Správce Sítě

Nastavení oprávnění zabezpečení složky ve službě Active Directory

Jak nastavit oprávnění zabezpečení složky ve službě Active Directory



Nejlepším postupem je řídit, kdo má ke složce přístup. Nastavení oprávnění ke složce zajišťuje, že citlivé informace jsou chráněny před slídiči, kteří by neměli mít oprávnění obsah měnit nebo dokonce k němu přistupovat. Konfigurace oprávnění zároveň umožňuje uživatelům, kteří mají právo přistupovat ke složce, aby tak činili bezpečně.

Obsah [ skrýt ]



Jaká jsou oprávnění ve službě Active Directory?

Oprávnění ve službě Active Directory jsou přístupová oprávnění, která udělujete uživatelům a skupinám, která jim umožňují interakci s objekty. Správce přiděluje uživateli nebo skupině oprávnění, aby mohli přistupovat ke složce nebo ji spravovat.

Oprávnění v Active Directory se dělí nastandardní oprávněníazvláštní oprávnění. Standardní oprávnění poskytují uživateli oprávnění, jako je čtení, zápis a plnou kontrolu. Speciální oprávnění dávají uživateli různé možnosti, jako je například umožnění uživateli upravovat oprávnění objektu nebo vlastníky.



Jak nastavit oprávnění zabezpečení složky ve službě Active Directory

Proces nastavení oprávnění složky je jednoduchý a můžete se rozhodnout přidělit přístup ke složce uživatelům a skupinám. V této části se podíváme na to, jak můžete přiřadit oprávnění z Active Directory prostřednictvímKonzola pro správu zásad skupiny(GPMC).

Vytvoření zásad skupiny prostřednictvím konzoly pro správu zásad skupiny

TheGPMCposkytuje nastavení zásad skupiny, které můžete použít ke konfiguraci oprávnění zabezpečení. Jedním z nejjednodušších způsobů, jak můžete program použít, je vytvořit objekt zásad skupiny. Objekt zásad skupiny je skupina nastavení, která vytvoříte pomocí Editoru objektů zásad skupiny a která může omezit přístup uživatelů k určitým souborům.

Chcete-li vytvořit nový objekt zásad skupiny, postupujte podle následujících pokynů:

  1. KlikněteStart > Nástroje pro správu > Správa zásad skupiny.Zobrazí se Konzola pro správu zásad skupiny.
  2. Klepněte pravým tlačítkem myši na ikonu Objekty zásad skupiny a vyberteNový. TheNový GPOzobrazí se okno.
  3. Vložtenázeva opustitSource Starter GPOmožnost nastavit jako(žádný).
  4. Klikněte pravým tlačítkem na objekt GPO, který jste právě vytvořili, a vyberte jejUpravit GPO.Zobrazí se okno Editor správy zásad skupiny. Editor správy zásad skupiny
  5. Jít doKonfigurace počítače > Zásady > Nastavení systému Windows > Nastavení zabezpečení a klepněte pravým tlačítkem na Systém souborů > Přidat soubor.Zobrazí se dialogové okno „Přidat soubor nebo složku“.
  6. Vyhledejte složku nebo soubor, kterému chcete přidělit oprávnění, a klikněte na něj. Nyní stiskněteOK.
  7. JednouZabezpečení databázeZobrazí se okno, klepněte na tlačítko Upřesnit pro zobrazeníPokročilá nastavení zabezpečeníokno.
  8. VOprávněnímůžete přidělit oprávnění pro nového nebo stávajícího uživatele. Pro vytvoření nového uživatele kliknětePřidat.Pokud chcete vybrat stávajícího uživatele, vyberte uživatele a stiskněteUpravit.
  9. JednouVstup povoleníOtevře se okno, kde můžete zobrazit seznam oprávnění, která si můžete vybratDovolitneboOdmítnouta také určit, kde budou tato oprávněníAplikovat. Klikněte naPoužít naz rozevírací nabídky vyberte, kde chcete oprávnění použít. vstup oprávnění pro uživatele aktivního adresáře
  10. VOprávněnízobrazení seznamu, zaškrtněte oprávnění, která chcete svému objektu přiřadit. Nyní stiskněteOK.
  11. Jakmile se vrátíte doPokročilé zabezpečeníokno, přejděte naAuditovánítab. Zde si můžete vybrat auditování změn složky a oprávnění. Můžete také jít doMajitelkartu pro konfiguraci nastavení vlastnictví.
  12. Jakmile zadáte svá nastavení, klikněteOK. JednouPokročilé zabezpečeníokno se zavře kliknutímOKznovu zavřítZabezpečení databázeokno.
  13. Když se objeví okno Přidat objekt, máte několik možností: TheNakonfigurujte tento soubor nebo složkusekce přichází se dvěma dílčími možnostmi;
    Možnost A) Rozšířit dědičná oprávnění ke všem podsložkám a souborům– První podvolba znamená, že všechny podsložky zdědí oprávnění z nadřazené složky, ale pokud dojde ke konfliktu, budou mít oprávnění podsložky přednost.
    Možnost B) Nahradit stávající oprávnění u všech podsložek a souborů dědičnými oprávněními. -Druhá podvolba znamená, že všechna nastavení podsložky budou přepsána nastavením rodiče. Případně můžete vybratNepovolovat nahrazení oprávnění k tomuto souboru nebo složcea vytvořte položku pro konkrétní složku, ke které nechcete zdědit oprávnění. Pokud vyberete první možnost, klepněte naOKzavřít okno.
  14. Zavřete Editor správy zásad skupinya klikněte pravým tlačítkem na doménu, na kterou chcete použít GPO, a kliknětePropojit existující GPO.
  15. JednouVyberte GPOZobrazí se okno, vyberte ze seznamu název objektu GPO, který jste právě vytvořili, a stiskněteOK.
  16. Nyní přejděte kPropojené objekty zásad skupinykartu a klepněte na něj pravým tlačítkemPřiřazení oprávnění složky > Vynuceno. Nyní stiskněteOKdokončit.

Správa oprávnění složky AD pomocí nástrojů třetích stran

Active Directory je tak zavedeným nástrojem, že neexistuje nedostatek nástrojů, které se integrují a poskytují lepší zkušenost se správou AD. Můžete použít nástroje třetích stran jako napřManageEngine ADManager Pluske správě oprávnění složek prostřednictvím externího softwaru.

Výhodou tohoto postupu je, že můžete spravovat AD prostřednictvím programu, který je uživatelsky přívětivější, což usnadňuje správu mnoha uživatelů a skupin. Přesný proces bude záviset na typu programu, který používáte.

ManageEngine ADManager Plus

ManageEngine AdManager Plus

ManageEngine ADManager Plusje nástroj pro správu služby Active Directory, který lze použít ke správě objektů, vytváření skupin a dalším. Chcete-li spravovat oprávnění k souborům, postupujte takto:

  1. Přihlaste se doADManager Plus.
  2. Jít doAD Mgmt > Správa souborového serveru > Upravit oprávnění NTFS.
  3. Vyberte, ke kterým složkám chcete povolit přístup uživatele nebo skupiny.
  4. Nyní přejděte kÚčtya vyberte uživatele nebo skupiny, kterým chcete udělit oprávnění k přístupu ke složce.
  5. Dokončete změny kliknutímModifikovat.

Můžeš stáhněte si 30denní bezplatnou zkušební verzi verze ManageEngine ADManager Plus.

Viz také: Nejlepší software pro správu AD

Nejlepší postup pro uživatelský přístup: Nejmenší oprávnění

Při přidělování oprávnění uživatelům je osvědčeným postupem dodržovat koncept nejmenších oprávnění. Přístup uživatele s nejnižším oprávněním spočívá v přidělení minimálních možných oprávnění všem uživatelům. Každé povolení přidělené zaměstnanci by mělo být zásadní pro jeho každodenní práci. Omezení uživatelských oprávnění pomůže minimalizovat vaše vystavení rizikům a sníží pravděpodobnost kybernetických útoků nebo narušení dat.

Chcete-li implementovat uživatelský přístup s nejmenšími oprávněními, budete muset přesně vědět, k čemu každý zaměstnanec potřebuje mít přístup. Nejprve začněte přidělováním oprávnění jednotlivým účtům nebo skupinám. Správa malého počtu uživatelů nejprve zajistí, že nebudete zahlceni.

Viz také: Nejlepší nástroje pro správu přístupových práv

Oprávnění zabezpečení AD: Nezbytné

Implementace uživatelských oprávnění služby Active Directory je jedním z nejzákladnějších ovládacích prvků, které můžete použít k zajištění toho, že citlivé informace zůstanou soukromé. Zajištění, že zaměstnanci mají přístup pouze k dokumentům, které jsou relevantní pro jejich roli, eliminuje zmatky a vaše data uchovává v bezpečí.

Ochrana souborů pomocí uživatelských oprávnění je naprosté minimum, které byste měli udělat pro kontrolu přístupu k vašim datům. Nikdy nevíte, kdy dojde ke kybernetickému útoku, a minimalizace počtu uživatelů, kteří mají přístup k souboru, sníží šanci, že útočník uvidí vaše informace.

Časté dotazy o oprávněních složky AD

Jaká jsou zvláštní oprávnění ve službě Active Directory?

Speciální oprávnění ve službě Active Directory, na rozdíl od standardních oprávnění, umožňují nastavit přizpůsobené kombinace oprávnění. Oprávnění ke složce udělují přístup ostatním, buď členům stejné skupiny jako vlastník složky, nebo členům jakékoli skupiny. Oprávnění mohou také povolit přístup k podřízeným složkám.

Jak funguje delegování ve službě Active Directory?

Princip delegování ve službě Active Directory dává uživatelům nebo skupinám možnost vytvářet nebo upravovat objekty a udělovat sobě nebo jiným oprávnění, aniž by museli mít status správce domény. Úplný název této služby je „delegace kontroly“.

Kolik typů skupin je ve službě Active Directory?

Služba Active Directory má dva typy skupin. První z nich je typ Distribuční skupina, která je určena pro použití s ​​e-mailovými distribučními seznamy. Druhým je typ skupiny zabezpečení, který přiděluje oprávnění sdíleným aktivům, jako jsou složky souborů.

^