Операційна система MS Windows.Порівняння з іншими ОС Unix, Apple, Linux, BeOS та ін

Архітектурою безпеки об'єктів Active Directory використовуються дескриптори захисту Windows NT для контролю за доступом до об'єктів. Кожний об'єкт в каталозі має унікальний дескриптор захисту. Вхідний в дескриптор список контролю доступу ACL (Access Control List), містить рядки, що визначають дозвіл або заборону на певні види доступу для окремих осіб або груп. Права доступу можуть бути надані або заборонені в різній мірі. Існують рівні прав доступу, що розрізнюються застосуванням до:

• об'єкту загалом (при цьому зачіпаються всі властивості об'єкта);

• групі властивостей, визначеній наборами властивостей всередині об'єкта;

• окремій властивості об'єкта.

За умовчанням доступ для читання і запису до всіх властивостей об'єкта отримує творець об'єкта.

Заборона або надання доступу до групи властивостей зручна для визначення родинних властивостей. Групування властивостей виконується відповідним атрибутом властивості в схемі. Взаємовідносини наборів властивостей можна змінювати, модифікуючи схему.

Нарешті, призначення прав доступу до окремих властивостей являє собою найвищий рівень деталізування, застосовний до всіх об'єктів Active Directory.

Контейнерні об'єкти в каталозі також підтримують детализація доступу, регламентуючи, хто має право створювати дочірні об'єкти і якого типу. Наприклад, правило доступу, визначене на рівні організаційної одиниці, може визначати, хто має право створювати об'єкти типу User (користувачі) в цьому контейнері. Інше правило в цієї ж OU може визначати, хто має право створювати об'єкти типу Printer.

Успадкування прав доступу

Успадкування прав доступу означає, що інформація про управління доступом, визначена у вищих шарах контейнерів в каталозі, розповсюджується нижче на вкладені контейнери і об'єкти-листя. Існують дві моделі успадкування прав доступу: динамічна і статична. При динамічному успадкуванні права визначаються шляхом оцінки дозволів на доступ, призначених безпосередньо для об'єкта, а також для всіх батьківських об'єктів в каталозі. Це дозволяє ефективно управляти доступом до частини дерева каталога, вносячи зміни в контейнер, що впливає на всі вкладені контейнери і об'єкти-листя. Зворотна сторона такої гнучкості недостатньо висока продуктивність через час визначення ефективних прав доступу при запиті користувача.

У Windows NT реалізована статична форма успадкування прав доступу, іноді також звана успадкуванням в момент створення. Інформація про управління доступом до контейнера розповсюджується на всі вкладені об'єкти контейнера. При створенні нового об'єкта успадковані права зливаються з правами доступу, що призначаються за умовчанням. Будь-які зміни успадкованих прав доступу, дерева, що виконуються надалі на вищих рівнях, повинні розповсюджуватися на всі дочірні об'єкти. Нові успадковані права доступу розповсюджуються на об'єкти Active Directory відповідно до того, як ці нові права визначені. Статична модель успадкування дозволяє збільшити продуктивність.

Аудит

Аудит одне з засобів захисту мережі Windows NT. З його допомогою можна відстежувати дії користувачів і ряд системних подій в мережі. Фіксуються наступні параметри, що стосуються дій, що здійснюються користувачами:

•виконана дія;

•ім'я користувача, що виконав дію;

•дата і час виконання.

Аудит, реалізований на одному контроллері домена, розповсюджується на всі контроллери домена. Настройка аудиту дозволяє вибрати типи подій, що підлягають реєстрації, і визначити, які саме параметри будуть реєструватися.