «Администраторы», в которую добавляем группу helpdesk.

И получаем локальную группу «Администраторы» без Domain admins.

Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:

При такой настройке локальная группа «Администраторы» не будет зачищена.

Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.

Настройка группы безопасности через GPP.

Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.

Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.

Использование встроенных групп безопасности

Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.

Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.

Группа	Описание
Администраторы	Полные права на систему.
Пользователи	Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля.
Операторы архива	Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования.
Опытные пользователи	Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки).
Пользователи удаленного рабочего стола	Членство дает возможность подключаться к компьютеру по RDP
Операторы печати	Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати.
Операторы настройки сети	Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу.
Операторы учета	Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу.

Познакомиться со всеми группами и более полным описанием можно в официальной документации.

Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.

Настройка прав доступа через групповые политики.

Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.

Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!

Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.

Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 102016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.

Читать еще: Как запросить разрешение администратора на удаление

Достаточно администрирования

Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.

Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.

Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.

Проверка версии и разрешение удаленных подключений при помощи PS.

Создадим группу безопасности и специального пользователя:

Теперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:

А затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:

Теперь необходимо подготовить файл сессии PowerShell:

Зарегистрируем файл сессии:

Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:

Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.

Доступ к серверу ограничен управлением одной виртуальной машиной.

Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.

Интерфейс JEA Toolkit Helper.

При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.

Журнал выполнения PowerShell.

Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.

Файловый журнал JEA.

С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».

Администратор прав доступа

При установке Kaspersky Security Center автоматически формируются группы пользователей KLAdmins и KLOperators , которым предоставляются права на подключение к Серверу администрирования и на работу с его объектами.

В зависимости от того, под какой учетной записью проводится установка Kaspersky Security Center, группы KLAdmins и KLOperators создаются следующим образом:

Если установка проводится под учетной записью пользователя, входящего в домен, группы создаются в домене, в который входит Сервер администрирования, и на Сервере администрирования.
Если установка проводится под учетной записью системы, группы создаются только на Сервере администрирования.

Просмотр групп KLAdmins и KLOperators и внесение необходимых изменений в права пользователей групп KLAdmins и KLOperators можно осуществлять при помощи стандартных средств администрирования операционной системы.

Группе KLAdmins предоставлены все права, группе KLOperators – права на чтение и выполнение. Набор прав, предоставленных группе KLAdmins , недоступен для изменения.

Пользователи, входящие в группу KLAdmins , называются администраторами Kaspersky Security Center, пользователи из группы KLOperators – операторами Kaspersky Security Center.

Помимо пользователей, входящих в группу KLAdmins , права администратора Kaspersky Security Center предоставляются локальным администраторам устройств, на которых установлен Сервер администрирования.

Локальных администраторов можно исключать из списка пользователей, имеющих права администратора Kaspersky Security Center.

Все операции, запущенные администраторами Kaspersky Security Center, выполняются с правами учетной записи Сервера администрирования.

Для каждого Сервера администрирования в сети можно сформировать свою группу KLAdmins , обладающую правами только в рамках работы с этим Сервером.

Если устройства, относящиеся к одному домену, входят в группы администрирования разных Серверов, то администратор домена является администратором Kaspersky Security Center в рамках всех этих групп администрирования. Группа KLAdmins для этих групп администрирования едина и создается при установке первого Сервера администрирования. Операции, запущенные администратором Kaspersky Security Center, выполняются с правами учетной записи того Сервера администрирования, для которого они запущены.

После установки программы администратор Kaspersky Security Center может выполнять следующие действия:

изменять права, предоставляемые группам KLOperators ;
определять права доступа к функциональности программы Kaspersky Security Center другим группам пользователей и отдельным пользователям, зарегистрированным на рабочем месте администратора;
определять права доступа пользователей к работе в каждой группе администрирования.

Администратор Kaspersky Security Center может назначать права доступа к каждой группе администрирования или к другим объектам Сервера администрирования в разделе Безопасность окна свойств выбранного объекта.

Вы можете отследить действия пользователя при помощи записей о событиях в работе Сервера администрирования. Записи о событиях отображаются в узле Сервер администрирования на закладке События . Эти события имеют уровень важности Информационное сообщение ; типы событий начинаются со слова Аудит .

0 0 голоса

Рейтинг статьи