Felhasználócsoportok

Egy több felhasználós rendszerben a felhasználók felügyelete elképzelhe-tetlen felhasználói csoportok (Group), röviden csoportok nélkül. A csoportok használata azért hasznos, mert azt veszi alapul, hogy sok felhasználónak hason-ló (vagy ugyanaz) a feladata és ezért hasonhason-ló (vagy ugyanaz) a jogosultság szük-séges ahhoz, hogy bizonyos feladatokat el tudjon látni. Ezek a jogosultságok vezérelhetik a különböző fájlokhoz, mappákhoz, nyomtatókhoz való hozzáfé-rést, de szabályozhatják különböző feladatok végrehajthatóságát is a számító-gépen. Az előbbi jogosultságokat a Windows engedélyeknek (Permissions) ne-vezi, és a Windows operációs rendszerek fájlrendszerében, az NTFS fájlrendszerben tárolódnak, ún. hozzáférés-vezérlési listák (Access Control List – ACL) formájában. Minden fájlrendszerbeli objektumhoz (pl. fájl, mappa) több ACL kapcsolódhat, és minden ACL egy adott felhasználó vagy csoport engedé-lyeit tárolja az adott objektumhoz. (Az NTFS engedélyek ismertetése nem képe-zi a tananyag részét, a témáról bővebben a Kerecsendi András: Hálózati Operá-ciós Rendszerek tankönyvében lehet olvasni.)

Az utóbbi jogosultságokat jogoknak (Rights) hívja a Windows, és a rendszer használatához fűződő olyan műveletek szabályozhatóak vele, mint a számító-gép elérése hálózatról, a rendszeridő megváltoztatása vagy akár a rendszer távolról történő leállítása.

A felhasználók csoportokban való kezelése több előnnyel is jár, melyek kö-zül a legfontosabb talán az, hogy felhasználók attól függően kaphatnak vagy veszíthetnek el jogokat és engedélyeket, hogy benne vannak-e egy csoportban, vagy sem. Mivel a felhasználók csoport tagsága egyszerűen kezelhető, így egy-szerűvé, átláthatóvá és könnyen kezelhetővé válik a felhasználókra vonatkozó NTFS engedélyek és jogok kezelése. Egy másik előnye a csoportok alkalmazásá-nak az engedélyek tekintetében, hogy relatíve kevesebb ACL bejegyzés fog ké-szülni és így tárolódni egy adott objektumhoz, amely egyrészt a tárterület gaz-daságosabb kihasználását eredményezi, másrészt az engedélyek vizsgálata is

36 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

kevesebb időt vesz igénybe, amelynek következménye, hogy gyorsabb lesz az objektumok elérése.

Mivel a Windows egy többfelhasználós operációs rendszer, ezért a felhasz-nálók csoportosíhatósága nem függ össze az AD-val, azaz címtár nélkül is létez-hetnek ún. helyi csoportok (Local Groups), amelyek között sok alapértelmezett helyi csoport már az operációs rendszer telepítése közben létrejön. A legfonto-sabb két ilyen csoport, melyekkel gyakran lehet találkozni a Felhasználók (Users) és a Rendszergazdák (Administrators). (A témáról bővebben Kerecsendi András: Hálózati Operációs Rendszerek tankönyvében lehet olvasni.)

Active Directory telepítése esetén kicsit módosul a helyzet. A tartomány-vezérlőkön többé nem lesznek elérhetőek a helyi felhasználók és csoportok.

Helyettük több felhasználói csoport is létrejön alapértelmezetten. Ezeknek egy része ún. beépített (Bultin) csoport, amelyek főleg a helyi csoportok AD-ba történő átemelései tartományi helyi csoportok (Bulintin local) néven a Builtin tárolóban, másrészük pedig a Users tárolóban létrejövő alapértelmezett cso-portok és felhasználók. Az előbbi csocso-portok olyan „beépített” jogosultságokkal (innen a nevük) rendelkeznek, amelyeket nem lehet tőlük elvenni, illetve más csoportoknak vagy felhasználóknak adni. A tartományi helyi csoport jelentése pedig az, hogy a tartomány összes számítógépén kaphatnak jogosultságokat, azonban az erdő többi tartományában nem, azaz hatókörük a tartományra ter-jed ki. A beépített csoportok a következők:

 Fiókfelelősök (Account Operators): A csoport tagjai jogosultak arra, hogy a tartományban felhasználókat és felhasználócsoportokat hozza-nak létre, illetve a nyilvántartásukat kezeljék, de náluk magasabb szintű jogosultságokkal rendelkező csoportokba nem vehetnek fel tagokat. A rendszergazda feladatai megoszthatóvá válnak, ha ebbe a csoportba ta-gok kerülnek felvételre, mert így másokra bízható a egyszerű, „közön-séges” felhasználók nyilvántartásának kezelése, anélkül, hogy más rendszergazda jogokat kapnának.

 Rendszergazdák (Administrators): Ennek a csoportnak tagjai a tarto-mány minden számíógépén rendszergazda jogokkal rendelkeznek. Gya-korlatilag ez a legmagasabb szintű hozzáférés.

 Biztonságimásolat-felelősök (Backup Operators): Ezek a felhasználók – biztonsági mentés céljából - hozzáférhetnek minden állományhoz a tar-tomány minden számítógépén, még azokhoz is, amelyektől különben el vannak tiltva. A jogosultság más állományműveletekre nem terjed ki, az állományok csak a biztonságimásolat-készítő programon keresztül érhe-tők el számukra.

 Vendégek (Guests): A csoport tagjai korlátozott jogosultságú felhaszná-lók. A tartomány egyetlen számítógépén sem rendelkezhetnek felhasz-nálói profillal.

 Bejövő erdőszintű bizalmi kapcsolat építői (Incarning Forest Trust Builders): Ebbek a csoportnak a tagjai létrehozhatnak egyirányú, bejö-vő, erdők közötti meghatalmazásos kapcsolatokat.

 Hálózatbeállítási felelősök (Network Configuration Operators): Ennek a csoportnak a tagjai a hálózati beállítások módosítására és paramétere-zésére jogosultak.

 Teljesítménynapló felhasználói (Performance Log Users): A csoport tagjai elvégezhetik az adott kiszolgáló teljesítménynaplózását és elem-zésének ütemezését.

 Teljesítményfigyelő felhasználói (Performance Manitor Users): a fel-használóknak joguk van megfigyelni és naplózni a rendszer terhelési és teljesítményszámlálóit, helyben, de akár távolról is.

 Windows 2000 előtti rendszerekkel kompatibilis hozzáférés (Pre-Windows 2000 Compatible Access): A tagok a (Pre-Windows NT 4.0 módján is hozzáférhetnek a tartományi felhasználók és csoportok nyilvántartá-sához. Minden hitelesített felhasználó (Authenticated Useres) tagja en-nek a csoportnak, hiszen nem lehet tudni, hogy mely felhasználók csat-lakoznak a rendszerhez Windows 2000 előtti rendszert használó számítógépekről. Elvileg elég lenne csak az ilyen felhasználóknak tagnak lenni.

 Nyomtatófelelősök (Printer Operators): A csoport tagjai a tartomány számítógépein szabályozhatják a nyomtatókhoz való hozzáférést, illetve a nyomtatási sarok tartalmát, új nyomtatót nem telepíthetnek.

 Asztal távoli felhasználói (Remote Desktop Users): A felhasználóknak joguk van a távoli asztalon bejelentkezni az adott kiszolgálóra.

 Kiszolgálófelelősök (Server Operators): Tagjai a tartomány minden, le-galább Windows 2000 verziójú operációs rendszerrel működő számító-gépén megoszthatnak mappákat, és szabályozhatják az azokhoz való hozzáférést.

 Windows-hitelesítés hozzáférési csoport (Windows Authorization Ac-cess Group): A tagok jogosultak arra, hogy a felhasználóosztály (Users)

meghatározott, számított értékű attribútumát

(tokenGroupsGlobalAndUniversal) lekérdezhessék.³⁷

37 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

A Users tárolóban már nem csak tartományi helyi csoportok találhatók alapértelmezetten, hanem ún. globális (Global) és univerzális (Universal) ható-körű csoportok is. A csoportok használata már nagyban függ a szervezet mére-tétől, a használt tartományok számától és struktúrájától. A mindenekfelett mű-ködő univerzális csoportok alapértelmezés szerinti fontosabb csoportjai a következők:

 Vállalati rendszergazdák (Enterprise Admins): A csoport tagjai a több-tartományos erdők összes tartományában rendszergazda jogokkal ren-delkeznek. Az egyes tartományok feletti műveleteket, mint az új tarto-mányok felvétele, vagy a globáliskatalógus-kiszolgálók kijelölése stb.

csak e csoport tagjaként lehet elvégezni. A csoportnak kezdetben csak a gyökértartomány rendszergazda (Administrator) nevű felhasználó a tagja.

 Sémafelelősök (Schema Admins): A tagok módosíthatják a címtáradat-bázis struktúráját leíró sémát. A séma erdő szinten egyedi, azaz egy er-dőben minden tartomány ugyanazt a sémát használja. Ennek módosítá-sa tartományok feletti művelet, mivel az erdő minden tartományát érinti. A séma módosítására a vállalati rendszergazdák csoport tagjai is jogosultak.³⁸

A Users tárolóban található alapértelmezett globális csoportok között olyan felhasználócsoport is található, amelybe mindenféle biztonsági fiók felve-hető, illetve megtalálható, így a tagok között a felhasználói fiókok mellett sze-repelhetnek akár számítógépfiókok és csoportfiókok is. A csoportfiókok egy-másba ágyazására meghatározott szabályok vonatkoznak, amelyről később lesz szó. A Users tárolóban alapértelmezés szerint jelen levő fontosabb globális cso-portok a következők:

 Tartománygazdák (Domain Admins): A tagok a tartomány címtára és számítógépei fölött rendszergazda-jogosultságokkal rendelkeznek. Ez úgy lehetséges, hogy a csoport szerepel a tartomány rendszergazdák (Administrators) nevű tartományi helyi csoportjában.

 Tartományi számítógépek (Domain Computers): A tartományvezérlő-kön kívül a tartományba felvett összes számítógép fiókját tartalmazza.

Segítségével egységes hozzáférési engedélyek adhatók azoknak a fo-lyamatoknak, amelyek a számítógépfiók nevében nyitnak meg erőforrá-sokat.

38 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

 Tartományvezérlők (Domain Controllers): Működésében hasonló a tar-tományi számítógépek csoporthoz azzal a különbséggel, hogy a tarto-mány tartotarto-mányvezérlőihez tartozó számítógépfiókokat tartalmazza.

 Tartományi vendégek (Domain Guests): A csoport a tartományba ven-dégszintű jogosultságokkal felvett felhasználókat tartalmazza. A tagok jogait a rendszer azáltal korlátozza a vendégszintre, hogy a csoportot alapértelmezés szerint felveszi a vendégek nevű tartományi helyi cso-portba.

 Tartományfelhasználók (Domain Users): Ebbe a csoportba minden, a tartományba felvett új felhasználó bekerül. Alapértelmezés szerint nem távolíthatók el a tagok ebből a csoportból, amely úgynevezett alapér-telmezés szerinti elsődlegescsoport (primary group). Az elsődleges cso-port csak akkor változtatható meg, ha a tartományban Macintosh-, il-letve UNIX-rendszereket kiszolgáló hálózati szolgáltatások is működnek.

Ekkor az egyes felhasználói fiókok elsődleges fiókja megváltoztatható. A szabály az, hogy minden felhasználónak szerepelnie kell a hozzá tartozó elsődleges csoportban.

 Csoportházirend-létrehozó tulajdonosok (Group Policy Creator Owners): A tagok jogosultak a tartományban csoportházirend-objek-tumok létrehozására és azok szervezeti egységekhez rendelésére.

 DnsUpdateProxy: A csoport olyan számítógépek fiókjait tartalmazza, amelyek más számítógépek nevében küldenek dinamikus bejegyzéseket a DNS-kiszolgálóknak. Az ilyen számítógépre tipikus példa a DHCP-kiszolgáló, amely IP-címeket oszt szét a hálózatban, és eközben bejegyzi a DNS-kiszolgálónál azokat a számítógépeket, amelyeknek címet osz-tott.³⁹

A Users tárolóban található néhány tartományi helyi csoport is. Ezek közül kettő:

Tanúsítványközzétevők (Cert Publishers): A tagok későbbi felhasználásra szánt tanúsítványokat tehetnek közzé a címtárban.

DNS Admins: A csoport tagjai a DNS kiszolgálón bármilyen telepítési vagy karbantartási műveletet végrehajthatnak.⁴⁰

39 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008

40 Kis Balázs – Szalay Márton: Windows Server 2008 rendszergazdáknak, Bicske, Szak Kiadó, 2008