💡 Полезные Советы

Операционная система "различает" пользователя не по их имени (полному или сокращенному), а по специальному уникальному номеру (идентификатору безопасности – Security Identifier, SID), который формируется в момент создания новой учетной записи.

Важно: Если удалить пользователя и создать нового с тем же именем, его SID будет другим. Поэтому права доступа, выданные старому пользователю, не перейдут новому.

SID (Security Identifier) — это структура данных переменной длины, которая уникально идентифицирует субъекта безопасности в системе Windows. В отличие от имени пользователя (например, ivan.petrov), SID:

• Не изменяется при переименовании учетной записи.
• Не повторяется даже при создании новой учетной записи с тем же именем.
• Используется для привязки прав доступа к ресурсам (файлам, папкам, реестру и т.д.).

SID имеет формат:

S-R-I-S-S..., где:

• S — префикс, обозначающий SID.
• R — версия (обычно 1).
• I — идентификатор authority (например, 5 для NT Authority).
• S-S... — подавторитеты и RID (Relative Identifier).

Пример SID локального администратора: text S-1-5-21-3623811015-3361044348-30300820-500

• S-1-5 — префикс и authority (NT Authority).
• 21-3623811015-3361044348-30300820 — уникальный идентификатор домена/компьютера.
• 500 — RID (идентификатор администратора).

Как создается SID?

Для локальных пользователей: При создании учетной записи на компьютере система генерирует уникальный SID, используя идентификатор компьютера и RID.

Для доменных пользователей: Контроллер домена генерирует SID на основе уникального идентификатора домена и RID.

Как посмотреть SID?

cmd whoami /user Вывод: cmd Имя пользователя SID ====================== ============================================== домен\ivan.petrov S-1-5-21-3623811015-3361044348-30300820-1001 В реестре SID храниться:

text HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList.

В отличии от Windows:

Linux/Unix: Использует UID (User Identifier) и GID (Group Identifier) — числовые идентификаторы, аналогичные SID.

А в Active Directory: SID домена включается в SID пользователя (например, S-1-5-21-домен-1001).

Типичные проблемы и рекомендации по из решению:

Потеря доступа при удалении/создании пользователя: Всегда назначайте права группам, а не отдельным пользователям (группы имеют свои SID, которые не меняются при изменении состава).

Ошибки "Access Denied": Проверьте, не изменился ли SID пользователя (например, после восстановления из резервной копии).

Откройте командную строку и выполните: cmd whoami /all Если в выводе есть доменное имя (например, DOMAIN\username), вход выполнен через кешированные доменные данные.

Если указано только имя компьютера (например, COMPUTERNAME\username), используется локальная учетная запись.

При входе пользователей домена на рабочую станцию система использует данные учетных записей( имя, пароль, установленные ограничения и тд.), хранимые на контролерах домена. Обычно политикой безопасности разрешено кэширование нескольких паролей пользователя, что позволяет последнему войти в систему даже при отсутствии связи с контроллером домена, используя параметры последнего входа. Если работу начинает локальный пользователь, то данные берутся из локальной базы учетных записей.

Пример: Сотрудник берет ноутбук домой. Если он ранее входил на этот ноутбук в офисе, то дома сможет войти в систему через кэшированные данные. Однако доступ к сетевым ресурсам (например, общим папкам) будет недоступен, пока ноутбук не подключится к корпоративной сети.

Как это работает:

• При первом входе в доменную сеть данные пользователя сохраняются в локальном кеше (файл text C:\Windows\System32\config\SECURITY ).
• При последующих входах вне сети система сверяет введенные данные с кешированной версией.

Локальные пользователи

• Учетные записи локальных пользователей хранятся в базе SAM (Security Account Manager) на самом компьютере (файл text C:\Windows\System32\config\SAM ).
• Эти данные не зависят от домена, но имеют ограниченные права (например, доступ только к локальным ресурсам).

Кэширование доменных учетных данных — это удобный механизм для мобильных пользователей, но он имеет ограничения:

• Нет доступа к сетевым ресурсам без подключения к домену.
• Политики и пароли не синхронизируются.
• Для критически важных задач рекомендуется использовать VPN для подключения к корпоративной сети

В сетях среднего и большого размера (от 20 компьютеров) принято использовать систему централизованного управления. В Windows службой каталогов является Active Directory, в Linux – LDAP

LDAP - Lightweight Directory Access Protocol – облегченный протокол доступа к каталогам – позволяет получать, изменять и аутентифицировать данные в иерархически организованных базах данных (каталогах), которые часто используются для хранения информации о пользователях, устройствах, ресурсах и правах доступа в сетях. LDAP появился как упрощенная версия протокола X.500 DAP (Directory Access Protocol). "Lightweight" ("облегченный") означает, что он требует меньше ресурсов и проще в реализации, работая поверх TCP/IP.

Linux может работать в составе домена Active Directory и даже быть контроллером домена Active Directory.

При использовании Active Directory каждый компьютер может управляться не только локальным администратором, но и администратором домена.

MX (Mail Exchange) — указывает серверы для приёма электронной почты. Содержит приоритет (чем меньше число, тем выше приоритет). Пример: example.com. MX 10 mail.example.com example.com. MX 50 backup-mail.example.com

SOA (Start of Authority) - содержит серийный номер зоны, который увеличивается при любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день – например 20241005.

NS (Name Server) – содержит "официальные" серверы DNS текущей зоны. Пример: example.com. NS ns1.example.com.

RP (Responsible Person) – содержит e-mail лица, ответственного за внесение изменений в записи зоны. Желательно поддерживать этот адрес всегда в актуальном состоянии. Помните, что символ @ в нём заменяется точкой. Например, если admin@example.com, то admin.example.com

A (Host Address) – содержит информацию об имени системы и ее IP-адресе. Эта запись добавляется в DNS-сервер при регистрации узла.

PTR (Pointer, указатель) – запись обратной зоны. Обычно DNS-сервер автоматически создает или изменяет эту запись при создании или изменении записи А в прямой зоне.

CNAME (Canonical NAME) - создаёт псевдоним для другого доменного имени. Пример: www.example.com. CNAME example.com.

SRV (Service) — указывает серверы для определённых сервисов (например, SIP, LDAP). Пример: text _sip._tcp.example.com. SRV 10 60 5060 sipserver.example.com.

Для обновления записей DNS на клиентских компьютерах следует очистить кеш DNS-записей командой: ipconfig /flushdns

Для разрешения имен в DNS предусмотрено два типа запросов: итеративный и рекурсивный.

Итеративный запрос служит для получения от DNS-сервера, которому он направлен, наилучшего ответа, который может быть получен без обращения к другим DNS-серверам.

Рекурсивный запрос предполагает, что сервер DNS должен осуществить все операции для разрешения имени. Обычно для этой цели необходимо выполнить несколько запросов к различным DNS-серверам.

Ранее, когда не было службы DNS, IP-адреса в сети задавались вручную – с помощью файла host. В нём прописывались IP-адреса и символьные имена компьютеров. Затем этот файл тиражировался по всем компьютерам сети, чтобы все они могли разрешать доменные имя и IP-адреса друг друга.

Недостаток этого способа – необходимость вручную контролировать состав сети. В небольшой сети со статическими IP-адресами это сделать относительно просто, особенно если учесть, что состав таких сетей часто не меняется.

Но если в вашей сети используется DHCP-сервер (а где он сейчас не используется?), вряд ли вы будете вручную задавать имена узлов через файл hosts. Но если Windows не может динамически определить имена (IP-адреса) хостов, то система использует содержимое файлов hosts, networks, и lmhosts.

Все три файла находятся в папке %systemroot%\system32\drivers\etc.