4.3 ניהול משתמשים וקבוצות הרצאה

הרצאה 1: ניהול חשבונות משתמשים ב-Active Directory¶

מה נלמד:¶

יצירת חשבונות משתמשים וניהול תכונותיהם.
הגדרת מדיניות סיסמאות ומדיניות נעילת חשבונות.

מבוא לניהול חשבונות משתמשים¶

הActive Directory (AD) מאפשר ניהול מרכזי של חשבונות משתמשים בארגון. כל משתמש מקבל חשבון המגדיר את זהותו, הרשאותיו ומדיניות האבטחה החלה עליו. ניהול נכון של חשבונות מבטיח אבטחה, שליטה וגישה מאורגנת למשאבים.

יצירת חשבונות משתמשים וניהול תכונותיהם¶

יצירת חשבון משתמש חדש¶

פתיחת ה-Active Directory Users and Computers (ADUC)
- לחץ Win + R, הקלד dsa.msc ולחץ Enter.
- ניווט ליחידה הארגונית (OU)
- אתר את ה-OU בו תרצה ליצור את החשבון (למשל, Users).
- יצירת משתמש חדש
- לחץ קליק ימני בתוך ה-OU, בחר New → User.
- מלא את הפרטים הבאים:
  - First Name, Last Name
  - User logon name (למשל, user@example.com)
- לחץ Next.
- הגדרת סיסמה והגדרות חשבון
- הקלד סיסמה ראשונית ובחר מדיניות סיסמה:
  - User must change password at next logon – המשתמש יידרש להגדיר סיסמה חדשה.
  - User cannot change password – חוסם שינוי סיסמה ע"י המשתמש.
  - Password never expires – משבית מדיניות תוקף סיסמה.
- לחץ Next ואז Finish.

ניהול תכונות משתמש¶

עריכת מאפייני חשבון
- לחץ קליק ימני על המשתמש ובחר Properties.
- בלשונית General ניתן לשנות שם ותיאור.
- בלשונית Account ניתן להגדיר:
  - Logon Hours – מגביל את זמני ההתחברות.
  - Log On To – מגביל את המחשבים אליהם ניתן להתחבר.
- הגדרת חברויות בקבוצות
- בלשונית Member Of ניתן להוסיף את המשתמש לקבוצות אבטחה ולשלוט בהרשאותיו.
- ניהול חשבונות נעולים או מושבתים
- חשבונות יכולים להינעל עקב ניסיונות כניסה כושלים.
- ניתן לבטל נעילה דרך Account על ידי סימון Unlock account.
- ניתן להשבית חשבון זמנית על ידי סימון Disable account.

הגדרת מדיניות סיסמאות ומדיניות נעילת חשבונות¶

מדיניות סיסמאות מגדירה כללים כגון אורך מינימלי, מורכבות ותוקף הסיסמה. מדיניות נעילת חשבונות מונעת כניסה לאחר ניסיונות כושלים רבים.

הגדרת מדיניות סיסמאות ב-GPO¶

פתיחת Group Policy Management
- לחץ Win + R, הקלד gpmc.msc ולחץ Enter.
- עריכת ה-GPO ברמת הדומיין
- נווט ל- Default Domain Policy (או צור GPO חדש).
- לחץ Edit.
- הגדרת מדיניות סיסמאות
- נווט ל:
```
Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Password Policy
```
- ניתן לשנות את ההגדרות הבאות:
  - Enforce password history – מונע שימוש חוזר בסיסמאות ישנות.
  - Maximum password age – כמה זמן הסיסמה תקפה.
  - Minimum password length – אורך מינימלי נדרש.
  - Password complexity requirements – מחייב שימוש באותיות גדולות, קטנות, מספרים ותווים מיוחדים.
- הגדרת מדיניות נעילת חשבון
- נווט ל:
```
Computer Configuration → Policies → Windows Settings → Security Settings → Account Policies → Account Lockout Policy
```
- ניתן להגדיר:
  - Account lockout threshold – כמה ניסיונות כניסה כושלים יגרמו לנעילה.
  - Account lockout duration – משך זמן הנעילה (או 0 לנעילה עד לשחרור ע"י מנהל מערכת).
  - Reset account lockout counter after – זמן איפוס המונה לניסיונות כושלים.
- שמירת ההגדרות ויישום
- לאחר ביצוע השינויים, סגור את ה-GPO.
- ניתן לעדכן את המדיניות מידית באמצעות הפקודה:
```
gpupdate /force
```

קבוצות אבטחה (Security Groups)¶

ניתן לחלק למשתמשים קבוצות מסויימות.
למשל דמיינו ליצור את הקבוצות הבאות:
- קבוצת HR-Access – קבוצה עם הרשאה לתיקיית משאבי אנוש.
- קבוצת IT-Admins – קבוצה עם הרשאות ניהוליות במחשבים בארגון.
לקבוצות אפשר להביא הרשאות מסויימות, ובכך לחלק הרשאות בארגון.
- ניתן להשתמש קבוצות כדי להעניק GPO-ים, חשבו על קבוצה כמו OU.

הdomain admin¶

לכל דומיין יש את קבוצת הAdministrators שאחראים על הדומיין, ויש להם גישה לDC. ההרשאות הdomain admin הן בדרך כלל הגבוהות ביותר בדומיין ומאפשרות לעשות הכל. לגשת לכל תקייה, לכל שירות ברשת, ואפילו להתחבר לכל מחשב ומשתמש. זכרו שעל קבוצת הAdministrators תמיד נרצה לשמור.

סיכום¶

ניהול חשבונות משתמשים ב-Active Directory כולל יצירה, ניהול ואבטחה של זהויות משתמשים. הגדרת מדיניות סיסמאות ונעילת חשבונות מבטיחה אבטחת מידע ומונעת גישה לא מורשית.