енту підприємства, повинні бути строковими і реактивувати адміністратором раз в 3 місяці.
. Дозволений час входу в домен для всіх облікових записів користувачів без винятку обмежується робочим часом підприємства - з 8:00 до 20:00 в будні дні і заборонено у вихідні.
. Пароль облікових записів користувачів повинен бути не менше 10 символів для користувачів групи Робітники, не менше 15 символів - для учасників групи Керівники відділів та не менше 17 символів для членів груп Президенти і адміністративних облікових записів.
. Термін дії пароля 45 днів.
. Блокування входу у разі 5-кратної помилки аутентифікації для звичайних користувачів і 3-кратною для користувачів, що входять до групи Керівники відділів, Президенти і адміністративних облікових записів.
4.3 Планування груп безпеки
Як вже було сказано раніше призначати доступ до мережевих ресурсами рекомендується групам, а не індивідуально для кожного окремого користувача, оскільки в іншому випадку списки контролю доступу ACL незабаром стануть некерованими і при зміні відділу користувачем адміністратору потрібно буде врахувати всі можливі дозволи доступу. Найчастіше групи використовуються для ідентифікації ролей користувачів і комп'ютерів, фільтрації групової політики, призначення унікальних політик паролів, прав, дозволів доступу, додатків електронної пошти та багато іншого. Самі по собі, групи представляють собою принципали безпеки з унікальними SID, які можуть містити в атрибуті Member такі принципали безпеки, як користувачі, комп'ютери, групи і контакти.Directory включає в себе два типи груп (безпеки і поширення) домену з трьома областями дії ( локальна в домені, глобальна і універсальна) у кожній з них.
Групи безпеки - відносяться до принципалам безпеки з SID-ідентифікаторами. У зв'язку з цим даний тип групи вважається найпоширенішим і групи такого типу можна використовувати для управління безпекою та призначення дозволів доступу до мережевих ресурсів в списках ACL. У свою чергу, група поширення спочатку використовується додатками електронної пошти, і вона не може бути принципалом безпеки. Крім того, важливо також відзначити, що групи безпеки можна використовувати як з метою призначення доступу до ресурсів, так і з метою поширення електронної пошти, що в свою чергу дозволяє організації використовувати тільки цей тип групи [3].
Область дії групи визначає діапазон, в якому застосовується група всередині домену. Крім того, що групи можуть містити користувачів і комп'ютери, вони можуть бути членами інших груп, посилатися на списки ACL, фільтри об'єктів і групових політик і пр. Кордон діапазону області дії групи може визначатися завданням режиму роботи домену [4].
В Active Directory існує три області дії груп, розглянемо докладніше кожну з них:
Локальна група в домені - призначена для управління дозволами доступу до ресурсів і функціонують в тому випадку, якщо домен працює на функціональному рівні не нижче Windows 2000. Локальну групу в домені можна додавати до списків ACL будь-якого ресурсу на будь-якому рядовому комп'ютері домена. У локальну групу в домені можуть входити користувачі, комп'ютери, глобальні та локальні групи в поточному домені, будь-якому іншому домені лісу, а також універсальні групи в...
