Uživatelské a skupinové účty. Vytvoření a správa objektu počítače ve službě Active Directory

Uživatelské a skupinové účty. Vytvoření a správa objektu počítače ve službě Active Directory

Od čtenářů dostávám mnoho e-mailů popisujících problémy, se kterými se setkávají při vytváření nebo správě účtů. Mnoho správců má problémy, protože při konfiguraci nedopatřením vynechávají důležité prvky nebo nedodržují systém. Rozhodl jsem se proto znovu projít základy vytváření a správy účtů a poskytnout vám několik tipů, které vám tento proces usnadní.

Uživatelský účet obsahuje jméno a heslo pro přihlášení k místnímu počítači nebo doméně. V Active Directory (AD) může uživatelský účet obsahovat také další informace, jako je celé jméno uživatele, e-mailová adresa, telefonní číslo, oddělení a fyzická adresa. Uživatelský účet navíc slouží jako prostředek pro přidělování oprávnění, přihlašovacích skriptů, profilů a domovských adresářů.

Místní účty vs účty domény

Když se uživatelé přihlásí k místnímu počítači, nikoli k doméně, používají místní účty. V prostředí pracovní skupiny (peer-to-peer – peer-to-peer) poskytují místní účty funkce přihlášení pro uživatele místního počítače a poskytují vzdáleným uživatelům přístup k prostředkům počítače. Někteří uživatelé mohou mít například přístup k datům na serveru a používat místní účet k přihlášení do takového systému.

Většina uživatelských účtů v podnikové síti je však založena na doméně a poskytuje práva a oprávnění pro celou doménu. Pokud to doménový účet výslovně nezakazuje, mohou se uživatelé přihlásit do domény pomocí doménového účtu na jakékoli pracovní stanici. Po registraci dostanou uživatelé specifická oprávnění k síťovým prostředkům pro účet domény.

Doménové účty ale nemají jen uživatelé. V doméně představují účty fyzické záznamy, které mohou odpovídat počítači, uživateli nebo skupině. Uživatelské účty, účty počítačů a účty skupin jsou principály (autorizátory) – objekty adresářových služeb, kterým jsou automaticky přiřazována SID, která určují přístup ke zdrojům domény.

Dvě nejdůležitější použití doménových účtů jsou ověřování uživatelů a povolení nebo odepření přístupu k prostředkům domény. Autentizace umožňuje uživatelům registrovat se do počítačů a domén s vlastnostmi, které jsou ověřeny doménovými službami. Doména povoluje nebo zakazuje přístup k prostředkům domény na základě oprávnění, která uživatel získá členstvím v jedné nebo více skupinách domén.

Vestavěné účty domény

Po vytvoření domény systém Windows automaticky vygeneruje několik uživatelských účtů. Windows 2000 má vestavěné účty Administrator a Guest. Domény Windows Server 2003 mají třetí vestavěný účet s názvem HelpAssistant, který se automaticky vytvoří při prvním spuštění vzdálené pomoci. Každý z těchto vestavěných účtů má jinou sadu oprávnění.

Účet správce má sadu oprávnění Úplné řízení pro všechny prostředky domény a může přidělovat oprávnění uživatelům v doméně. Ve výchozím nastavení je účet správce členem následujících skupin:

  • Správci
  • Správci domény
  • Uživatelé domény
  • Enterprise Admins
  • Vlastníci tvůrců zásad skupiny
  • Správci schémat

Někteří správci přejmenují nebo zakážou účet správce, aby uživatelům ztížili přístup k řadiči domény (DC). Místo toho by se administrátoři mohli zaregistrovat u účtů, které jsou členy stejných skupin, což by jim poskytlo dostatečná práva ke správě domény. Pokud je účet správce deaktivován, můžete tento účet použít k získání přístupu k DC v případě potřeby spuštěním DC v nouzovém režimu (účet správce je vždy dostupný v nouzovém režimu).

Účet hosta umožňuje uživatelům, kteří nemají účet, zaregistrovat se do domény. Účet hosta nevyžaduje heslo, ale můžete pro něj nastavit oprávnění stejně jako pro jakýkoli uživatelský účet. Účet hosta je členem skupin Hosté a Hosté domény. Je jasné, že možnost registrace na doméně pro každého, kdo nemá skutečný účet, představuje určité riziko, a proto většina administrátorů tento účet nepoužívá. V systému Windows 2003 je účet Guest ve výchozím nastavení zakázán. Chcete-li zakázat účet hosta ve Windows 2000, musíte na něj klepnout pravým tlačítkem v modulu snap-in Uživatelé a počítače Active Directory konzoly Microsoft Management Console (MMC) a z nabídky vybrat možnost Zakázat.

Účet HelpAssistant byl zaveden pouze ve Windows 2003. Služba Remote Desktop Help Session Manager vytvoří a spravuje tento účet, když uživatel požádá o relaci vzdálené pomoci.

Vytvořte uživatelské účty domény

Uživatelské účty domény jsou vytvářeny na DC jako funkce AD. Musíte otevřít modul snap-in Uživatelé a počítače služby Active Directory a poté rozbalit příslušnou doménu (pokud jich je několik). Na rozdíl od Windows NT 4.0, Windows 2000 a Windows 2003 oddělují procesy vytváření a konfigurace účtů: správce nejprve vytvoří uživatele a přidružené heslo a poté je nakonfiguruje nastavením členství ve skupinách.

Chcete-li vytvořit nového uživatele domény, klepněte pravým tlačítkem myši na kontejner Users a poté výběrem položky Nový, Uživatel otevřete dialogové okno Nový objekt – Uživatel, které ukazuje Obrázek 1. Dále musíte zadat uživatelské jméno a přihlašovací jméno. Systém Windows automaticky připojí aktuální příponu domény k přihlašovacímu jménu, které se nazývá hlavní přípona uživatele (přípona UPN). Můžete vytvořit další přípony UPN a vybrat příponu pro nového uživatele v poli se seznamem. Můžete také zadat jiné uživatelské jméno pro registraci v doméně z počítačů NT 4.0 a Windows 9.x (předchozí jméno je ve výchozím nastavení nahrazeno).

Poté kliknutím na tlačítko Další nakonfigurujte heslo uživatele, jak ukazuje obrázek 2. Ve výchozím nastavení systém Windows nutí uživatele, aby si při příštím přihlášení změnili heslo, takže pro každého nového uživatele můžete použít výchozí heslo společnosti a poté dát uživatelům. možnost zadání nového hesla po první vlastní registraci. Dále musíte vybrat možnosti hesla, které chcete pro tohoto uživatele nastavit. Nakonec musíte kliknout na Další, abyste viděli přehled vybraných nastavení, a poté kliknutím na Dokončit vytvořte uživatelský účet v AD.

Vlastnosti uživatelského účtu

Chcete-li nakonfigurovat nebo změnit vlastnosti uživatelského účtu domény, musíte jej vybrat v seznamu a dvakrát kliknout pravým tlačítkem myši. Obrazovka 3 zobrazuje kategorie nastavení.

Karta Member Of řídí členství uživatele ve skupině (a tedy i oprávnění a práva uživatele v doméně). Ve výchozím nastavení systém Windows umístí nový uživatelský účet do skupiny Domain Users. Některým uživatelům to stačí a není třeba dělat nic jiného. Ostatním uživatelům, jako jsou manažeři oddělení nebo pracovníci IT, musí být přiděleno členství ve skupinách, které jim umožní provádět potřebné úkoly. Chcete-li nastavit členství ve skupině, klikněte na Přidat a poté vyberte příslušnou skupinu pro uživatele, jehož účet upravujete. Pokud vestavěné skupiny neposkytují přesně tu správnou sadu oprávnění pro vaše potřeby, měli byste si vytvořit vlastní skupiny.

Vytváříme šablony

Systém Windows umožňuje kopírovat uživatelské účty, čímž je proces vytváření šablon rychlejší a efektivnější. Nejlepší způsob, jak využít tuto funkci, je vytvořit několik šablon uživatelských účtů a tyto účty pak přeměnit na skutečné. Protože oprávnění a práva jsou nejdůležitější (a potenciálně nebezpečné) vlastnosti, měli byste vytvářet šablony v kategoriích podle členství ve skupině. Měli byste začít se šablonou pro standardního uživatele (tj. člena pouze skupiny Domain Users), poté vytvořit šablony, které mají specifické kombinace členství ve skupinách. Můžete například vytvořit uživatelskou šablonu s názvem Power s členstvím ve skupině Power Users bez omezení doby přihlášení nebo uživatelskou šablonu s názvem DialUp s předdefinovaným nastavením telefonického připojení. Následně při vytváření nových účtů můžete vybrat vhodnou šablonu a upravit ji.

Objevil jsem několik užitečných technik pro vytváření a kopírování šablon:

  • přiřaďte šablonám názvy, které začínají 0, aby se všechny objevily společně v horní části seznamu uživatelských souborů;
  • přiřadit všem šablonám stejné heslo;
  • deaktivujte všechny účty šablon (klikněte pravým tlačítkem na soubor a vyberte možnost Zakázat).

Chcete-li vytvořit účet pro nového uživatele ze šablony, klikněte pravým tlačítkem na seznam šablon a vyberte Kopírovat. V dialogovém okně Kopírovat objekt – uživatel musíte zadat uživatelské jméno a přihlašovací jméno pro nově vytvořenou položku a poté kliknutím na tlačítko Další nastavit heslo nového uživatele, jak je popsáno níže.

  1. Zadejte standardní firemní heslo a přidělte je novému uživateli.
  2. Vymažte buňky hesla nikdy nevyprší a účet je zakázán.
  3. Zaškrtněte políčko Při příštím přihlášení musí uživatel změnit heslo.
  4. Klepněte na tlačítko Další a potom na tlačítko Dokončit.

Není třeba se obtěžovat s kartou Člen, protože systém již zkopíroval členství ve skupinách z uživatelské šablony. V podstatě, pokud není potřeba zaznamenávat telefonní číslo a adresu uživatele, nemůžete na zbývajících kartách nic dělat. Systém zkopíruje všechny běžné atributy. Můžete však přidat další atributy pro automatické kopírování nebo můžete zabránit kopírování určitých atributů úpravou schématu AD.

Katie Ivensová- Editor časopisu Windows 2000 Magazine. Přispěla do více než 40 počítačových knih, včetně Windows 2000: The Complete Reference (Osborne/McGraw-Hill). Lze ji kontaktovat na:

Každý ví, že po instalaci operačního systému je počítač zpočátku zařazen do pracovní skupiny (standardně do WORKGROUP). V pracovní skupině je každý počítač nezávislým autonomním systémem, ve kterém je databáze SAM (Security Accounts Manager). Když se člověk přihlásí k počítači, zkontroluje se, zda má účet v SAM a podle těchto záznamů jsou mu přidělena určitá práva. Počítač, který je zadán do domény, si nadále udržuje svou databázi SAM, ale pokud se uživatel přihlásí pod doménovým účtem, pak je kontrolován vůči řadiči domény, tzn. Počítač důvěřuje řadiči domény, aby identifikoval uživatele.

Existují různé způsoby, jak přidat počítač do domény, ale než to uděláte, musíte se ujistit, že počítač splňuje následující požadavky:

Máte právo připojit počítač k doméně (ve výchozím nastavení mají toto právo Enterprise Admins, Domain Admins, Administrators, Account Admins);

Objekt počítače je vytvořen v doméně;

K počítači, ke kterému se připojujete, musíte být přihlášeni jako místní správce.

Druhý bod může u mnoha správců vyvolat rozhořčení – proč vytvářet počítač v AD, když se po přidání počítače do domény objeví v kontejneru Počítače. Jde o to, že v kontejneru Počítače nemůžete vytvářet rozdělení, ale co je horší, nemůžete s kontejnerem svázat objekty zásad skupiny. Proto se doporučuje vytvořit objekt počítače v požadované organizační jednotce a nespokojit se s automaticky vytvořeným účtem počítače. Automaticky vytvořený počítač můžete samozřejmě přesunout na požadované oddělení, ale správci na takové věci často zapomínají.

Nyní se podívejme na způsoby, jak vytvořit počítač (počítače) v AD:

Vytváření počítačů pomocí modulu snap-in Uživatelé a počítače služby Active Directory.

Pro tuto metodu budeme muset na našem počítači spustit modul snap-in „Uživatelé a počítače Active Directory“ pomocí Admin Pack nebo na řadiči domény. Chcete-li to provést, klikněte na " Start - Ovládací panely - Systém a zabezpečení - Správa -" vyberte požadované oddělení, klikněte na něj pravým tlačítkem, z kontextové nabídky vyberte " Vytvořit - Počítač".

Zadejte název počítače.

Vytvořte účet počítače pomocí příkazu DSADD.

Celkový pohled na příkaz:

počítač dsadd [-desc<описание>] [-loc<расположение>] [-memberof<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Parametry:

Popis hodnoty
Požadovaný parametr. Určuje rozlišující název (DN) počítače, který má být přidán.
-desc<описание> Určuje popis počítače.
-lok<размещение> Určuje umístění počítače.
-příslušník<группа...> Přidá počítač do jedné nebo více skupin definovaných seznamem DN oddělených mezerami<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>určuje připojení k řadiči domény (DC) s názvem<сервер>.
-d <домен>určuje připojení k DC v doméně<домен>.
Výchozí: DC v přihlašovací doméně.
-u<пользователь> Připojení pod jménem<пользователь>. Výchozí: přihlášené uživatelské jméno. Možné volby: uživatelské jméno, doména\uživatelské jméno, hlavní jméno uživatele (UPN).
-p (<пароль> | *} Uživatelské heslo<пользователь>. Pokud zadáte *, budete požádáni o heslo.
-q Tichý režim: Veškerý výstup je nahrazen standardním výstupem.
(-uc | -uco | -uci)

-uc Určuje formátování vstupu z kanálu nebo výstupu do kanálu v Unicode.
-uco Určuje, zda je výstup do kanálu nebo souboru formátován v Unicode.
-uci Určuje formátování vstupu z kanálu nebo souboru v Unicode.

Příklad použití příkazu Dsadd:

Dsadd počítač “CN=COMP001,OU=Moskva,OU=Oddělení,DC=pk-help,DC=com” –desc “počítač IT oddělení”

Stvořeníúčet pracovní stanice nebo serveru pomocí příkazu Netdom.

Obecný pohled na příkaz Netdom:

PŘIDAT NETDOM<компьютер> ]
<компьютер> toto je název počítače, který má být přidán
/Doména určuje doménu, ve které chcete vytvořit účet počítače
/UživatelD uživatelský účet, který se má použít při připojování k doméně určené argumentem /Domain
/HesloD Heslo uživatelského účtu určeného argumentem /UserD. Znak * označuje výzvu k zadání hesla
/Server Název řadiče domény použitého pro přidání. Tuto možnost nelze použít ve spojení s možností /OU.
/OU oddělení, ve kterém chcete vytvořit počítačový účet. Pro organizační jednotku je vyžadován plně kvalifikovaný název domény RFC 1779. Při použití tohoto argumentu musíte spustit přímo na zadaném řadiči domény. Pokud tento argument není zadán, bude účet vytvořen ve výchozí organizační jednotce pro počítačové objekty v této doméně.
/DC určuje, že chcete vytvořit počítačový účet řadiče domény. Tuto možnost nelze použít ve spojení s možností /OU.
/SecurePasswordPrompt K zadání přihlašovacích údajů použijte zabezpečené vyskakovací okno. Tuto možnost použijte, když potřebujete zadat přihlašovací údaje k čipové kartě. Tento parametr je účinný pouze v případě, že je heslo zadáno jako *.

Vytvoření objektu Computer pomocí Ldifde() a Csvde().

Správa počítačových účtů v Active Directory.

Přejmenování počítače na AD.

Spusťte příkazový řádek a pomocí příkazu Netdom přejmenujte počítač na AD:

Netdom přejmenovat počítač<Имя компьютера>/Nové jméno:<Новое имя>

Příklad: Netdom přejmenovatpočítač COMP01 /Nové jméno: COMP02

Odstranění počítačových účtů.

1 Odstraňte účet počítače pomocí modulu snap-in Active Directory – uživatelé a počítače". Spusťte modul snap-in" Active Directory – uživatelé a počítače"najděte požadovaný počítač, klikněte na něj pravým tlačítkem myši a vyberte z kontextové nabídky" Vymazat“, potvrďte smazání

2 Počítač můžete odebrat pomocí příkazu DSRM:

DSRM

DSRM CN=COMP001,OU=Moskva,OU=oddělení,DC=pk-help,DC=com
.

Řešení chyby "Nelze vytvořit vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou."

Někdy při pokusu o přihlášení k počítači uživatel obdrží zprávu „ Mezi touto pracovní stanicí a primární doménou se nepodařilo vytvořit vztah důvěryhodnosti". K této chybě dochází, když selže zabezpečený kanál mezi počítačem a řadičem domény. Chcete-li to vyřešit, musíte zabezpečený kanál resetovat. Můžete použít jednu z metod:

1 Přejděte do modulu snap-in „Uživatelé a počítače služby Active Directory“, najděte problémový počítač, klikněte na něj pravým tlačítkem myši a vyberte možnost „Obnovit účet“. Poté by měl být počítač znovu připojen k doméně a restartován.

2 Pomocí příkazu Netdom:

Netdom reset<имя машины>/doména<Имя домена>/Uživatel0<Имя пользователя>/Heslo0<Пароль> bez uvozovek<>

Příklad: Reset sítě COMP01 /web domény /Uživatel0 Ivanov /Heslo *****

3 Pomocí příkazu Nltest:

Nltest/server:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>

Místní uživatelský účet umožňuje uživateli přihlásit se k místnímu počítači za účelem přístupu k místním zdrojům. V síťovém prostředí však uživatelé potřebují přístup ke zdrojům umístěným jinde v síti. Pro přístup k těmto prostředkům je vyžadován uživatelský účet domény. Když je vytvořen uživatelský účet domény, je umístěn do adresářové služby Active Directory a je přístupný z libovolného počítače, který patří do dané domény. Na druhé straně v pracovní skupině existuje uživatelský účet pouze na místním počítači.

a) Uživatelské účty domény definované uživatelem

Uživatelské účty domény definované uživatelem jsou účty, které správce vytváří, aby umožnil uživatelům přihlásit se do domény a přistupovat k síťovým zdrojům. Uživatelské účty domény definované uživatelem jsou vytvořeny na řadiči domény. Tento řadič domény replikuje informace o novém uživatelském účtu na všechny řadiče v doméně. Během procesu přihlášení uživatel zadá uživatelské jméno a heslo a také doménu, ve které účet existuje. První dostupný řadič domény používá tyto informace k ověření uživatelského účtu.

b) Vestavěné uživatelské účty (doména)

Kromě toho, že umožňuje správcům definovat nové uživatelské účty domény, nabízí operační systém Win2000 dva vestavěné uživatelské účty domény, Administrator a Guest. Tyto předdefinované uživatelské účty jsou podobné předdefinovaným uživatelským účtům, které existují na místních počítačích v pracovních skupinách. Hlavním rozdílem je, že tyto účty vám umožňují přístup k celé doméně.

c) Správce

Vestavěný účet správce spravuje veškerou konfiguraci počítače a domény. Pomocí tohoto účtu může správce vytvářet uživatelské a skupinové účty, spravovat zabezpečení, spravovat tiskárny a přidělovat oprávnění uživatelským účtům. Tento účet lze přejmenovat, ale nelze jej smazat.

Vestavěný účet hosta umožňuje jednorázovým uživatelům přístup k síťovým zdrojům. Například v systému s nízkou úrovní zabezpečení může zaměstnanec, který potřebuje krátkodobý přístup ke zdrojům, použít účet hosta. Ve výchozím nastavení je tento účet zakázán.

e) Active Directory Users and Computers Utility

Operační systém Win2000 nabízí nástroj s názvem Active Directory UandC, který umožňuje správcům spravovat uživatelské účty v adresářové službě Active Directory. Tento nástroj je nainstalován v počítačích, které jsou nakonfigurovány jako řadiče domény. Chcete-li pracovat s obslužným programem Active Directory UandC, musíte být přihlášeni do domény Win2000 (nikoli místního počítače) a mít dostatečná práva k provádění příslušných úloh.

Pomocí nástroje Uživatelé a počítače služby Active Directory můžete v doméně provádět následující úlohy:

  • přidávat nebo mazat uživatelské účty;
  • povolit a zakázat uživatelské účty;
  • najít nebo přesunout uživatelské účty;
  • přejmenovat uživatelské účty;

resetovat uživatelská hesla.
12. Skupiny. Skupiny na místním počítači. Skupiny na řadiči domény. Vestavěné a standardní skupiny v doméně. Vytváření skupin v doméně. Typy skupin a jejich rozsah.

Skupina - toto je sada uživatelských účtů. Přístupová oprávnění lze nastavit pro všechny členy skupiny současně a není nutné je nastavovat jednotlivě. Jakmile máte pro skupinu zabezpečený přístup, můžete do této skupiny jednoduše přidat příslušné uživatele. Můžete použít výchozí nebo vestavěné skupiny poskytované operačním systémem Win2000 nebo můžete vytvořit nové skupiny podle potřeb vaší organizace. Skupina může existovat buď pouze na místním počítači, nebo na počítačích v rámci jedné domény nebo na počítačích v několika doménách.

Skupiny na místním počítači:

Na místních počítačích (počítače, které jsou řadiči domény) můžete vytvořit místní skupiny pouze v místní databázi zabezpečení. Skupina umístěná v počítači, který není řadičem domény, poskytuje zabezpečení a přístup pouze k tomuto místnímu počítači. Chcete-li například uživateli udělit administrátorská práva na místním počítači, jednoduše přidejte uživatele do skupiny Administrators na tomto počítači pomocí nástroje Místní uživatelé a skupiny.

Skupiny na řadiči domény:

Na řadiči domény se skupiny vytvářejí v adresářové službě Active Directory. Skupina umístěná na řadiči domény může zahrnovat uživatele z celé domény nebo z více domén. Chcete-li například uživatelům udělit práva správce, jsou přidáni do skupiny Administrators na řadiči domény pomocí nástroje Uživatelé a počítače služby Active Directory.

Vestavěné a standardní skupiny v doméně:

Stejně jako klientské počítače a členské servery mají řadiče domény vestavěné výchozí skupiny. Kromě vestavěných skupin mají řadiče domény standardní výchozí skupiny. Když se počítač stane řadičem domény, Windows 2000 Advanced Server automaticky vytvoří tyto skupiny v modulu snap-in Uživatelé a počítače služby Active Directory. Stejně jako vestavěné místní skupiny poskytují tyto skupiny předdefinovaná práva, která určují, jaké systémové úlohy může uživatel nebo vestavěná nebo standardní skupina provádět.

Standardní skupiny s globálním rozsahem jsou umístěny ve složce Uživatelé. Místní skupiny vestavěné domény jsou umístěny ve složce Builtin. V systému Windows 2000 zahrnují výchozí skupiny domén následující skupiny.

  • Vestavěné místní skupiny domény. Tyto skupiny poskytují uživatelům předdefinovaná práva a oprávnění k provádění úkolů v adresářové službě Active Directory a na řadičích domény. Vestavěné místní skupiny domény jsou umístěny pouze v řadičích domény. Tyto skupiny nelze smazat.
  • Speciální skupiny. Tyto skupiny automaticky organizují uživatelské účty pro potřeby systému. Správci nepřiřazují uživatele do těchto skupin. Místo toho jsou uživatelé buď ve výchozím nastavení členy, nebo se stávají členy prostřednictvím svých online aktivit. Speciální skupiny existují na všech počítačích se systémem Windows 2000. Pokud se například uživatelé připojí ke sdílené složce na vzdáleném počítači, stanou se členy skupiny Network System. Speciální skupiny se nezobrazují v modulu snap-in Uživatelé a počítače služby Active Directory.
  • Standardní globální skupiny . Tyto skupiny umožňují správci snadno spravovat všechny uživatele v doméně. Standardní globální skupiny jsou k dispozici pouze na řadičích domény. Tyto skupiny jsou umístěny ve složce User modulu snap-in Uživatelé a počítače služby Active Directory.

Vytváření skupin v doméně:

Při vytváření skupin pro použití v doméně postupujte podle těchto pokynů.

  • Určete požadovaný rozsah skupiny na základě toho, jak bude použita. Chcete-li například seskupit uživatelské účty, použijte globální skupinu. Naopak použijte místní skupinu domény k udělení oprávnění k prostředku.
  • Zjistěte, zda máte potřebná oprávnění k vytvoření skupiny v příslušné doméně.

a) Ve výchozím nastavení mají členové skupin Administrators nebo Account Operators potřebná oprávnění k vytváření skupin.

b) Správce může uživateli udělit oprávnění k vytváření skupin v doméně.

  • Definujte název skupiny. Vyberte si intuitivní název, který odráží účel skupiny, kterou vytváříte. Tento přístup je zvláště užitečný, pokud správci jiných domén potřebují vyhledat tuto skupinu v adresářové službě Active Directory.

Skupiny se vytvářejí a odstraňují v modulu snap-in Uživatelé a počítače služby Active Directory. Skupiny můžete vytvořit ve výchozí složce Uživatelé nebo v jakékoli nově vytvořené složce. Pokud již skupina není potřeba, je nutné ji odstranit, abyste jí náhodou neudělili žádná oprávnění.

Chcete-li vytvořit skupinu, otevřete modul snap-in Uživatelé a počítače služby Active Directory. Klepněte pravým tlačítkem myši na složku, ve které bude skupina umístěna, vyberte možnost Nová a klepněte na položku Skupina. Následující tabulka popisuje možnosti v dialogovém okně Nový objekt – skupina.

Typy skupin:

Adresářová služba Active Directory poskytuje podporu pro různé typy skupin a oborů skupin v doméně. Vzhledem k tomu, že skupiny jsou uloženy v Active Directory, lze je používat na libovolném počítači v síti. Typ skupiny určuje úkoly, které lze pomocí ní spravovat. Rozsah skupiny určuje, zda skupina zahrnuje více domén nebo je omezena na jednu doménu. Každý typ skupiny v doméně má atribut rozsahu, který určuje, jak se skupina použije v síti.

V adresářové službě Active Directory existují dva typy skupin.

1) Bezpečnostní skupiny. Skupiny zabezpečení by se měly používat pro účely související se zabezpečením, jako je udělování oprávnění k přístupu ke zdrojům. Můžete je také použít k odesílání e-mailových zpráv více uživatelům. Když pošlete e-mail skupině, budou zprávy odeslány všem členům této skupiny. Skupiny zabezpečení proto sdílejí některé funkce s distribučními skupinami.

2) Distribuční skupiny. Skupiny zabezpečení používají aplikace jako seznamy k provádění funkcí nesouvisejících se zabezpečením, jako je odesílání e-mailů skupinám uživatelů. Oprávnění nelze udělit pomocí skupin zabezpečení. Přestože skupiny zabezpečení mají schopnosti distribučních skupin, jsou stále vyžadovány, protože některé aplikace mohou pracovat pouze s distribučními skupinami.

Rozsahy skupin:

Rozsah skupiny určuje, kde v doménách se skupina používá. Rozsah ovlivňuje členství ve skupině a příloha skupiny. Nesting je přidání skupiny do jiné skupiny jako člena. Windows 2000 má tři obory skupin.

1) Rozsah globální skupiny. Tento rozsah se používá k seskupení uživatelů, kteří mají podobné požadavky na přístup k síti. Globální skupinu můžete použít k udělení oprávnění zdrojům umístěným v jakékoli doméně.

a) Členství v globálních skupinách je omezené. Uživatelské účty a globální skupiny se přidávají pouze z domény, ve které je globální skupina vytvořena.

b) Globální skupiny mohou být vnořeny do jiných skupin. Tato funkce umožňuje přidat globální skupinu do jiné globální skupiny ve stejné doméně nebo do univerzálních nebo místních skupin v jiných doménách.

2) Rozsah místní skupiny domény. Tento obor se používá k udělení oprávnění prostředkům domény umístěným ve stejné doméně, ve které je vytvořena místní skupina domény. Prostředek nemusí být umístěn na řadiči domény.

a) Členství v místních skupinách domény je otevřené. Uživatelské účty, univerzální skupiny a globální skupiny se přidávají z libovolné domény.

b) Lokální skupiny domény nelze vnořovat do jiných skupin; to znamená, že lokální skupinu domény nelze přidat do žádné jiné skupiny, ani do skupiny umístěné ve stejné doméně.

3) Rozsah univerzální skupiny. Uděluje oprávnění k přidruženým zdrojům ve více doménách. Univerzální skupiny se používají k udělení oprávnění zdrojům umístěným v jakékoli doméně.

a) Členství v univerzálních skupinách je otevřené. Členem může být jakýkoli uživatelský účet nebo skupina.

b) Univerzální skupiny mohou být vnořeny do jiných skupin. Tato funkce umožňuje přidat danou univerzální skupinu do univerzální skupiny nebo do doménové lokální skupiny umístěné v libovolné doméně.


13. Obecná uživatelská práva. Oprávnění přiřazená vestavěným skupinám (výchozí).

Pracovní skupina.

Práva se nevztahují na konkrétní zdroj, ale na celý systém a ovlivňují chod počítače nebo domény jako celku. Všichni uživatelé přistupující k síťovým zdrojům potřebují určitá obecná práva k počítači, na kterém pracují, například právo přihlásit se k počítači nebo změnit na něm systémový čas. Správci mohou skupinám uživatelů nebo jednotlivým uživatelům přidělovat konkrétní obecná práva. Operační systém Windows 2000 navíc ve výchozím nastavení uděluje určitá práva vestavěným skupinám. Uživatelská práva určují, kteří uživatelé mohou provádět konkrétní práci na počítači nebo doméně.

Obecná uživatelská práva:

Práva umožňují uživateli přihlášenému k počítači nebo síti provádět v tomto systému určité akce. Pokud uživatel nemá oprávnění k provedení operace, pokus o provedení této operace bude zablokován.

Uživatelská práva se mohou vztahovat jak na jednotlivé uživatele, tak na skupiny. Nejlepší je však spravovat uživatelská práva prací se skupinami. Tím je zajištěno, že uživatel, který se přihlásí jako člen skupiny, automaticky získá všechna práva spojená s danou skupinou. Operační systém Windows 2000 poskytuje správci možnost přidělovat práva uživatelům a skupinám uživatelů. Obecná uživatelská práva zahrnují právo místního přihlášení, právo změnit systémový čas, právo vypnout systém a právo přístupu k tomuto počítači ze sítě.

  • Místní přihlášení

Toto právo umožňuje uživateli přihlásit se k místnímu počítači nebo doméně z místního počítače.

  • Změna systémového času

Toto právo umožňuje uživateli nastavit vnitřní hodiny počítače.

  • Vypínání systému

Toto právo umožňuje uživateli vypnout místní počítač.

  • Přístup k tomuto počítači ze sítě

Toto právo umožňuje uživateli přistupovat k počítači se systémem Windows 2000 z jakéhokoli jiného počítače v síti.

Oprávnění přiřazená vestavěným skupinám (výchozí):

Operační systém Windows 2000 ve výchozím nastavení uděluje určitá práva integrovaným skupinám, jako jsou Administrators, Users, Power Users a Backup Operators.

1) Administrátoři

Správci je integrovaná skupina, která existuje v počítačích, které jsou řadiči domény, i v počítačích, které nejsou řadiči domény. Členové této skupiny mají plnou kontrolu nad počítačem nebo doménou. Správci. Jediná vestavěná skupina, které jsou automaticky udělena všechna vestavěná práva v systému.

2) Uživatelé

Uživatelé je integrovaná skupina, která existuje v počítačích, které jsou řadiči domény, i v počítačích, které nejsou řadiči domény. Členové této skupiny mohou provádět pouze ty úlohy, pro které mají specifická práva, jako je spouštění aplikací, používání místních a síťových tiskáren a vypínání a zamykání pracovních stanic. Členové skupiny Users mohou vytvářet místní skupiny a mohou je upravovat, ale nemohou sdílet složky ani vytvářet místní tiskárny.

3) Pokročilí uživatelé

Power Users je integrovaná skupina, která existuje v počítačích, které nejsou řadiči domény. Členové skupiny Power Users mohou provádět specifické administrativní funkce, ale nemají práva, která jim dávají plnou kontrolu nad systémem. Skupina Power Users má následující práva.

  • Vytvořte uživatelské a skupinové účty na místním počítači.
  • Úpravy a mazání účtů, které vytvořili.
  • Poskytování sdíleného přístupu ke zdrojům. Členové skupiny Power Users však nemohou provádět následující akce:
  • Změňte skupiny Administrators a Backup Operators.
  • Archivujte nebo obnovte složky z archivu.

4) Operátoři archivu

Backup Operators je integrovaná skupina, která existuje jak v počítačích, které jsou řadiči domény, tak v počítačích, které nejsou řadiči domény. Členové skupiny Backup Operators mohou archivovat a obnovovat soubory z archivu bez ohledu na to, jakými oprávněními jsou soubory chráněny. Členové skupiny Backup Operators se mohou přihlásit a vypnout počítač, ale nemohou měnit nastavení zabezpečení.

pracovní skupina:

Pracovní skupina je malá skupina počítačů v síti, které spolupracují a nevyžadují centralizovanou správu.

Pracovní skupina má následující charakteristiky.

  • Přidělování prostředků, správa a ověřování se provádějí na každém počítači pracovní skupiny samostatně.
  • Každý počítač má nainstalovanou vlastní lokální databázi SAM (Security Accounts Manager). Uživatel musí mít uživatelský účet na každém počítači, na kterém hodlá pracovat.
  • Počet počítačů nepřesahuje deset. Tyto počítače mohou provozovat serverové produkty Windows 2000, ale každý má svou vlastní databázi SAM. Pokud počet počítačů v pracovní skupině přesáhne 10, je správa obtížnější. Počet současných připojení k počítači se systémem Windows 2000 Professional nesmí překročit 10.

14. Nastavení protokolu TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP adresování. Automatické přidělování IP adres. Nakonfigurujte TCP/IP pro použití statické adresy IP. Verifikace a testování protokolu TCP/IP.

Nastavení protokolu TCP/IP. DHCP adresace:

Pokud byl protokol TCP/IP nakonfigurován tak, aby automaticky získal IP adresu, pak po instalaci protokolu TCP/IP klientský počítač získá IP adresu jedním ze dvou způsobů:

  • ze serveru DHCP;
  • pomocí automatického přidělování privátních adres APIPA (Automatic Private IP Addressing).

Server DHCP automaticky přiřadí adresu IP a nastavení protokolu TCP/IP, jako je adresa IP serveru DNS, serveru WINS a výchozí brány. Následující postup se používá k automatickému přiřazení adresy IP serverem DHCP.

1. Klientský počítač požaduje IP adresu od serveru DHCP.

2. Server DHCP přidělí klientskému počítači adresu IP.

Měli byste se ujistit, že nastavení protokolu TCP/IP je nakonfigurováno tak, aby klientský počítač mohl automaticky získat adresu IP ze serveru DHCP. Ve výchozím nastavení jsou tato nastavení konfigurována automaticky ve Windows 2000. Pokud z nějakého důvodu klientský počítač není nakonfigurován tak, aby automaticky získal IP adresu, můžete nakonfigurovat TCP/IP ručně.

Automatické přidělování IP adres:

Nástroj Automatic Private IP Address Assignment Tool umožňuje vytvořit IP adresu v případě, že klientský počítač není schopen získat IP adresu ze serveru DHCP. Tento nástroj pouze přiřadí IP adresu a masku podsítě, ale neposkytuje další informace o nastavení, jako je výchozí brána. V důsledku toho je omezená schopnost klientského počítače připojit se k místní síti: nemůže se připojit k jiným sítím ani k Internetu.

Když spustíte počítač, který nemá IP adresu, dojde k následujícímu:

1. Klientský počítač se pokusí zjistit server DHCP a získat z něj informace o nastavení protokolu TCP/IP.

2. Pokud klientský počítač nezjistí server DHCP, nakonfiguruje svou adresu IP a masku podsítě výběrem síťové adresy třídy B 169.254.0.0 z rozsahu adres IP vyhrazeného společností Microsoft s maskou podsítě 255.255.0.0.

Konfigurace TCP/IP pro použití statické IP adresy:

Někdy je potřeba ručně nakonfigurovat statické adresy IP pro počítače v síti, která podporuje službu serveru DHCP. Například počítač, který podporuje službu serveru DHCP, nelze nakonfigurovat tak, aby automaticky přijímal adresu IP. Někdy je navíc nutné zachovat stejnou IP adresu pro poštovní server a webový server. V takových případech byste měli tyto počítače nakonfigurovat se statickou IP adresou.

Při nastavování statické IP adresy musíte nakonfigurovat masku podsítě a výchozí bránu pro každou síťovou kartu v počítači pomocí protokolu TCP/IP. Níže je tabulka, která ukazuje nastavení protokolu TCP/IP.

Možnosti nastavení Popis
IP adresa 32bitová adresa identifikující hostitele TCP/IP. Každá síťová karta v počítači s protokolem TCP/IP vyžaduje jedinečnou adresu IP, která je obvykle uvedena v desítkové soustavě (například 192.168.0.108). Každá adresa se skládá ze dvou částí: síťového identifikátoru, který identifikuje všechny uzly v jedné síti, a identifikátoru uzlu, který identifikuje konkrétní uzel v této síti. V tomto příkladu je ID sítě 192.168.0 a ID hostitele je 108 na základě výchozí masky podsítě.
Maska podsítě Hodnota, která určuje, ke které podsíti je počítač připojen. Velký intranet je rozdělen do několika podsítí propojených směrovači. Hodnota masky podsítě ukazuje, která část adresy IP hostitele je identifikátor sítě a která část je identifikátor hostitele. Když se hostitelé pokoušejí komunikovat mezi sebou, jejich masky podsítě se používají k určení, zda je koncový hostitel místní nebo vzdálený.
Hlavní brána Směrovač, do kterého bude hostitel přeposílat všechny IP pakety pro vzdálené sítě, pokud pro tyto sítě nemá specifickou trasu. Výchozí brána je obvykle nakonfigurována se směrovacími informacemi, které jí umožňují předávat pakety do cílové sítě nebo jiných zprostředkujících směrovačů. Chcete-li komunikovat s hostitelem v jiné síti, musíte nakonfigurovat adresu IP pro výchozí bránu.

Kontrola a testování protokolu TCP/IP:

Po konfiguraci TCP/IP byste měli pomocí příkazů ipconfig a ping otestovat nastavení vašeho místního počítače, abyste se ujistili, že se může připojit k síti TCP/IP.

1) příkaz Ipconfig:

Příkaz ipconfig umožňuje zobrazit na obrazovce testovaného počítače informace o nastavení vlastností protokolu TCP/IP a určit, zda je na počítači inicializován. Následně je ověřena správnost zobrazených informací.

2) Příkaz ping:

Příkaz ping je diagnostický nástroj, který ověřuje nastavení protokolu TCP/IP mezi dvěma počítači a identifikuje chyby připojení. Příkaz ping stanoví schopnost komunikovat s jiným hostitelem pomocí protokolu TCP/IP.

Kontrola a testování protokolu TCP/IP:

Kombinací příkazů ipconfig a ping můžete zkontrolovat konfiguraci protokolu IP místního počítače a připojení IP dvou počítačů v síti. Postup pro společné použití příkazů ipconfig a ping je následující:

1) Do příkazového řádku zadejte příkaz ipconfig. Z příkazu ipconfig získáte následující výstup.

  • Pokud je TCP/IP inicializováno, spuštěním příkazu ipconfig se zobrazí IP adresa a maska ​​podsítě každé síťové karty ve vašem počítači. Kromě toho se zobrazí další možnosti nastavení, jako je výchozí brána.
  • Pokud existuje duplicitní IP adresa, příkaz ipconfig zobrazí zprávu, že IP adresa byla nakonfigurována; hodnota masky podsítě je však 0.0.0.0., což znamená, že tato adresa je již v síti používána. Služba Automatic Private IP Assignment má vždy ID sítě 169.254.0.0. Pokud zadáte ID sítě začínající 169.254.x.x., nezískáte adresu IP ze serveru DHCP, ale prostřednictvím služby Automatické přidělování privátní adresy IP.

2) Spusťte ping 127.0.0.1 s adresou zpětné smyčky, abyste ověřili, že je protokol TCP/IP správně nainstalován. Adresa zpětné smyčky je adresa, kterou počítač používá k identifikaci.

Příkaz ping používá syntaxi ping IP_address, kde IP_address je adresa jiného hostitele nebo počítače s nainstalovaným TCP/IP.

3) Otestujte IP adresu místního počítače, abyste se ujistili, že je vaše adresa nakonfigurována správně.

4) Otestujte IP adresu výchozí brány, abyste zajistili, že váš počítač může komunikovat s místní sítí. Chcete-li se ujistit, že počítač lze připojit k místní síti, měli byste odeslat požadavek na jakýkoli jiný počítač v této místní síti. Nejčastěji se však pro tento účel používá výchozí brána, protože obvykle není nikdy zakázána.

5) Otestujte IP adresu vzdáleného hostitele, abyste se ujistili, že počítač může komunikovat se směrovačem.

Ve výchozím nastavení, pokud jsou příkazy ping úspěšné, zobrazí se čtyři identické zprávy následujícího typu: Odpověď přijata z odpovídající IP adresy


Související informace.


Ahoj všichni, rád bych zahájil sérii článků o službě Active Directory na příkladu Windows Server 2008R2. V naprosté většině případů správci systému dávají přednost použití modulu snap-in Uživatelé a počítače služby Active Directory k vytvoření základních principů zabezpečení, který je přidán do složky Nástroje pro správu ihned po instalaci role služby Active Directory Domain Services a povýšení serveru na řadič domény. Tato metoda je nejpohodlnější, protože k vytváření objektů zabezpečení používá grafické uživatelské rozhraní a průvodce vytvořením uživatelského účtu se velmi snadno používá. Nevýhodou tohoto způsobu je, že při vytváření uživatelského účtu nelze většinu atributů ihned nastavit a potřebné atributy budete muset doplnit úpravou účtu.

Chcete-li vytvořit uživatelský účet, postupujte takto:

  • Otevřete Uživatelé a počítače služby Active Directory. Chcete-li to provést, musíte otevřít Ovládací panely, otevřít sekci „Systém a zabezpečení“, poté „Nástroje pro správu“ a v okně, které se zobrazí, otevřít modul snap-in „Uživatelé a počítače Active Directory“. Můžete také použít kombinaci kláves +R k otevření dialogu „Spustit“ a v dialogovém okně „Spustit“ zadejte dsa.msc do pole „Otevřít“ a poté klikněte na tlačítko „OK“;
  • Ve stromu modulů snap-in rozbalte svou doménu a přejděte do organizační jednotky, ve které vytvoříte uživatelský účet. Chcete-li vytvořit uživatelské účty, doporučujeme vytvořit další organizační jednotky a poté přidat uživatelské účty do jiných organizačních jednotek, než jsou standardní jednotky uživatelů. Klikněte pravým tlačítkem na tuto organizační jednotku a z kontextové nabídky vyberte Nový a poté Uživatel, jak je znázorněno na následujícím obrázku:

V zobrazeném dialogovém okně Nový objekt – uživatel zadejte následující informace:

  • Do pole „Jméno“ zadejte uživatelské jméno;
  • Do pole „Iniciály“ zadejte jeho iniciály (nejčastěji se iniciály nepoužívají);
  • Do pole „Last Name“ zadejte příjmení uživatele, který má být vytvořen;
  • Pole Celé jméno se používá k vytvoření atributů vytvořeného objektu, jako jsou vlastnosti Common Name CN a zobrazovaný název. Toto pole musí být jedinečné v celé doméně a je vyplněno automaticky a mělo by být změněno pouze v případě potřeby;
  • Pole Přihlášení uživatele je povinné a je určeno pro přihlašovací jméno uživatele k doméně. Zde musíte zadat své uživatelské jméno a vybrat příponu UPN z rozevíracího seznamu, který bude umístěn za symbolem @;
  • Pole „User Login Name (Pre-Windows 2000)“ je určeno pro přihlašovací jméno pro systémy před operačním systémem Windows 2000 V posledních letech jsou vlastníci takových systémů v organizacích stále vzácnější, ale pole je vyžadováno. protože některý software to používá k identifikaci uživatelů. Přečtěte si o tom, jak přidat pole pro druhé jméno zde. Po vyplnění všech požadovaných polí klikněte na tlačítko „Další“:

Na další stránce průvodce vytvořením uživatelského účtu budete muset do pole „Heslo“ zadat počáteční heslo uživatele a potvrdit ho v poli „Potvrzení“. Kromě toho můžete vybrat atribut, který označuje, že při prvním přihlášení uživatele si uživatel musí sám změnit heslo ke svému účtu. Tuto možnost je nejlepší použít ve spojení s místními zásadami zabezpečení hesel k vytvoření silných hesel pro vaše uživatele. Také zaškrtnutím políčka „Zakázat uživateli změnu hesla“ poskytnete uživateli své heslo a zakážete jeho změnu. Když vyberete možnost "Password Never Expires", platnost hesla uživatelského účtu nikdy nevyprší a nebude nutné jej pravidelně měnit. Pokud zaškrtnete políčko „Zakázat účet“, pak tento účet nebude určen k dalšímu použití a uživatel s tímto účtem se nebude moci přihlásit, dokud nebude povolen. Tato možnost, stejně jako většina atributů, bude popsána v další části tohoto článku. Po výběru všech atributů klikněte na tlačítko „Další“. Tato stránka průvodce je zobrazena na následujícím obrázku:

Jak vidíme, náš uživatel byl vytvořen, nyní vyplňte údaje o něm, mějte na paměti, že čím přesněji a úplněji o něm údaje vyplníte, tím to pro vás později bude jednodušší. Dvakrát klikněte na požadovaného uživatele.

Generál. Tato záložka je určena pro vyplnění jednotlivých uživatelských atributů. Tyto atributy zahrnují jméno a příjmení uživatele, krátký popis účtu, kontaktní telefonní číslo uživatele, číslo pokoje, e-mailovou adresu a webovou stránku. Vzhledem k tomu, že tyto informace jsou u každého jednotlivého uživatele individuální, údaje vyplněné na této záložce se nekopírují;

Adresa. Na aktuální záložce můžete vyplnit poštovní schránku, město, region, PSČ a zemi, kde uživatelé žijí, které budou vytvořeny na základě této šablony. Protože názvy ulic jednotlivých uživatelů se obvykle neshodují, nelze data v tomto poli zkopírovat;

Účet. Na této kartě můžete přesně určit, kdy se uživatel přihlásí, počítače, ke kterým se uživatelé mohou přihlásit, parametry účtu, jako je úložiště hesel, typy šifrování atd., stejně jako datum vypršení platnosti účtu;

Profil. Aktuální karta umožňuje zadat cestu k profilu, přihlašovací skript, místní cestu k domovské složce a také síťové disky, na kterých bude domovská složka účtu umístěna;
Organizace. Na této záložce můžete uvést pozici zaměstnanců, oddělení, ve kterém pracují, název organizace a jméno vedoucího oddělení;

Členové skupiny. Zde se určuje hlavní skupina a členství ve skupině.

A záložka organizace, kde můžete určit své oddělení a příslušnost ke společnosti.

Účty (účty) uživatelé, počítače a skupiny - jeden z hlavních prvků řízení přístupu k síťovým zdrojům, a tedy i celému systému zabezpečení sítě jako celku.

V prostředí Windows 2003 Active Directory existují 3 hlavní typy uživatelských účtů:

  • Místní uživatelské účty. Tyto účty existují v místní databázi SAM (Správce bezpečnostních účtů) na každém systému se systémem Windows 2003. Tyto účty se vytvářejí pomocí nástroje Místní uživatelé a skupiny (Místní uživatelé a skupiny) konzole Správa počítače (Správa počítače). Pamatujte, že pro přihlášení pomocí místního účtu musí být tento účet přítomen v databázi SAM v systému, do kterého se pokoušíte přihlásit. To činí místní účty nepraktickými pro velké sítě kvůli velké režii na jejich správu.
  • Uživatelské účty domény. Tyto účty jsou uloženy ve službě Active Directory a lze je použít k přihlášení a přístupu k prostředkům v rámci doménové struktury AD. Účty tohoto typu se vytvářejí centrálně pomocí konzoly " Uživatelé a počítače služby Active Directory " (" ").
  • Vestavěné účty. Tyto účty jsou vytvářeny samotným systémem a nelze je smazat. Ve výchozím nastavení každý systém, ať už izolovaný (samostatný) nebo součást domény, vytváří dva účty – Správce (Správce) A Host (Host). Ve výchozím nastavení je účet hosta zakázán.

Zaměřme se na uživatelské účty domény. Tyto účty jsou uloženy na řadičích domény, které ukládají kopii databáze Active Directory.

Existují různé formáty, ve kterých mohou být přihlášení uživatelů reprezentována, protože se mohou lišit z důvodu kompatibility s klienty se staršími verzemi Windows (například 95, 98, NT). Dva hlavní typy přihlášení používají příponu Hlavní jméno uživatele (primární uživatelské jméno) a přihlašovací jméno uživatele v systémech před Windows 2000.

Primární uživatelské jméno ( UPN, Název uživatelského principu) má stejný formát jako e-mailová adresa. Obsahuje přihlašovací jméno uživatele, poté ikonu „@“ a název domény. Ve výchozím nastavení je název domény kořenové domény zvýrazněn v poli rozbalovací nabídky bez ohledu na to, v jaké doméně byl účet vytvořen (rozbalovací seznam bude obsahovat také název domény, ve které jste účet vytvořili) .

Můžete také vytvořit další přípony domény (část názvu, která následuje za znakem @), které se zobrazí v rozevíracím seznamu a lze je použít k vytvoření UPN, pokud je vyberete (to se provádí pomocí konzoly " Active Directory – domény a důvěryhodnost " (" Doména a důvěryhodnosti služby Active Directory ").

Je pro to pouze jedna povinná podmínka – všechny UPN v lese musí být jedinečné (tj. neopakovat se). Pokud přihlašovací účet uživatele používá UPN pro přihlášení do Windows 2003, stačí zadat UPN a heslo – již si nemusíte pamatovat ani zadávat název domény. Další výhodou tohoto systému pojmenování je, že UPN často odpovídá e-mailové adrese uživatele, což opět snižuje množství uživatelských informací, které je třeba si zapamatovat.

Místní účty

Každý počítač se systémem Windows NT/2000/XP/2003 (pokud se nejedná o server, který je řadičem domény) má databázi místních účtů s názvem databáze SAM. Tyto databáze byly diskutovány při popisu bezpečnostního modelu pracovní skupiny. Lokální uživatelé a zejména skupiny se využívají při přidělování přístupových práv ke zdrojům na konkrétním počítači, a to i v modelu zabezpečení domény. Obecná pravidla pro používání lokálních a doménových skupin pro řízení přístupu budou popsána níže.

Správa uživatelských účtů domény

Uživatelské účty domény (stejně jako účty počítačů a skupin) jsou uloženy ve speciálních kontejnerech AD. Mohou to být buď standardní kontejnery Uživatelé pro uživatele a Počítače pro počítače nebo organizační jednotku (OU) vytvořenou správcem. Výjimkou jsou účty řadiče domény, které jsou vždy uloženy v organizační jednotce s názvem Ovladače domén.

Podívejme se na příklady procesu vytváření uživatelských účtů v databázi Active Directory a rozebereme základní vlastnosti doménových účtů. Účty pro počítače se vytvářejí během procesu připojování počítače k ​​doméně.

Vytvoření účtu domény

Pozor! V laboratorních cvičeních máte za úkol nastavit zásady, které výrazně snižují úroveň požadavků na hesla a uživatelská oprávnění:

  • požadavek na složitost hesla je zakázán,
  • minimální délka hesla je nastavena na 0 (tj. heslo může být prázdné),
  • minimální doba platnosti hesla je nastavena na 0 dní (tj. uživatel si může heslo kdykoli změnit),
  • historie ukládání hesel je nastavena na 0 (tj. při změně hesla systém nekontroluje historii dříve použitých hesel),
  • Skupině Users jsou udělena místní přihlašovací práva k řadičům domény.

Tyto zásady jsou nastaveny výhradně pro pohodlí provádění cvičení, která je třeba provádět s právy běžných uživatelů na serverech řadičů domény. Ve skutečné administrativní praxi by takové slabé bezpečnostní parametry neměly být nikdy nastaveny na hesla a uživatelská práva by měla být velmi přísná (bezpečnostní zásady jsou popsány dále v této části).

Pravidla pro výběr znaků pro vytvoření hesla:

  • Délka hesla - alespoň 7 znaků;
  • heslo by se nemělo shodovat s uživatelským jménem pro přihlášení do systému, stejně jako s jeho obvyklým jménem, ​​příjmením, jmény jeho příbuzných, přátel atd.;
  • heslo by nemělo obsahovat žádné slovo (aby se vyloučila možnost uhodnutí hesla pomocí slovníku);
  • heslo by se nemělo shodovat s telefonním číslem uživatele (běžné nebo mobilní), číslem jeho auta, pasu, řidičského průkazu nebo jiného dokladu;
  • Heslo musí být kombinací velkých a malých písmen, číslic a speciálních znaků (např. @#$%^*&()_+ atd.).

A ještě jedním bezpečnostním pravidlem je pravidelná změna hesla (frekvence změn závisí na bezpečnostních požadavcích každé konkrétní společnosti nebo organizace). Domény Windows mají zásady, které určují, jak dlouho vyprší platnost uživatelských hesel.

Přehled vlastností uživatelského účtu

Vlastnosti uživatelského účtu obsahují velkou sadu různých parametrů umístěných na několika kartách při prohlížení v konzole" Active Directory – uživatelé a počítače“ a při instalaci různých softwarových produktů se sada vlastností může rozšířit.

Podívejme se na nejdůležitější nemovitosti z pohledu administrativy.

Otevřeme konzoli" Active Directory – uživatelé a počítače“ a podívejte se na vlastnosti uživatele, kterého jsme právě vytvořili.

Záložka " Generál". Tato karta obsahuje především referenční údaje, které mohou být velmi užitečné při hledání uživatelů v doménové struktuře AD. Nejzajímavější z nich jsou:

  • " Jméno "
  • " Příjmení "
  • " Zobrazovaný název "
  • " Popis "
  • " Telefonní číslo "
  • " E-mail "

Záložka " Adresa" - referenční informace pro vyhledávání v AD.

Záložka " Účet" - velmi důležitá sada parametrů (parametry " Přihlašovací jméno uživatele"A" Přihlašovací jméno uživatele (starší než Windows 2000)" diskutované výše při vytváření uživatele):

  • tlačítko" Čas vstupu" - dny a hodiny, kdy se uživatel může přihlásit do domény;
  • tlačítko" Přihlaste se do…" - seznam počítačů, ze kterých se může uživatel přihlásit do systému (zaregistrovat se v doméně);
  • Pole typu zaškrtávacího políčka " Blokovat účet" - tato možnost je dostupná až po uzamčení účtu po určitém počtu neúspěšných pokusů o přihlášení stanoveného politikami (pokusy s nesprávným heslem), slouží k ochraně před hacknutím hesla cizího účtu metodou hrubou silou; pokud dojde k určitému počtu neúspěšných pokusů, poté dojde k automatickému uzamčení uživatelského účtu, pole se zpřístupní a bude v něm nastaveno zaškrtnutí, které může administrátor odstranit ručně, nebo bude odstraněno automaticky po uplynutí stanoveného intervalu podle zásad hesel;
  • " Nastavení účtu" (první tři parametry byly diskutovány výše):
    • " Při příštím přihlášení vyžadovat změnu hesla "
    • " Zabránit uživateli ve změně hesla "
    • " Heslo nemá datum vypršení platnosti "
    • " Zakázat účet" - vynucená deaktivace účtu (uživatel se nebude moci přihlásit do domény);
    • " Pro online přihlášení je vyžadována čipová karta" - přihlášení do domény nebude probíhat pomocí hesla, ale pomocí čipové karty (k tomu musí mít počítač uživatele čtečku čipových karet, čipové karty musí obsahovat certifikáty vytvořené certifikační autoritou);
  • " Datum vypršení platnosti účtu" - nastavuje datum, od kterého nebude tento účet platný při registraci v doméně (tento parametr je vhodné nastavit pro zaměstnance najaté na brigády, lidi, kteří přijedou do firmy na služební cestu, studenty na praxi v organizaci, atd.)

Záložky " Telefony ", " Organizace" - referenční informace o uživateli pro vyhledávání v AD.

Záložka " Profil "

Profil (profil) jsou nastavení pracovního prostředí uživatele. Profil obsahuje: nastavení plochy (barva, rozlišení obrazovky, obrázek na pozadí), nastavení prohlížení složek počítače, nastavení internetového prohlížeče a dalších programů (například umístění složek pro programy rodiny Microsoft Office). Pro každého uživatele se při prvním přihlášení k počítači automaticky vytvoří profil. Rozlišují se následující typy profilů:

  • místní- uloženo ve složce " Dokumenty a nastavení" na diskovém oddílu, kde je nainstalován operační systém;
  • přemístitelný(síť, popř roaming) – jsou uloženy na serveru ve sdílené složce, načteny do uživatelské relace na libovolném počítači, ze kterého se uživatel přihlásil (zaregistroval) do domény, což uživateli umožňuje mít stejné pracovní prostředí na libovolném počítači (cesta k složka profilu je na této kartě uvedena ve tvaru adresy \\server\share\%username% , kde server je název serveru, share je název sdílené složky, %username% je název složky s profil pomocí systémové proměnné prostředí Windows s názvem %username% umožňuje nastavit název složky s profilem, odpovídající uživatelskému jménu);
  • povinné (povinné) - uživatel může změnit nastavení tohoto typu profilu pouze v aktuální relaci Windows, změny se při odhlášení neukládají;

Parametr Logon Script definuje spustitelný soubor, který se stáhne do počítače a spustí se při přihlášení uživatele. Spustitelný soubor může být dávkový soubor (.bat, .cmd), spustitelný program (.exe, .com), soubor skriptu (.vbs, js).

Záložka " Člen skupin" - umožňuje spravovat seznam skupin, do kterých tento uživatel patří.

Záložka " Příchozí hovory ".

Řízení přístupu uživatelů k podnikovému systému pomocí nástrojů pro vzdálený přístup Windows Server (například přes modem nebo připojení VPN). V smíšený režim Doména Windows jsou jediné dostupné možnosti" Povolit přístup"A" Odepřít přístup", stejně jako parametry zpětného volání (" Zpětné volání serveru"). V režimech " Windows 2000 základní"A" Windows 2003"Přístup lze řídit pomocí zásad serveru vzdáleného přístupu (nezaměňovat se zásadami skupiny). Tento problém je podrobněji popsán v části o nástrojích vzdáleného přístupu.

Záložky " Profil terminálových služeb ", " středa ", " Relace ", " Dálkové ovládání" - tyto karty ovládají pracovní nastavení uživatele na terminálovém serveru:

  • správa uživatelských oprávnění k práci na terminálovém serveru;
  • umístění profilu při práci v terminálové relaci,
  • nastavení uživatelského prostředí v terminálové relaci (spuštění konkrétního programu nebo režimu plochy, připojení lokálních disků a tiskáren uživatele k terminálové relaci);
  • správa uživatelské relace na terminálovém serveru (doba trvání relace, časový limit nečinnosti relace, parametry pro opětovné připojení k odpojené relaci);
  • Umožňuje správci připojit se k terminálové relaci uživatele.


Oblíbené v kategorii:
Územní schéma nakládání s odpady: kdo to řídil?
Územní schéma nakládání s odpady: kdo to řídil?
číst
Je možné vypálit Windows 7 na USB flash disk?
Je možné vypálit Windows 7 na USB flash disk?
číst
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst

Nejnovější články
Samsung Galaxy se sám restartuje -...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
číst
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Nahoru