Adresářová služba Active Directory. Vytvořte uživatelský účet domény

Adresářová služba Active Directory. Vytvořte uživatelský účet domény

Místní uživatelský účet umožňuje uživateli přihlásit se k místnímu počítači za účelem přístupu k místním zdrojům. V síťovém prostředí však uživatelé potřebují přístup ke zdrojům umístěným jinde v síti. Pro přístup k těmto prostředkům je vyžadován uživatelský účet domény. Když je vytvořen uživatelský účet domény, je umístěn do adresářové služby Active Directory a je přístupný z libovolného počítače, který patří do dané domény. Na druhé straně v pracovní skupině existuje uživatelský účet pouze na místním počítači.

a) Uživatelské účty domény definované uživatelem

Uživatelské účty domény definované uživatelem jsou účty, které správce vytváří, aby umožnil uživatelům přihlásit se do domény a přistupovat k síťovým zdrojům. Uživatelské účty domény definované uživatelem jsou vytvořeny na řadiči domény. Tento řadič domény replikuje informace o novém uživatelském účtu na všechny řadiče v doméně. Během procesu přihlášení uživatel zadá uživatelské jméno a heslo a také doménu, ve které účet existuje. První dostupný řadič domény používá tyto informace k ověření uživatelského účtu.

b) Vestavěné uživatelské účty (doména)

Kromě toho, že umožňuje administrátorům definovat nové doménové uživatelské účty, nabízí operační systém Win2000 dva vestavěné doménové uživatelské účty, Administrator a Guest. Tyto předdefinované uživatelské účty jsou podobné předdefinovaným uživatelským účtům, které existují na místních počítačích v pracovních skupinách. Hlavním rozdílem je, že tyto účty vám umožňují přístup k celé doméně.

c) Správce

Vestavěný účet správce spravuje veškerou konfiguraci počítače a domény. Pomocí tohoto účtu může správce vytvářet uživatelské a skupinové účty, spravovat zabezpečení, spravovat tiskárny a přidělovat oprávnění uživatelským účtům. Tento účet lze přejmenovat, ale nelze jej smazat.

Vestavěný účet hosta umožňuje jednorázovým uživatelům přístup k síťovým zdrojům. Například v systému s nízkou úrovní zabezpečení může zaměstnanec, který potřebuje krátkodobý přístup ke zdrojům, použít účet hosta. Ve výchozím nastavení je tento účet zakázán.

e) Active Directory Users and Computers Utility

Operační systém Win2000 nabízí nástroj s názvem Active Directory UandC, který umožňuje správcům spravovat uživatelské účty v adresářové službě Active Directory. Tento nástroj je nainstalován v počítačích, které jsou nakonfigurovány jako řadiče domény. Chcete-li pracovat s obslužným programem Active Directory UandC, musíte být přihlášeni do domény Win2000 (nikoli místního počítače) a mít dostatečná práva k provádění příslušných úloh.

Pomocí nástroje Uživatelé a počítače služby Active Directory můžete v doméně provádět následující úlohy:

  • přidávat nebo mazat uživatelské účty;
  • povolit a zakázat uživatelské účty;
  • najít nebo přesunout uživatelské účty;
  • přejmenovat uživatelské účty;

resetovat uživatelská hesla.
12. Skupiny. Skupiny na místním počítači. Skupiny na řadiči domény. Vestavěné a standardní skupiny v doméně. Vytváření skupin v doméně. Typy skupin a jejich rozsah.

Skupina - toto je sada uživatelských účtů. Přístupová oprávnění lze nastavit pro všechny členy skupiny současně a není nutné je nastavovat jednotlivě. Jakmile máte pro skupinu zabezpečený přístup, můžete do této skupiny jednoduše přidat příslušné uživatele. Můžete použít výchozí nebo vestavěné skupiny poskytované operačním systémem Win2000 nebo můžete vytvořit nové skupiny podle potřeb vaší organizace. Skupina může existovat buď pouze na místním počítači, nebo na počítačích v rámci jedné domény nebo na počítačích v několika doménách.

Skupiny na místním počítači:

Na místních počítačích (počítače, které jsou řadiči domény) můžete vytvořit místní skupiny pouze v místní databázi zabezpečení. Skupina umístěná v počítači, který není řadičem domény, poskytuje zabezpečení a přístup pouze k tomuto místnímu počítači. Chcete-li například uživateli udělit administrátorská práva na místním počítači, jednoduše přidejte uživatele do skupiny Administrators na tomto počítači pomocí nástroje Místní uživatelé a skupiny.

Skupiny na řadiči domény:

Na řadiči domény se skupiny vytvářejí v adresářové službě Active Directory. Skupina umístěná na řadiči domény může zahrnovat uživatele z celé domény nebo z více domén. Chcete-li například uživatelům udělit práva správce, jsou přidáni do skupiny Administrators na řadiči domény pomocí nástroje Uživatelé a počítače služby Active Directory.

Vestavěné a standardní skupiny v doméně:

Stejně jako klientské počítače a členské servery mají řadiče domény vestavěné výchozí skupiny. Kromě vestavěných skupin mají řadiče domény standardní výchozí skupiny. Když se počítač stane řadičem domény, Windows 2000 Advanced Server automaticky vytvoří tyto skupiny v modulu snap-in Uživatelé a počítače služby Active Directory. Stejně jako vestavěné místní skupiny poskytují tyto skupiny předdefinovaná práva, která určují, jaké systémové úlohy může uživatel nebo vestavěná nebo standardní skupina provádět.

Standardní skupiny s globálním rozsahem jsou umístěny ve složce Uživatelé. Místní skupiny vestavěné domény jsou umístěny ve složce Builtin. V systému Windows 2000 zahrnují výchozí skupiny domén následující skupiny.

  • Vestavěné místní skupiny domény. Tyto skupiny poskytují uživatelům předdefinovaná práva a oprávnění k provádění úkolů v adresářové službě Active Directory a na řadičích domény. Vestavěné místní skupiny domény jsou umístěny pouze v řadičích domény. Tyto skupiny nelze smazat.
  • Speciální skupiny. Tyto skupiny automaticky organizují uživatelské účty pro potřeby systému. Správci nepřiřazují uživatele do těchto skupin. Místo toho jsou uživatelé buď ve výchozím nastavení členy, nebo se stávají členy prostřednictvím svých online aktivit. Speciální skupiny existují na všech počítačích se systémem Windows 2000. Pokud se například uživatelé připojí ke sdílené složce na vzdáleném počítači, stanou se členy skupiny Network System. Speciální skupiny se nezobrazují v modulu snap-in Uživatelé a počítače služby Active Directory.
  • Standardní globální skupiny . Tyto skupiny umožňují správci snadno spravovat všechny uživatele v doméně. Standardní globální skupiny jsou k dispozici pouze na řadičích domény. Tyto skupiny jsou umístěny ve složce User modulu snap-in Uživatelé a počítače služby Active Directory.

Vytváření skupin v doméně:

Při vytváření skupin pro použití v doméně postupujte podle těchto pokynů.

  • Určete požadovaný rozsah skupiny na základě toho, jak bude použita. Chcete-li například seskupit uživatelské účty, použijte globální skupinu. Naopak k udělení oprávnění k prostředku použijte místní skupinu domény.
  • Zjistěte, zda máte potřebná oprávnění k vytvoření skupiny v příslušné doméně.

a) Ve výchozím nastavení mají členové skupin Administrators nebo Account Operators potřebná oprávnění k vytváření skupin.

b) Správce může uživateli udělit oprávnění k vytváření skupin v doméně.

  • Definujte název skupiny. Vyberte si intuitivní název, který odráží účel skupiny, kterou vytváříte. Tento přístup je zvláště užitečný, pokud správci jiných domén potřebují vyhledat tuto skupinu v adresářové službě Active Directory.

Skupiny se vytvářejí a odstraňují v modulu snap-in Uživatelé a počítače služby Active Directory. Skupiny můžete vytvořit ve výchozí složce Uživatelé nebo v jakékoli nově vytvořené složce. Pokud již skupina není potřeba, je třeba ji odstranit, abyste jí náhodou neudělili žádná oprávnění.

Chcete-li vytvořit skupinu, otevřete modul snap-in Uživatelé a počítače služby Active Directory. Klepněte pravým tlačítkem myši na složku, ve které bude skupina umístěna, vyberte možnost Nová a klepněte na položku Skupina. Následující tabulka popisuje možnosti v dialogovém okně Nový objekt – skupina.

Typy skupin:

Adresářová služba Active Directory poskytuje podporu pro různé typy skupin a oborů skupin v doméně. Vzhledem k tomu, že skupiny jsou uloženy v Active Directory, lze je používat na libovolném počítači v síti. Typ skupiny určuje úkoly, které lze pomocí ní spravovat. Rozsah skupiny určuje, zda skupina zahrnuje více domén nebo je omezena na jednu doménu. Každý typ skupiny v doméně má atribut rozsahu, který určuje, jak se skupina použije v síti.

V adresářové službě Active Directory existují dva typy skupin.

1) Bezpečnostní skupiny. Skupiny zabezpečení by se měly používat pro účely související se zabezpečením, jako je udělování oprávnění k přístupu ke zdrojům. Můžete je také použít k odesílání e-mailových zpráv více uživatelům. Když odešlete e-mail skupině, budou zprávy odeslány všem členům této skupiny. Skupiny zabezpečení proto sdílejí některé funkce s distribučními skupinami.

2) Distribuční skupiny. Skupiny zabezpečení používají aplikace jako seznamy k provádění funkcí nesouvisejících se zabezpečením, jako je odesílání e-mailů skupinám uživatelů. Oprávnění nelze udělit pomocí skupin zabezpečení. Přestože skupiny zabezpečení mají schopnosti distribučních skupin, jsou stále vyžadovány, protože některé aplikace mohou pracovat pouze s distribučními skupinami.

Rozsahy skupin:

Rozsah skupiny určuje, kde v doménách se skupina používá. Rozsah ovlivňuje členství ve skupině a příloha skupiny. Nesting je přidání skupiny do jiné skupiny jako člena. Windows 2000 má tři obory skupin.

1) Rozsah globální skupiny. Tento rozsah se používá k seskupení uživatelů, kteří mají podobné požadavky na přístup k síti. Globální skupinu můžete použít k udělení oprávnění zdrojům umístěným v jakékoli doméně.

a) Členství v globálních skupinách je omezené. Uživatelské účty a globální skupiny se přidávají pouze z domény, ve které je globální skupina vytvořena.

b) Globální skupiny mohou být vnořeny do jiných skupin. Tato funkce umožňuje přidat globální skupinu do jiné globální skupiny ve stejné doméně nebo do univerzálních nebo místních skupin v jiných doménách.

2) Rozsah místní skupiny domény. Tento obor se používá k udělení oprávnění prostředkům domény umístěným ve stejné doméně, ve které je vytvořena místní skupina domény. Prostředek nemusí být umístěn na řadiči domény.

a) Členství v místních skupinách domény je otevřené. Uživatelské účty, univerzální skupiny a globální skupiny se přidávají z libovolné domény.

b) Lokální skupiny domény nelze vnořovat do jiných skupin; to znamená, že lokální skupinu domény nelze přidat do žádné jiné skupiny, ani do skupiny umístěné ve stejné doméně.

3) Rozsah univerzální skupiny. Uděluje oprávnění přidruženým zdrojům ve více doménách. Univerzální skupiny se používají k udělení oprávnění zdrojům umístěným v jakékoli doméně.

a) Členství v univerzálních skupinách je otevřené. Členem může být jakýkoli uživatelský účet nebo skupina.

b) Univerzální skupiny mohou být vnořeny do jiných skupin. Tato funkce umožňuje přidat danou univerzální skupinu do univerzální skupiny nebo do doménové lokální skupiny umístěné v libovolné doméně.


13. Obecná uživatelská práva. Práva přiřazená vestavěným skupinám (výchozí).

Pracovní skupina.

Práva se nevztahují na konkrétní zdroj, ale na celý systém a ovlivňují chod počítače nebo domény jako celku. Všichni uživatelé přistupující k síťovým zdrojům potřebují určitá obecná práva k počítači, na kterém pracují, například právo přihlásit se k počítači nebo změnit na něm systémový čas. Správci mohou skupinám uživatelů nebo jednotlivým uživatelům přidělovat konkrétní obecná práva. Operační systém Windows 2000 navíc ve výchozím nastavení uděluje určitá práva vestavěným skupinám. Uživatelská práva určují, kteří uživatelé mohou provádět konkrétní práci na počítači nebo doméně.

Obecná uživatelská práva:

Práva umožňují uživateli přihlášenému k počítači nebo síti provádět v tomto systému určité akce. Pokud uživatel nemá oprávnění k provedení operace, pokus o provedení této operace bude zablokován.

Uživatelská práva se mohou vztahovat jak na jednotlivé uživatele, tak na skupiny. Nejlepší je však spravovat uživatelská práva spoluprací se skupinami. Tím je zajištěno, že uživatel, který se přihlásí jako člen skupiny, automaticky obdrží všechna práva spojená s touto skupinou. Operační systém Windows 2000 poskytuje správci možnost přidělovat práva uživatelům a skupinám uživatelů. Obecná uživatelská práva zahrnují právo místního přihlášení, právo změnit systémový čas, právo vypnout systém a právo přístupu k tomuto počítači ze sítě.

  • Místní přihlášení

Toto právo umožňuje uživateli přihlásit se k místnímu počítači nebo doméně z místního počítače.

  • Změna systémového času

Toto právo umožňuje uživateli nastavit vnitřní hodiny počítače.

  • Vypínání systému

Toto právo umožňuje uživateli vypnout místní počítač.

  • Přístup k tomuto počítači ze sítě

Toto právo umožňuje uživateli přistupovat k počítači se systémem Windows 2000 z jakéhokoli jiného počítače v síti.

Oprávnění přiřazená vestavěným skupinám (výchozí):

Operační systém Windows 2000 ve výchozím nastavení uděluje určitá práva integrovaným skupinám, jako jsou Administrators, Users, Power Users a Backup Operators.

1) Administrátoři

Správci je integrovaná skupina, která existuje v počítačích, které jsou řadiči domény, i v počítačích, které nejsou řadiči domény. Členové této skupiny mají plnou kontrolu nad počítačem nebo doménou. Správci. Jediná vestavěná skupina, které jsou automaticky udělena všechna vestavěná práva v systému.

2) Uživatelé

Uživatelé je integrovaná skupina, která existuje v počítačích, které jsou řadiči domény, i v počítačích, které nejsou řadiči domény. Členové této skupiny mohou provádět pouze ty úlohy, pro které mají specifická práva, jako je spouštění aplikací, používání místních a síťových tiskáren a vypínání a zamykání pracovních stanic. Členové skupiny Users mohou vytvářet místní skupiny a mohou je upravovat, ale nemohou sdílet složky ani vytvářet místní tiskárny.

3) Pokročilí uživatelé

Power Users je integrovaná skupina, která existuje v počítačích, které nejsou řadiči domény. Členové skupiny Power Users mohou provádět specifické administrativní funkce, ale nemají práva, která jim dávají plnou kontrolu nad systémem. Skupina Power Users má následující práva.

  • Vytvořte uživatelské a skupinové účty na místním počítači.
  • Úpravy a mazání účtů, které vytvořili.
  • Poskytování sdíleného přístupu ke zdrojům. Členové skupiny Power Users však nemohou provádět následující akce:
  • Změňte skupiny Administrators a Backup Operators.
  • Archivujte nebo obnovte složky z archivu.

4) Operátoři archivu

Backup Operators je integrovaná skupina, která existuje v počítačích, které jsou řadiči domény, i v počítačích, které nejsou řadiči domény. Členové skupiny Backup Operators mohou archivovat a obnovovat soubory z archivu bez ohledu na to, jakými oprávněními jsou soubory chráněny. Členové skupiny Backup Operators se mohou přihlásit a vypnout počítač, ale nemohou měnit nastavení zabezpečení.

pracovní skupina:

Pracovní skupina je malá skupina počítačů v síti, které spolupracují a nevyžadují centralizovanou správu.

Pracovní skupina má následující charakteristiky.

  • Přidělování prostředků, správa a ověřování se provádějí na každém počítači pracovní skupiny samostatně.
  • Každý počítač má nainstalovanou vlastní lokální databázi SAM (Security Accounts Manager). Uživatel musí mít uživatelský účet na každém počítači, na kterém hodlá pracovat.
  • Počet počítačů nepřesahuje deset. Tyto počítače mohou provozovat serverové produkty Windows 2000, ale každý má svou vlastní databázi SAM. Pokud počet počítačů v pracovní skupině přesáhne 10, je správa obtížnější. Počet současných připojení k počítači se systémem Windows 2000 Professional nesmí překročit 10.

14. Nastavení protokolu TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP adresování. Automatické přidělování IP adres. Nakonfigurujte TCP/IP pro použití statické adresy IP. Verifikace a testování protokolu TCP/IP.

Nastavení protokolu TCP/IP. DHCP adresace:

Pokud byl protokol TCP/IP nakonfigurován tak, aby automaticky získal IP adresu, pak po instalaci protokolu TCP/IP klientský počítač získá IP adresu jedním ze dvou způsobů:

  • ze serveru DHCP;
  • pomocí automatického přidělování privátních adres APIPA (Automatic Private IP Addressing).

Server DHCP automaticky přiřadí adresu IP a nastavení protokolu TCP/IP, jako je adresa IP serveru DNS, serveru WINS a výchozí brány. Následující postup se používá k automatickému přiřazení adresy IP serverem DHCP.

1. Klientský počítač požaduje IP adresu od serveru DHCP.

2. Server DHCP přidělí klientskému počítači adresu IP.

Měli byste se ujistit, že nastavení protokolu TCP/IP je nakonfigurováno tak, aby klientský počítač mohl automaticky získat adresu IP ze serveru DHCP. Ve výchozím nastavení jsou tato nastavení konfigurována automaticky ve Windows 2000. Pokud z nějakého důvodu klientský počítač není nakonfigurován tak, aby automaticky získal IP adresu, můžete nakonfigurovat TCP/IP ručně.

Automatické přidělování IP adres:

Nástroj Automatic Private IP Address Assignment Tool umožňuje vytvořit IP adresu v případě, že klientský počítač není schopen získat IP adresu ze serveru DHCP. Tento nástroj pouze přiřadí IP adresu a masku podsítě, ale neposkytuje další informace o nastavení, jako je výchozí brána. V důsledku toho je omezená schopnost klientského počítače připojit se k místní síti: nemůže se připojit k jiným sítím ani k Internetu.

Když spustíte počítač, který nemá IP adresu, dojde k následujícímu:

1. Klientský počítač se pokusí zjistit server DHCP a získat z něj informace o nastavení protokolu TCP/IP.

2. Pokud klientský počítač nezjistí server DHCP, nakonfiguruje svou adresu IP a masku podsítě výběrem síťové adresy třídy B 169.254.0.0 z rozsahu adres IP vyhrazeného společností Microsoft s maskou podsítě 255.255.0.0.

Konfigurace TCP/IP pro použití statické IP adresy:

Někdy je potřeba ručně nakonfigurovat statické adresy IP pro počítače v síti, která podporuje službu serveru DHCP. Například počítač, který podporuje službu serveru DHCP, nelze nakonfigurovat tak, aby automaticky přijímal adresu IP. Někdy je navíc nutné zachovat stejnou IP adresu pro poštovní server a webový server. V takových případech byste měli tyto počítače nakonfigurovat se statickou IP adresou.

Při nastavování statické adresy IP musíte nakonfigurovat masku podsítě a výchozí bránu pro každou síťovou kartu v počítači pomocí protokolu TCP/IP. Níže je tabulka, která ukazuje nastavení protokolu TCP/IP.

Možnosti nastavení Popis
IP adresa 32bitová adresa identifikující hostitele TCP/IP. Každá síťová karta v počítači s protokolem TCP/IP vyžaduje jedinečnou adresu IP, která je obvykle uvedena v desítkové soustavě (například 192.168.0.108). Každá adresa se skládá ze dvou částí: síťového identifikátoru, který identifikuje všechny uzly v jedné síti, a identifikátoru uzlu, který identifikuje konkrétní uzel v této síti. V tomto příkladu je ID sítě 192.168.0 a ID hostitele je 108 na základě výchozí masky podsítě.
Maska podsítě Hodnota, která určuje, ke které podsíti je počítač připojen. Velký intranet je rozdělen do několika podsítí propojených směrovači. Hodnota masky podsítě ukazuje, která část adresy IP hostitele je identifikátor sítě a která část je identifikátor hostitele. Když se hostitelé pokoušejí komunikovat mezi sebou, jejich masky podsítě se používají k určení, zda je koncový hostitel místní nebo vzdálený.
Hlavní brána Směrovač, do kterého bude hostitel přeposílat všechny IP pakety pro vzdálené sítě, pokud pro tyto sítě nemá specifickou trasu. Výchozí brána je obvykle nakonfigurována se směrovacími informacemi, které jí umožňují předávat pakety do cílové sítě nebo jiných zprostředkujících směrovačů. Chcete-li komunikovat s hostitelem v jiné síti, musíte nakonfigurovat adresu IP pro výchozí bránu.

Kontrola a testování protokolu TCP/IP:

Po konfiguraci TCP/IP byste měli pomocí příkazů ipconfig a ping otestovat nastavení vašeho místního počítače, abyste se ujistili, že se může připojit k síti TCP/IP.

1) Příkaz Ipconfig:

Příkaz ipconfig umožňuje zobrazit na obrazovce testovaného počítače informace o nastavení vlastností protokolu TCP/IP a určit, zda je na počítači inicializován. Následně je ověřena správnost zobrazených informací.

2) Příkaz ping:

Příkaz ping je diagnostický nástroj, který ověřuje nastavení protokolu TCP/IP mezi dvěma počítači a identifikuje chyby připojení. Příkaz ping stanoví schopnost komunikovat s jiným hostitelem pomocí protokolu TCP/IP.

Kontrola a testování protokolu TCP/IP:

Kombinací příkazů ipconfig a ping můžete zkontrolovat konfiguraci protokolu IP místního počítače a připojení IP dvou počítačů v síti. Postup pro společné použití příkazů ipconfig a ping je následující:

1) Do příkazového řádku zadejte příkaz ipconfig. Z příkazu ipconfig získáte následující výstup.

  • Pokud je TCP/IP inicializováno, spuštěním příkazu ipconfig se zobrazí IP adresa a maska ​​podsítě každé síťové karty ve vašem počítači. Kromě toho se zobrazí další možnosti nastavení, jako je výchozí brána.
  • Pokud existuje duplicitní IP adresa, příkaz ipconfig zobrazí zprávu oznamující, že IP adresa byla nakonfigurována; hodnota masky podsítě je však 0.0.0.0., což znamená, že tato adresa je již v síti používána. Služba Automatic Private IP Assignment má vždy ID sítě 169.254.0.0. Pokud zadáte ID sítě začínající 169.254.x.x., nezískáte adresu IP ze serveru DHCP, ale prostřednictvím služby Automatické přidělování privátní adresy IP.

2) Spusťte ping 127.0.0.1 s adresou zpětné smyčky, abyste ověřili, že je protokol TCP/IP správně nainstalován. Adresa zpětné smyčky je adresa, kterou počítač používá k identifikaci.

Příkaz ping používá syntaxi ping IP_address, kde IP_address je adresa jiného hostitele nebo počítače s nainstalovaným TCP/IP.

3) Otestujte IP adresu místního počítače, abyste se ujistili, že je vaše adresa správně nakonfigurována.

4) Otestujte IP adresu výchozí brány, abyste zajistili, že váš počítač může komunikovat s místní sítí. Chcete-li se ujistit, že počítač lze připojit k místní síti, měli byste odeslat požadavek na jakýkoli jiný počítač v této místní síti. Nejčastěji se však pro tento účel používá výchozí brána, protože obvykle není nikdy zakázána.

5) Otestujte IP adresu vzdáleného hostitele, abyste se ujistili, že počítač může komunikovat se směrovačem.

Ve výchozím nastavení, pokud jsou příkazy ping úspěšné, zobrazí se čtyři identické zprávy následujícího typu: Odpověď přijata z odpovídající IP adresy


Související informace.


Instrukce

Vytvořením domácí sítě můžete uspořádat přístup k síťové tiskárně pro všechny počítače ve vaší pracovní skupině. Chcete-li to provést, musíte je odpovídajícím způsobem nakonfigurovat, konkrétně nastavit adresy IP, zadat názvy počítačů a přidat je do jedné skupiny. Všechna potřebná nastavení, jejichž hodnoty budete měnit, se nacházejí v systémové složce „Ovládací panely“.

Nejprve je potřeba pojmenovat počítače a definovat jejich pracovní skupinu. Chcete-li to provést, přejděte na plochu a klikněte pravým tlačítkem myši na ikonu „Tento počítač“. V kontextové nabídce, která se otevře, vyberte „Vlastnosti“. Zobrazí se aplet „Vlastnosti systému“, ke kterému lze rychle přistupovat pomocí kombinace kláves Win + Pause Break.

V tomto apletu přejděte na kartu Název počítače. Je vhodné vytvořit seznam počítačů, ve kterém uvedete nejen jejich jména, ale také jejich IP adresy. Pomocí tohoto seznamu pojmenujte každý počítač. Chcete-li změnit název, klikněte na tlačítko Změnit ve spodní části apletu. V okně, které se otevře, nahraďte předchozí název tím, který jste nedávno přidali do seznamu.

Na této záložce můžete také nastavit název pracovní skupiny. Výchozí hodnota je Workgroup. Doporučuje se nahradit jej jednodušším názvem, například Net nebo Connect. Klepnutím na tlačítko OK uložte změny. Před vámi se objeví malé okno s upozorněním, že jste se připojili k nové pracovní skupině. V dolní části okna „Vlastnosti systému“ se zobrazí upozornění s výzvou k restartování systému, ale to se zatím nevyplatí, takže po kliknutí na tlačítko „OK“ vyberte „Ne“.

Nyní zbývá pouze přidělit každému počítači vlastní IP adresu, aby nebylo narušeno pořadí, ve kterém jsou v síti identifikovány. Klikněte na nabídku Start, vyberte Ovládací panely. Ve složce, která se otevře, dvakrát klikněte na ikonu „Síťová připojení“, klikněte pravým tlačítkem na položku „Připojení k místní síti“ a vyberte „Vlastnosti“.

Klepněte pravým tlačítkem myši na řádek „Protokol (TCP/IP)“ a vyberte „Vlastnosti“. Přejděte do bloku „Použít následující adresu IP“ a zadejte individuální hodnotu pro každý počítač s rozdílem jedné jednotky. Například „Dmitry“ - 192.168.1.3; "Pavel" - 192.168.1.4 atd. Za zmínku stojí, že ve spojení s 192.168.1.x se doporučuje začít počítat od čísla 3, protože první dvě hodnoty používá router a modem.

Ve všech oknech klikněte na tlačítko „OK“ a odpovězte na žádost o restart kladně nebo záporně, pokud existují neuložené dokumenty. Poté se restartujte pomocí nabídky Start.

Alexandr Emeljanov

Správa účtů v doméně Active Directory

Jedním z nejdůležitějších úkolů administrátora je správa lokálních a doménových účtů: auditování, kvóty a diferenciace uživatelských práv podle jejich potřeb a firemní politiky. Co může Active Directory v tomto ohledu nabídnout?

V pokračování série článků o Active Directory si dnes povíme něco o centrálním odkazu v procesu administrace – správě uživatelských přihlašovacích údajů v rámci domény. Budeme zvažovat:

  • vytváření a správa účtů;
  • typy uživatelských profilů a jejich aplikace;
  • bezpečnostní skupiny v AD doménách a jejich kombinace.

Nakonec budete moci tyto materiály použít k vybudování fungující infrastruktury nebo k úpravě stávající infrastruktury, která bude splňovat vaše požadavky.

Při pohledu do budoucna řeknu, že téma úzce souvisí s používáním skupinových zásad pro administrativní účely. Ale vzhledem k obsáhlosti materiálu jim věnovaného to bude zveřejněno v příštím článku.

Představujeme službu Active Directory – uživatelé a počítače

Poté, co jste nainstalovali svůj první řadič v doméně (tedy jste vlastně uspořádali doménu), objeví se v části „Administrace“ pět nových prvků (viz obrázek 1).

Ke správě AD objektů slouží Active Directory – Uživatelé a počítače (ADUC – AD Users and Computers, viz obr. 2), kterou lze také vyvolat přes menu „Spustit“ pomocí DSA.MSC.

Pomocí ADUC můžete vytvářet a odstraňovat uživatele, přiřazovat přihlašovací skripty k účtu a spravovat členství ve skupině a zásady skupiny.

Existuje také možnost spravovat objekty AD bez přímého přístupu k serveru. Poskytuje jej balíček ADMINPAK.MSI umístěný v adresáři „%SYSTEM_DRIVE%\Windows\system32“. Když jej nasadíte na svůj počítač a udělíte si práva správce domény (pokud jste žádné neměli), budete moci doménu spravovat.

Když otevřeme ADUC, uvidíme naši doménovou větev obsahující pět kontejnerů a organizačních jednotek.

  • vestavěný. Obsahuje vestavěné místní skupiny, které se nacházejí na jakémkoli serveru, včetně řadičů domény.
  • Uživatelé a počítače. Toto jsou kontejnery, do kterých jsou uživatelé, skupiny a účty počítačů ve výchozím nastavení umístěny při instalaci nad Windows NT. Ale pro vytváření a ukládání nových účtů není potřeba používat pouze tyto kontejnery, uživatel může být dokonce vytvořen v kontejneru domény. Když připojíte počítač k doméně, zobrazí se v kontejneru Počítače.
  • Ovladače domén. Toto je organizační jednotka (OU, Organizational Unit), která ve výchozím nastavení obsahuje řadiče domény. Když vytvoříte nový ovladač, zobrazí se zde.
  • Zahraniční bezpečnostní ředitelé. Toto je výchozí kontejner pro objekty z externích důvěryhodných domén.

Je důležité si uvědomit, že GPO jsou vázány výhradně na doménu, organizační jednotku nebo web. To je třeba vzít v úvahu při vytváření administrativní hierarchie vaší domény.

Zadání počítače do domény

Postup se provádí přímo na lokálním počítači, který chceme připojit.

Vyberte „Tento počítač -> Vlastnosti -> Název počítače“, klikněte na tlačítko „Změnit“ a v nabídce „Je členem“ vyberte „doménu“. Zadáme název domény, do které chceme přidat náš počítač, a následně prokážeme, že máme práva k přidávání pracovních stanic do domény zadáním autentizačních údajů správce domény.

Vytvořte uživatele domény

Chcete-li vytvořit uživatele, musíte vybrat jakýkoli kontejner, ve kterém se bude nacházet, kliknout na něj pravým tlačítkem a vybrat „Vytvořit -> Uživatel“. Otevře se Průvodce vytvořením uživatele. Zde můžete specifikovat mnoho jejích atributů, od uživatelského jména a časového rámce pro přihlášení do domény až po nastavení pro terminálové služby a vzdálený přístup. Po dokončení průvodce obdržíte nového uživatele domény.

Je třeba poznamenat, že během procesu vytváření uživatele může systém „nadávat“ na nedostatečnou složitost hesla nebo jeho stručnost. Požadavky můžete zmírnit otevřením „Výchozí nastavení zabezpečení domény“ a poté „Nastavení zabezpečení -> Zásady účtu -> Zásady hesel“.

Vytvořme uživatele Ivan Ivanov v kontejneru Users (User Logon Name: [e-mail chráněný]). Pokud v systémech NT 4 toto jméno hrálo pouze roli dekorace, pak v AD je součástí názvu ve formátu LDAP, který vypadá úplně takto:

cn="Ivan Ivanov", cn="Uživatelé", dc="hq", dc="místní"

Zde cn je název kontejneru, dc je komponenta domény. Popisy objektů ve formátu LDAP se používají ke spouštění skriptů WSH (Windows Script Hosts) nebo pro programy, které ke komunikaci s Active Directory používají protokol LDAP.

Pro přihlášení do domény bude muset Ivan Ivanov použít jméno ve formátu UPN (Universal Principal Name): [e-mail chráněný]. Také v AD doménách bude jasné hláskovat jméno ve starém formátu NT 4 (před Win2000), v našem případě HQ\Ivanov.

Po vytvoření uživatelského účtu je mu automaticky přidělen bezpečnostní identifikátor (SID, Security Identifier) ​​– jedinečné číslo, podle kterého systém identifikuje uživatele. To je velmi důležité pochopit, protože když smažete účet, jeho SID se také smaže a nikdy se znovu nepoužije. A každý nový účet bude mít své vlastní nové SID, proto nebude moci získat práva a výsady starého.

Účet lze přesunout do jiného kontejneru nebo OU, zakázat nebo naopak povolit, zkopírovat nebo změnit heslo. Kopírování se často používá k vytvoření více uživatelů se stejným nastavením.

Uživatelské pracovní prostředí

Pověření uložená centrálně na serveru umožňují uživatelům jedinečně se identifikovat v doméně a získat příslušná práva a přístup k pracovnímu prostředí. Všechny operační systémy řady Windows NT používají uživatelský profil k vytvoření pracovního prostředí na klientském počítači.

Místní profil

Podívejme se na hlavní součásti uživatelského profilu:

  • Klíč registru odpovídající konkrétnímu uživateli („úl“ nebo „úl“). Data pro tuto větev registru jsou ve skutečnosti uložena v souboru NTUSER.DAT. Nachází se ve složce %SYSTEMDRIVE%\Documents and Settings\User_name, která obsahuje uživatelský profil. Když se tedy konkrétní uživatel přihlásí do systému, klíč registru HKEY_CURRENT_USER se načte s podregistrem NTUSER.DAT ze složky obsahující jeho profil. A všechny změny nastavení uživatelského prostředí během relace se uloží do tohoto „úlu“. Soubor NTUSER.DAT.LOG je protokol transakcí, který existuje k ochraně souboru NTUSER.DAT. Je však nepravděpodobné, že jej najdete pro výchozího uživatele, protože se jedná o šablonu. Více o tom později. Správce má možnost upravovat úl konkrétního uživatele přímo z jeho pracovního prostředí. K tomu musí pomocí editoru registru REGEDIT32 načíst podregistr do sekce HKEY_USERS a poté jej po provedení změn uvolnit.
  • Složky systému souborů obsahující soubory uživatelských nastavení. Jsou umístěny ve speciálním adresáři %SYSTEMDRIVE%\Documents and Settings\User_name, kde User_name je jméno uživatele přihlášeného do systému. Zde se ukládají položky plochy, položky při spuštění, dokumenty atd.

Když se uživatel poprvé přihlásí, dojde k následujícímu:

  1. Systém zkontroluje, zda pro tohoto uživatele existuje lokální profil.
  2. Když jej systém nenajde, obrátí se na řadič domény při hledání výchozího profilu domény, který by měl být umístěn ve složce Výchozí uživatel na sdílené složce NETLOGON; pokud systém detekuje tento profil, zkopíruje se lokálně v počítači do složky %SYSTEMDRIVE%\Documents and Settings s uživatelským jménem, ​​jinak se zkopíruje z místní složky %SYSTEMDRIVE%\Documents and Settings\Default User.
  3. Uživatelský podregistr je načten do klíče registru HKEY_CURRENT_USER.
  4. Když se odhlásíte, všechny změny se uloží lokálně.

V konečném důsledku je pracovní prostředí uživatele kombinací jeho pracovního profilu a profilu Všichni uživatelé, který obsahuje nastavení společná pro všechny uživatele daného stroje.

Nyní pár slov o vytvoření výchozího profilu pro doménu. Vytvořte na svém počítači fiktivní profil, nakonfigurujte jej podle svých potřeb nebo požadavků podnikové politiky. Poté se odhlaste a znovu přihlaste jako správce domény. Vytvořte složku Výchozí uživatel ve sdílené složce serveru NETLOGON. Dále pomocí záložky Profily uživatelů v apletu Systém (viz Obrázek 3) zkopírujte svůj profil do této složky a udělte práva k jeho použití skupině Domain Users nebo jiné vhodné skupině zabezpečení. To je vše, výchozí profil pro vaši doménu byl vytvořen.

Roamingový profil

Active Directory jako flexibilní a škálovatelná technologie vám umožňuje pracovat ve vašem podnikovém prostředí s roamingovými profily, o kterých budeme hovořit dále.

Zároveň by bylo vhodné hovořit o přesměrování složek jako o jedné z možností technologie IntelliMirror pro zajištění odolnosti proti chybám a centralizovaného ukládání uživatelských dat.

Roamingové profily jsou uloženy na serveru. Cesta k nim je uvedena v nastavení uživatele domény (viz obr. 4).

V případě potřeby můžete určit roamingové profily pro několik uživatelů současně výběrem několika uživatelů a ve vlastnostech v záložce „Profil“ zadat místo složky s uživatelským jménem %USERNAME% (viz obr. 5).

První proces přihlášení pro uživatele s cestovním profilem je podobný tomu, který je popsán výše pro místního uživatele, s některými výjimkami.

Za prvé, protože cesta k profilu je uvedena v objektu uživatele, systém zkontroluje přítomnost místní kopie profilu uložené v mezipaměti na počítači, pak je vše, jak je popsáno.

Za druhé, po dokončení práce se všechny změny zkopírují na server, a pokud zásady skupiny neurčují odstranění místní kopie, uloží se na tento počítač. Pokud již uživatel měl místní kopii profilu, server a místní kopie profilu se porovnají a sloučí.

Technologie IntelliMirror v nejnovějších verzích systému Windows umožňuje přesměrovat určité uživatelské složky, jako jsou „Dokumenty“, „Obrázky“ atd., na síťový prostředek.

Všechny provedené změny tak budou pro uživatele naprosto transparentní. Uložením dokumentů do složky „My Documents“, která bude samozřejmě přesměrována na síťový zdroj, nebude mít ani podezření, že se vše ukládá na server.

Přesměrování můžete nakonfigurovat buď ručně pro každého uživatele, nebo pomocí zásad skupiny.

V prvním případě musíte kliknout na ikonu „Dokumenty“ na ploše nebo v nabídce „Start“ pravým tlačítkem myši a vybrat vlastnosti. Pak je vše extrémně jednoduché.

Za druhé, musíte otevřít skupinovou politiku organizační jednotky nebo domény, pro kterou chceme přesměrování použít, a rozbalit hierarchii „Konfigurace uživatele -> Konfigurace Windows“ (viz obr. 6). Dále se nakonfiguruje přesměrování buď pro všechny uživatele, nebo pro konkrétní skupiny zabezpečení organizační jednotky nebo domény, na kterou bude tato zásada skupiny aplikována.

Pomocí přesměrování složek pro práci s cestovními uživatelskými profily můžete dosáhnout například zkrácení doby načítání profilu. To je za předpokladu, že cestovní profil je vždy načten ze serveru bez použití místní kopie.

Žádná diskuse o technologii přesměrování složek by nebyla úplná bez zmínky o offline souborech. Umožňují uživatelům pracovat s dokumenty, i když není k dispozici připojení k síti. K synchronizaci se serverovými kopiemi dokumentů dojde při příštím připojení počítače k ​​síti. Toto organizační schéma bude užitečné například pro uživatele notebooků pracujících jak v lokální síti, tak doma.

Nevýhody roamingových profilů zahrnují následující:

  • Může nastat situace, kdy například na ploše uživatele budou zástupci některých programů, ale na jiném počítači, kde chce vlastník roamingového profilu pracovat, takové programy nainstalovány nejsou, a proto se některé ze zástupců nenainstalují. práce;
  • mnoho uživatelů má ve zvyku ukládat dokumenty, fotografie a dokonce i videa na plochu, v důsledku toho se při stahování roamingového profilu ze serveru pokaždé vytvoří další provoz v síti a samotný profil zabere dlouhá doba načítání; k vyřešení problému použijte oprávnění NTFS k omezení ukládání „nezbytků“ na ploše;
  • pokaždé, když se uživatel přihlásí do systému, vytvoří se mu lokální profil (přesněji se profil zkopíruje lokálně ze serveru), a pokud změní fungující stroje, takové „smetí“ zůstane na každém z nich; tomu lze předejít konfigurací skupinových zásad určitým způsobem (zásady „Konfigurace počítače -> Šablony pro správu -> Systém -> Uživatelské profily“, „Smazat kopie roamingových profilů uložené v mezipaměti“).

Přidání existujícího uživatele do domény

Při implementaci adresářové služby v existující síti založené na pracovních skupinách často vyvstává otázka, jak uvést uživatele do domény bez ztráty nastavení jeho pracovního prostředí. Toho lze dosáhnout pomocí roamingových profilů.

Vytvořte složku se jménem uživatele ve sdílené síťové složce (například Profily) na serveru a udělte jí oprávnění k zápisu do skupiny Everyone. Nechte jej nazvat HQUser a úplná cesta k němu vypadá takto: \\Server\Profiles\HQUser.

Vytvořte uživatele domény, který bude odpovídat uživateli ve vaší místní síti, a jako cestu k profilu zadejte \\Server\Profiles\HQUser.

Na počítači, který obsahuje místní profil našeho uživatele, se musíme přihlásit jako správce a pomocí záložky Profily uživatelů apletu Systém jej zkopírovat do složky \\Server\Profiles\HQUser.

Je snadné pochopit, že až se příště přihlásíme do systému pod novým doménovým účtem, náš uživatel si stáhne svůj pracovní profil ze serveru a administrátor se bude muset pouze rozhodnout, zda tento profil ponechá jako roamingový, nebo jej provede místní.

Kvóty

Uživatelé velmi často zatěžují síťové disky nepotřebnými informacemi. Chcete-li se vyhnout neustálým žádostem o vymazání vašich osobních složek od zbytečného odpadu (z nějakého důvodu se to vždy ukáže jako nezbytné), můžete použít mechanismus kvót. Počínaje Windows 2000 to lze provést pomocí standardních nástrojů na svazcích NTFS.

Chcete-li povolit mechanismus kvót a nakonfigurovat jej, musíte přejít do vlastností místního svazku a otevřít kartu „Kvóta“ (viz obr. 7).

Můžete také zobrazit data o obsazeném místě na disku a nastavit kvóty zvlášť pro každého uživatele (viz obr. 8). Systém vypočítá obsazené místo na disku na základě údajů o vlastníkovi objektů a sečte objem souborů a složek, které vlastní.

Skupiny uživatelů v AD

Správa uživatelů v rámci domény není obtížný úkol. Pokud však potřebujete nakonfigurovat přístup k určitým zdrojům pro několik desítek (nebo dokonce stovek) uživatelů, může distribuce přístupových práv zabrat spoustu času.

A pokud je potřeba jemně vymezit práva účastníků v několika doménách v rámci stromu nebo lesa, je správce postaven před úkol podobný problémům z teorie množin. Zde přichází na pomoc použití skupin.

Hlavní charakteristiky skupin nalezených v rámci domény byly uvedeny v předchozím článku o architektuře adresářových služeb.

Dovolte mi připomenout, že místní skupiny domény mohou zahrnovat uživatele ve své doméně a další domény v doménové struktuře, ale jejich rozsah je omezen na doménu, do které patří.

Globální skupiny mohou zahrnovat pouze uživatele ve vlastní doméně, ale lze je použít k poskytování přístupu k prostředkům v rámci vlastní domény i jiné domény v doménové struktuře.

Univerzální skupiny, jak jejich název napovídá, mohou obsahovat uživatele z libovolné domény a lze je také použít k poskytování přístupu v celé doménové struktuře. Nezáleží na tom, v jaké doméně bude univerzální skupina vytvořena, jediné, co stojí za zvážení, je to, že při jejím přesunu dojde ke ztrátě přístupových práv a bude nutné je znovu přiřadit.

Abychom pochopili výše uvedené a základní principy skupinového vnořování, podívejme se na příklad. Mějme les obsahující dvě domény HQ.local a SD.local (která z nich je kořenová v tomto případě není důležitá). Každá doména obsahuje prostředky ke sdílení a uživatele (viz obrázek 9).

Z Obr. Obrázek 9 ukazuje, že prostředky Docs a Distrib musí být přístupné všem uživatelům v doménové struktuře (zelená a červená čára), takže můžeme vytvořit univerzální skupinu obsahující uživatele z obou domén a použít ji při zadávání oprávnění pro přístup k oběma zdrojům. Nebo můžeme v každé doméně vytvořit dvě globální skupiny, které budou obsahovat pouze uživatele z jejich domény, a zahrnout je do univerzální skupiny. Kteroukoli z těchto globálních skupin lze také použít k přiřazení práv.

Do adresáře Base by měli mít přístup pouze uživatelé z domény HQ.local (modré čáry), proto je zařadíme do skupiny lokálních domén a udělíme přístup této skupině.

Jak členové domény HQ.local, tak členové domény SD.local budou moci používat adresář Distrib (oranžové čáry na obrázku 9). Proto můžeme přidat uživatele Manager a Plat do globální skupiny domény HQ.local a poté přidat tuto skupinu do místní skupiny domény SD.local spolu s uživatelem IT. Poté této místní skupině udělte přístup k prostředku Distrib.

Nyní se podíváme na vnořování těchto skupin podrobněji a zvážíme další typ skupiny – vestavěné skupiny lokálních domén.

Tabulka ukazuje, do kterých skupin lze vnořit. Zde jsou skupiny umístěné vodorovně, do kterých jsou vnořeny skupiny umístěné svisle. Plus znamená, že jeden typ skupiny může být vnořen do jiného, ​​mínus nikoli.

Na nějakém zdroji na internetu věnovanému certifikačním zkouškám Microsoft jsem viděl zmínku o takovém vzorci - AGUDLP, což znamená: účty jsou umístěny v globálních skupinách (Global), které jsou umístěny v univerzálních skupinách (Universal), které jsou umístěny v lokální skupiny skupiny domén (Domain Local), na které se vztahují oprávnění (Permissions). Tento vzorec plně popisuje možnost vnoření. Je třeba dodat, že všechny tyto typy lze vnořit do lokálních skupin jednoho stroje (skupiny lokálních domén výhradně v rámci jejich domény).

Vnořování doménových skupin

Hnízdění

Místní skupiny

Globální skupiny

Univerzální skupiny

Účet

Místní skupiny

+ (s výjimkou vestavěných místních skupin a pouze v rámci vlastní domény)

Globální skupiny

+ (pouze v rámci vaší vlastní domény)

Univerzální skupiny

Místní skupiny vestavěné domény jsou umístěny v kontejneru Builtin a jsou ve skutečnosti místními skupinami počítače, ale pouze pro řadiče domény. A na rozdíl od skupin lokálních domén nelze kontejner Users přesunout do jiných organizačních jednotek.

Správné pochopení procesu správy účtu vám umožní vytvořit jasně nakonfigurované podnikové pracovní prostředí poskytující flexibilitu správy a především odolnost a zabezpečení domény. V příštím článku si povíme o skupinových zásadách jako nástroji pro tvorbu uživatelského prostředí.

Aplikace

Nuance autentizace domény

Při použití lokálních profilů může nastat situace, kdy se uživatel domény pokusí přihlásit k pracovní stanici, která má jeho lokální profil, ale z nějakého důvodu nemá přístup k řadiči. Překvapivě uživatel úspěšně projde autentizací a bude mu umožněno pracovat.

K této situaci dochází kvůli ukládání pověření uživatele do mezipaměti a lze ji opravit provedením změn v registru. Chcete-li to provést, ve složce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon vytvořte (pokud tam žádná není) položku s názvem CachedLogonCount, datovým typem REG_DWORD a nastavte její hodnotu na nulu. Podobného výsledku lze dosáhnout pomocí skupinových zásad.

  1. Emelyanov A. Principy budování domén Active Directory, // „Správce systému“, č. 2, 2007 – s. 38-43.

Od čtenářů dostávám mnoho e-mailů popisujících problémy, se kterými se setkávají při vytváření nebo správě účtů. Mnoho správců má problémy, protože při konfiguraci nedopatřením vynechávají důležité prvky nebo nedodržují systém. Rozhodl jsem se proto znovu projít základy vytváření a správy účtů a poskytnout vám několik tipů, které vám tento proces usnadní.

Uživatelský účet obsahuje jméno a heslo pro přihlášení k místnímu počítači nebo doméně. V Active Directory (AD) může uživatelský účet obsahovat také další informace, jako je celé jméno uživatele, e-mailová adresa, telefonní číslo, oddělení a fyzická adresa. Uživatelský účet navíc slouží jako prostředek pro přidělování oprávnění, přihlašovacích skriptů, profilů a domovských adresářů.

Místní účty vs účty domény

Když se uživatelé přihlásí k místnímu počítači, nikoli k doméně, používají místní účty. V prostředí pracovní skupiny (peer-to-peer – peer-to-peer) poskytují místní účty funkci přihlášení pro uživatele místního počítače a poskytují vzdáleným uživatelům přístup k prostředkům počítače. Někteří uživatelé mohou mít například přístup k datům na serveru a používat místní účet k přihlášení do takového systému.

Většina uživatelských účtů v podnikové síti je však založena na doméně a poskytuje práva a oprávnění pro celou doménu. Pokud to doménový účet výslovně nezakazuje, mohou se uživatelé přihlásit do domény pomocí doménového účtu na jakékoli pracovní stanici. Po registraci dostanou uživatelé specifická oprávnění k síťovým prostředkům pro účet domény.

Doménové účty ale nemají jen uživatelé. V doméně představují účty fyzické záznamy, které mohou odpovídat počítači, uživateli nebo skupině. Uživatelské účty, účty počítačů a účty skupin jsou principály (autorizátory) – objekty adresářových služeb, kterým jsou automaticky přiřazena čísla SID, která určují přístup k prostředkům domény.

Dvě nejdůležitější použití doménových účtů jsou ověřování uživatelů a povolení nebo odepření přístupu k prostředkům domény. Autentizace umožňuje uživatelům registrovat se do počítačů a domén s vlastnostmi, které jsou ověřeny doménovými službami. Doména povoluje nebo zakazuje přístup k prostředkům domény na základě oprávnění, která uživatel získá členstvím v jedné nebo více skupinách domén.

Vestavěné účty domény

Po vytvoření domény systém Windows automaticky vygeneruje několik uživatelských účtů. Windows 2000 má vestavěné účty Administrator a Guest. Domény Windows Server 2003 mají třetí vestavěný účet s názvem HelpAssistant, který se automaticky vytvoří při prvním spuštění vzdálené pomoci. Každý z těchto vestavěných účtů má jinou sadu oprávnění.

Účet správce má sadu oprávnění Úplné řízení pro všechny prostředky domény a může přidělovat oprávnění uživatelům v doméně. Ve výchozím nastavení je účet správce členem následujících skupin:

  • Správci
  • Správci domény
  • Uživatelé domény
  • Enterprise Admins
  • Vlastníci tvůrců zásad skupiny
  • Správci schémat

Někteří správci přejmenují nebo zakážou účet správce, aby uživatelům ztížili přístup k řadiči domény (DC). Místo toho by se administrátoři mohli zaregistrovat u účtů, které jsou členy stejných skupin, což by jim poskytlo dostatečná práva ke správě domény. Pokud je účet správce deaktivován, můžete tento účet použít k získání přístupu k DC v případě potřeby spuštěním DC v nouzovém režimu (účet správce je vždy k dispozici v nouzovém režimu).

Účet hosta umožňuje uživatelům, kteří nemají účet, zaregistrovat se do domény. Účet hosta nevyžaduje heslo, ale můžete pro něj nastavit oprávnění stejně jako pro jakýkoli uživatelský účet. Účet hosta je členem skupin Hosté a Hosté domény. Je jasné, že možnost registrace na doméně pro každého, kdo nemá skutečný účet, představuje určité riziko, a proto většina administrátorů tento účet nepoužívá. V systému Windows 2003 je účet Guest ve výchozím nastavení zakázán. Chcete-li zakázat účet hosta ve Windows 2000, musíte na něj klepnout pravým tlačítkem v modulu snap-in Uživatelé a počítače Active Directory konzoly Microsoft Management Console (MMC) a z nabídky vybrat možnost Zakázat.

Účet HelpAssistant byl zaveden pouze ve Windows 2003. Služba Remote Desktop Help Session Manager vytvoří a spravuje tento účet, když uživatel požádá o relaci vzdálené pomoci.

Vytvořte uživatelské účty domény

Uživatelské účty domény jsou vytvářeny na DC jako funkce AD. Musíte otevřít modul snap-in Uživatelé a počítače služby Active Directory a poté rozbalit příslušnou doménu (pokud jich je několik). Na rozdíl od Windows NT 4.0, Windows 2000 a Windows 2003 oddělují procesy vytváření a konfigurace účtů: správce nejprve vytvoří uživatele a přidružené heslo a poté je nakonfiguruje nastavením členství ve skupinách.

Chcete-li vytvořit nového uživatele domény, klepněte pravým tlačítkem myši na kontejner Users a poté výběrem položky Nový, Uživatel otevřete dialogové okno Nový objekt – Uživatel, které ukazuje Obrázek 1. Dále musíte zadat uživatelské jméno a přihlašovací jméno. Systém Windows automaticky připojí aktuální příponu domény k přihlašovacímu jménu, které se nazývá hlavní přípona uživatele (přípona UPN). Můžete vytvořit další přípony UPN a vybrat příponu pro nového uživatele v poli se seznamem. Můžete také zadat jiné uživatelské jméno pro registraci v doméně z počítačů NT 4.0 a Windows 9.x (předchozí jméno je ve výchozím nastavení nahrazeno).

Poté kliknutím na tlačítko Další nakonfigurujte heslo uživatele, jak ukazuje obrázek 2. Ve výchozím nastavení systém Windows nutí uživatele, aby si při příštím přihlášení změnili heslo, takže pro každého nového uživatele můžete použít výchozí heslo společnosti a poté dát uživatelům. možnost zadání nového hesla po první vlastní registraci. Dále musíte vybrat možnosti hesla, které chcete pro tohoto uživatele nastavit. Nakonec musíte kliknout na Další, abyste viděli přehled vybraných nastavení, a poté kliknutím na Dokončit vytvořte uživatelský účet v AD.

Vlastnosti uživatelského účtu

Chcete-li nakonfigurovat nebo změnit vlastnosti uživatelského účtu domény, musíte jej vybrat v seznamu a dvakrát kliknout pravým tlačítkem myši. Obrazovka 3 zobrazuje kategorie nastavení.

Karta Member Of řídí členství uživatele ve skupině (a tedy i oprávnění a práva uživatele v doméně). Ve výchozím nastavení systém Windows umístí nový uživatelský účet do skupiny Domain Users. Některým uživatelům to stačí a není třeba dělat nic jiného. Ostatním uživatelům, jako jsou manažeři oddělení nebo pracovníci IT, musí být přiděleno členství ve skupinách, které jim umožní provádět potřebné úkoly. Chcete-li nastavit členství ve skupině, klikněte na Přidat a poté vyberte příslušnou skupinu pro uživatele, jehož účet upravujete. Pokud vestavěné skupiny neposkytují přesně tu správnou sadu oprávnění pro vaše potřeby, měli byste si vytvořit vlastní skupiny.

Vytváříme šablony

Systém Windows umožňuje kopírovat uživatelské účty, čímž je proces vytváření šablon rychlejší a efektivnější. Nejlepší způsob, jak využít tuto funkci, je vytvořit několik šablon uživatelských účtů a tyto účty pak přeměnit na skutečné. Protože oprávnění a práva jsou nejdůležitější (a potenciálně nebezpečné) vlastnosti, měli byste vytvářet šablony v kategoriích podle členství ve skupině. Začnete šablonou pro standardního uživatele (tj. člena pouze skupiny Domain Users), poté vytvoříte šablony, které mají specifické kombinace členství ve skupinách. Můžete například vytvořit uživatelskou šablonu s názvem Power s členstvím ve skupině Power Users bez omezení doby přihlášení nebo uživatelskou šablonu s názvem DialUp s předdefinovaným nastavením telefonického připojení. Následně při vytváření nových účtů můžete vybrat vhodnou šablonu a upravit ji.

Objevil jsem několik užitečných technik pro vytváření a kopírování šablon:

  • přiřaďte šablonám názvy, které začínají 0, aby se všechny objevily společně v horní části seznamu uživatelských souborů;
  • přiřadit všem šablonám stejné heslo;
  • deaktivujte všechny účty šablon (klikněte pravým tlačítkem na soubor a vyberte možnost Zakázat).

Chcete-li vytvořit účet pro nového uživatele ze šablony, klikněte pravým tlačítkem na seznam šablon a vyberte Kopírovat. V dialogovém okně Kopírovat objekt – uživatel musíte zadat uživatelské jméno a přihlašovací jméno pro nově vytvořenou položku a poté kliknutím na Další nastavte heslo nového uživatele, jak je popsáno níže.

  1. Zadejte standardní firemní heslo a přidělte je novému uživateli.
  2. Vymažte buňky hesla nikdy nevyprší a účet je zakázán.
  3. Zaškrtněte políčko Při příštím přihlášení musí uživatel změnit heslo.
  4. Klepněte na tlačítko Další a potom na tlačítko Dokončit.

Není třeba se obtěžovat s kartou Člen, protože systém již zkopíroval členství ve skupinách z uživatelské šablony. V podstatě, pokud není potřeba zaznamenávat telefonní číslo a adresu uživatele, nemůžete na zbývajících kartách nic dělat. Systém zkopíruje všechny běžné atributy. Můžete však přidat další atributy pro automatické kopírování nebo můžete zabránit kopírování určitých atributů úpravou schématu AD.

Katie Ivensová- Editor časopisu Windows 2000 Magazine. Přispěla do více než 40 počítačových knih, včetně Windows 2000: The Complete Reference (Osborne/McGraw-Hill). Lze ji kontaktovat na:

Každý ví, že po instalaci operačního systému je počítač zpočátku zařazen do pracovní skupiny (standardně do WORKGROUP). V pracovní skupině je každý počítač nezávislým autonomním systémem, ve kterém je databáze SAM (Security Accounts Manager). Když se člověk přihlásí k počítači, zkontroluje se, zda má účet v SAM a podle těchto záznamů jsou mu přidělena určitá práva. Počítač, který je zadán do domény, si nadále udržuje svou databázi SAM, ale pokud se uživatel přihlásí pod doménovým účtem, pak je kontrolován vůči řadiči domény, tzn. Počítač důvěřuje řadiči domény, aby identifikoval uživatele.

Existují různé způsoby, jak přidat počítač do domény, ale než to uděláte, musíte se ujistit, že počítač splňuje následující požadavky:

Máte právo připojit počítač k doméně (ve výchozím nastavení mají toto právo Enterprise Admins, Domain Admins, Administrators, Account Admins);

Objekt počítače je vytvořen v doméně;

K počítači, ke kterému se připojujete, musíte být přihlášeni jako místní správce.

U mnoha administrátorů může druhý bod vyvolat rozhořčení – proč vytvářet počítač v AD, když se po přidání počítače do domény objeví v kontejneru Počítače. Jde o to, že v kontejneru Počítače nemůžete vytvářet rozdělení, ale co je horší, nemůžete s kontejnerem svázat objekty zásad skupiny. Proto se doporučuje vytvořit objekt počítače v požadované organizační jednotce a nespokojit se s automaticky vytvořeným účtem počítače. Automaticky vytvořený počítač můžete samozřejmě přesunout na požadované oddělení, ale správci na takové věci často zapomínají.

Nyní se podívejme na způsoby, jak vytvořit počítač (počítače) v AD:

Vytváření počítačů pomocí modulu snap-in Uživatelé a počítače služby Active Directory.

Pro tuto metodu budeme muset na našem počítači spustit modul snap-in „Uživatelé a počítače Active Directory“ pomocí Admin Pack nebo na řadiči domény. Chcete-li to provést, klikněte na " Start - Ovládací panely - Systém a zabezpečení - Správa -" vyberte požadované oddělení, klikněte na něj pravým tlačítkem, z kontextové nabídky vyberte " Vytvořit - Počítač".

Zadejte název počítače.

Vytvořte účet počítače pomocí příkazu DSADD.

Celkový pohled na příkaz:

počítač dsadd [-desc<описание>] [-loc<расположение>] [-memberof<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Parametry:

Popis hodnoty
Požadovaný parametr. Určuje rozlišující název (DN) počítače, který má být přidán.
-desc<описание> Určuje popis počítače.
-lok<размещение> Určuje umístění počítače.
-příslušník<группа...> Přidá počítač do jedné nebo více skupin definovaných seznamem DN oddělených mezerami<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>určuje připojení k řadiči domény (DC) s názvem<сервер>.
-d <домен>určuje připojení k DC v doméně<домен>.
Výchozí: DC v přihlašovací doméně.
-u<пользователь> Připojení pod jménem<пользователь>. Výchozí: přihlášené uživatelské jméno. Možné volby: uživatelské jméno, doména\uživatelské jméno, hlavní jméno uživatele (UPN).
-p (<пароль> | *} Uživatelské heslo<пользователь>. Pokud zadáte *, budete požádáni o heslo.
-q Tichý režim: Veškerý výstup je nahrazen standardním výstupem.
(-uc | -uco | -uci)

-uc Určuje formátování vstupu z kanálu nebo výstupu do kanálu v Unicode.
-uco Určuje, zda je výstup do kanálu nebo souboru formátován v Unicode.
-uci Určuje formátování vstupu z kanálu nebo souboru v Unicode.

Příklad použití příkazu Dsadd:

Dsadd počítač “CN=COMP001,OU=Moskva,OU=Oddělení,DC=pk-help,DC=com” –desc “počítač IT oddělení”

Stvořeníúčet pracovní stanice nebo serveru pomocí příkazu Netdom.

Obecný pohled na příkaz Netdom:

PŘIDAT NETDOM<компьютер> ]
<компьютер> toto je název počítače, který má být přidán
/Doména určuje doménu, ve které chcete vytvořit účet počítače
/UživatelD uživatelský účet, který se má použít při připojování k doméně určené argumentem /Domain
/HesloD Heslo uživatelského účtu určeného argumentem /UserD. Znak * označuje výzvu k zadání hesla
/Server Název řadiče domény použitého pro přidání. Tuto možnost nelze použít ve spojení s možností /OU.
/OU oddělení, ve kterém chcete vytvořit počítačový účet. Pro organizační jednotku je vyžadován plně kvalifikovaný název domény RFC 1779. Při použití tohoto argumentu musíte spustit přímo na zadaném řadiči domény. Pokud tento argument není zadán, bude účet vytvořen ve výchozí organizační jednotce pro počítačové objekty v této doméně.
/DC určuje, že chcete vytvořit počítačový účet řadiče domény. Tuto možnost nelze použít ve spojení s možností /OU.
/SecurePasswordPrompt K zadání přihlašovacích údajů použijte zabezpečené vyskakovací okno. Tuto možnost použijte, když potřebujete zadat přihlašovací údaje k čipové kartě. Tento parametr je účinný pouze v případě, že je heslo zadáno jako *.

Vytvoření objektu Computer pomocí Ldifde() a Csvde().

Správa počítačových účtů v Active Directory.

Přejmenování počítače na AD.

Spusťte příkazový řádek a pomocí příkazu Netdom přejmenujte počítač na AD:

Netdom přejmenovat počítač<Имя компьютера>/Nové jméno:<Новое имя>

Příklad: Netdom přejmenovatpočítač COMP01 /Nové jméno: COMP02

Odstranění počítačových účtů.

1 Odstraňte účet počítače pomocí modulu snap-in Active Directory – uživatelé a počítače". Spusťte modul snap-in" Active Directory – uživatelé a počítače"najděte požadovaný počítač, klikněte na něj pravým tlačítkem myši a vyberte z kontextové nabídky" Vymazat“, potvrďte smazání

2 Počítač můžete odebrat pomocí příkazu DSRM:

DSRM

DSRM CN=COMP001,OU=Moskva,OU=oddělení,DC=pk-help,DC=com
.

Řešení chyby "Nelze vytvořit vztah důvěryhodnosti mezi touto pracovní stanicí a primární doménou."

Někdy při pokusu o přihlášení k počítači uživatel obdrží zprávu „ Mezi touto pracovní stanicí a primární doménou se nepodařilo vytvořit vztah důvěryhodnosti". K této chybě dochází, když selže zabezpečený kanál mezi počítačem a řadičem domény. Chcete-li to vyřešit, musíte zabezpečený kanál resetovat. Můžete použít jednu z metod:

1 Přejděte do modulu snap-in „Uživatelé a počítače služby Active Directory“, najděte problémový počítač, klikněte na něj pravým tlačítkem myši a vyberte možnost „Obnovit účet“. Poté by měl být počítač znovu připojen k doméně a restartován.

2 Pomocí příkazu Netdom:

Netdom reset<имя машины>/doména<Имя домена>/Uživatel0<Имя пользователя>/Heslo0<Пароль> bez uvozovek<>

Příklad: Obnovení sítě COMP01 /doménový web /Uživatel0 Ivanov /Heslo *****

3 Pomocí příkazu Nltest:

Nltest/server:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru