Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 «Администрирование доменов»). Управление локальными учетными записями на контроллерах домена невозможно.
Оснастка Local Users and Groups
Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.
Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management
Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.
- Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
- Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
- SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.
Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.
Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.
Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.
- Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
- Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
- Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
- Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
- Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
- Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITYAuthenticated Users (S-1-5-11) и NT AUTHORITYINTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.
В системах Windows XP появились еще три группы.
- Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
- Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
- HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.
Еще четыре группы появились в системах Windows Server 2003.
- Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITYNETWORK SERVICE (S-l-5-20).
- Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
- Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
- TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.
Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.
Создание пользовательской учетной записи
Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).
Рис. 10.6. Создание новой локальной учетной записи
2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.
Рис. 10.7. Окно свойств локальной учетной записи пользователя
Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: » / [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).
Управление локальными группами
Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).
Рис. 10.8. Создание локальной группы
2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты ().
Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.
Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.
Изменение и удаление учетных записей
Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со «старыми» свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.
03.07.2009 —
Posted by |
ms windows server 2003
Sorry, the comment form is closed at this time.
In a Windows server environment, it is very important that only authenticated users are allowed to log in for security reasons. To fulfill this requirement the creation of User accounts and Groups is essential.
User Accounts
In Windows Server 2003 computers there are two types of user accounts. These types are local and domain user accounts. The local user accounts are the single user accounts that are locally created on a Windows Server 2003 computer to allow a user to log on to a local computer. The local user accounts are stored in Security Accounts Manager (SAM) database locally on the hard disk. The local user accounts allow you to access local resources on a computer
On the other hand the domain user accounts are created on domain controllers and are saved in Active Directory. These accounts allow to you access resources anywhere on the network. On a Windows Server 2003 computer, which is a member of a domain, you need a local user account to log in locally on the computer and a domain user account to log in to the domain. Although you can have a same login and password for both the accounts, they are still entirely different account types.
You become a local administrator on your computer automatically because local computer account is created when a server is created. A domain administrator can be local administrator on all the member computers of the domain because by default the domain administrators are added to the local administrators group of the computers that belong to the domain.
This article discusses about creating local as well as domain user accounts, creating groups and then adding members to groups.
Creating a Local User Account
To create a local user account, you need to:
1. Log on as Administrator, or as a user of local administrator group or Account Operators local group in the domain.
2. Open Administrative Tools in the Control Panel and then click Computer Management, as shown in Figure 1.
Figure 1
3. Click Users folder under Local Users and Groups node, as shown in Figure 2.
Figure 2
4. Right-click Users and then click New User in the menu that appears, as shown in Figure 3:
Figure 3
The New User dialog box appears as shown below in Figure 4.
5. Provide the User name and the Password for the user in their respective fields.
6. Select the desired password settings requirement.
Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.
7. Click Create , and then click Close:
Figure 4
The user account will appear on clicking Users node under Local Users and Groups on the right panel of the window.
You can now associate the user to a group. To associate the user to a group, you need to:
8. Click Users folder under Local Users and Groups node.
9. Right-click the user and then select Properties from the menu that appears, as shown in Figure 5:
Figure 5
The Properties dialog box of the user account appears, as shown in Figure 6:
10. Click Member of tab.
The group(s) with which the user is currently associated appears.
11. Click Add.
Figure 6
The Select Groups dialog box appears, as shown in Figure 7.
12. Select the name of the group/object that you want the user to associate with from the Enter the object names to select field.
If the group/object names do not appear, you can click Advanced button to find them. Also if you want to choose different locations from the network or choose check the users available, then click Locations or Check Names buttons.
13. Click OK .
Figure 7
The selected group will be associated with the user and will appear in the Properties window of the user, as shown in Figure 8:
Figure 8
Creating a Domain User Account
The process of creating a domain user account is more or less similar to the process of creating a local user account. The only difference is a few different options in the same type of screens and a few steps more in between.
For example you need Active Directory Users and Computers MMC (Microsoft Management Console) to create domain account users instead of Local Users and Computers MMC. Also when you create a user in domain then a domain is associated with the user by default. However, you can change the domain if you want.
Besides all this, although, a domain user account can be created in the Users container, it is always better to create it in the desired Organization Unit (OU).
To create a domain user account follow the steps given below:
1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.
2. Expand the OU in which you want to create a user, right-click the OU and select New->User from the menu that appears.
Figure 9
3. Alternatively, you can click on Action menu and select New->User from the menu that appears.
The New Object –User dialog box appears, as shown in Figure 10.
4. Provide the First name, Last name, and Full name in their respective fields.
5. Provide a unique logon name in User logon name field and then select a domain from the dropdown next to User logon name field if you want to change the domain name.
The domain and the user name that you have provided will appear in the User logon name (pre-Windows 2000) fields to ensure that user is allowed to log on to domain computers that are using earlier versions of Windows such as Windows NT.
Figure 10
6. Click Next.
The second screen of New Object –User dialog box appears similar to Figure 4.
7. Provide the User name and the Password in their respective fields.
8. Select the desired password settings requirement:
Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.
9. Click Next.
10. Verify the user details that you had provided and click Finish on the third screen of New Object –User dialog box.
11. Follow the steps 9-13 mentioned in Creating a Local User Account section to associate a user to a group.
Creating Groups
Just like user accounts, the groups on a Windows Server 2003 computer are also of two types, the built in local groups and built in domain groups. The example of certain built in domain groups are: Account Operators, Administrators, Backup Operators, Network Configuration Operators, Performance Monitor Users, and Users. Similarly certain built in local groups are: Administrators, Users, Guests, and Backup operators.
The built in groups are created automatically when the operating system is installed and become a part of a domain. However, sometimes you need to create your own groups to meet your business requirements. The custom groups allow you limit the access of resources on a network to users as per your business requirements. To create custom groups in domain, you need to:
1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.
2. Right-click the OU and select New->Group from the menu that appears.
The New Object –Group dialog box appears, as shown in Figure 10.
3. Provide the name of the group in the Group name field.
The group name that you have provided will appear in the Group name (pre-Windows 2000) field to ensure that group is functional on domain computers that are using earlier versions of Windows such as Windows NT.
4. Select the desired group scope of the group from the Group scope options.
If the Domain Local Scope is selected the members can come from any domain but the members can access resources only from the local domain.
If Global scope is selected then members can come only from local domain but can access resources in any domain.
If Universal scope is selected then members can come from any domain and members can access resources from any domain.
5. Select the group type from the Group Type options.
The group type can be Security or Distribution . The Security groups are only used to assign and gain permissions to access resources and Distribution groups are used for no-security related tasks such as sending emails to all the group members.
Figure 11
6. Click OK.
You can add members to group just as you add groups to members. Just right-click the group in Active Directory Users and Computers node in the Active Directory Users and Computers snap-in, select Properties, click Members tab from the Properties window of the group and then follow the steps from 11-13 from Creating Local User Accounts section.
Article Summary
Dealing with User & Group accounts in a Windows Server environment is a very important everyday task for any Administrator. This article covered basic administration of user and group accounts at both local and domain environments.
If you have found the article useful, we would really appreciate you sharing it with others by using the provided services on the top left corner of this article. Sharing our articles takes only a minute of your time and helps Firewall.cx reach more people through such services.
Back to Windows 2003 Server Section
Creating a New User on Windows Server 2003
Preface:
Even if you will not be using Terminal Services or have any
other users using your server it is ALWAYS recommended to create an additional
two (2) users, apart from Administrator. These two users are — another
member of the «Administrators» group (to avoid actually logging on with the
Administrator account, but you have the same privileges) AND a regular user, who
is part of the «Users» group. It is recommended to only log on with the
regular user, and use the «runas» command when you need to run a program as an
Administrator, and to only log on with the secondary Administrator user when it
is absolutely needed. This will show you how to create a secondary
Administrator.
Method:
Click the Start button, then Run…
Then type «lusrmgr.msc» without the quotes
In the window that opens, right click in the right panel and
click «New User»
In the New User dialog, type in your preferences for a new user
name and password (this will be our secondary Administrator account).
Uncheck User must change password, and check Password never expires
Now, right click the new user and click Properties in the pop up
menu
Go to the «Member of» tab and
press the Add button
Type «Administrators» without the quotes, then press the Check
Names button (to complete the name, it will add the name of your computer) and
press OK when it is done, then press OK on the Local Users and Groups dialog
We now have a secondary Administrator account! To have a regular
user (highly recommended) do the same as above, until the User properties.
My reasoning
Q: If I already made a new Administrator account why do I have
to make a user account?
A: You don’t have to, you never have to, but it is recommended
in case you stay logged on, and someone gains control of the desktop (locally or
remotely).
Q: Should I stay logged in with the Administrator account or the
plain user account?
A: You should log out when you are not doing work on the server
directly, however, if you have a program that requires you to be logged in for
it to work (a good example is the bandwidth monitoring program, DU Meter) then
you should stay logged in with the ordinary user account.
<— Go back to the main tutorial page
Copyright © 2002-2023 Jonathan Maltz. For trademark/copyright information,
click here. About me.
Main page. Contact me.
Аннотация: Материалы данной лекции посвящены способам идентификации и аутентификации пользователей, приведены примеры и принципы создания учетных записей пользователей
В любой защищенной среде вам нужен способ идентификации и аутентификации пользователей. Чтобы защитить локальные компьютеры и сетевые серверы от несанкционированного доступа, операционная система должна требовать, чтобы пользователь имел заранее созданный набор опознавательных данных, прежде чем ему будет разрешен доступ к локальным и сетевым ресурсам. В Windows Server 2003 этой цели отвечают пользовательские учетные записи.
Пользовательские учетные записи
Пользовательская учетная запись содержит пользовательское имя и пароль, которые используются человеком для входа на локальный компьютер или в домен. Кроме того, пользовательская учетная запись, в частности, в Active Directory, используется для идентификации пользователя с помощью таких данных, как полное имя, адрес электронной почты, номер телефона, отдел, адрес и другие поля данных, которые можно использовать по выбору. Пользовательские учетные записи используются также как средство предоставления полномочий пользователю, применения скриптов (сценариев) входа, назначения профилей и домашних папок, а также привязки других свойств рабочей среды для данного пользователя.
Локальные учетные записи
Локальные учетные записи создаются и сохраняются в базе данных безопасности компьютера. Локальные учетные записи используются чаще всего в среде рабочей группы, чтобы обеспечивать возможность входа для пользователей локального компьютера. Однако локальные учетные записи можно также использовать для защиты локальных ресурсов, доступ к которым хотят получать другие пользователи рабочей группы. Эти пользователи подсоединяются к ресурсу через локальную сеть, используя пользовательское имя и пароль, которые хранятся на компьютере, где находится этот ресурс (учетной записи должны быть предоставлены полномочия доступа к этому ресурсу). Но по мере роста числа рабочих станций локальные учетные записи и рабочие группы становятся непрактичны для управления доступом к локальным ресурсам. Решение заключаются в том, чтобы перейти к доменной среде и доменным учетным записям.
В некоторых случаях ваш сервер Windows Server 2003 может использоваться для особой цели, а не как централизованная точка для клиентских служб. Например, вы можете поддерживать базу данных, предназначенную только для локального доступа, или можете держать на этом сервере важную информацию. В таких ситуациях вам нужно создавать пользовательские учетные записи для сотрудников, которым разрешается доступ.
Доменные учетные записи
Информация доменных учетных записей хранится на контроллерах соответствующего домена. Они дают привилегии доступа во всем домене (то есть не локализуются для какого-либо конкретного компьютера). Пользователь может выполнять вход с любой рабочей станции в домене (если его доменная учетная запись не запрещает этого). После того, как пользователь выполнил вход, доменная учетная запись может предоставлять этому пользователю полномочия как по локальным, так и разделяемым сетевым ресурсам (в зависимости от конкретных полномочий, предоставляемых по каждому ресурсу). В Windows Server 2003 хранение и управление доменными учетными записями происходит в Active Directory. Главным преимуществом доменных учетных записей является то, что они позволяют осуществлять централизованное администрирование и применение средств безопасности.
Группы
Хотя вы можете предоставлять полномочия на уровне отдельных пользователей, это можно реализовать только при очень небольшом числе пользователей. Вообразите, что вы пытаетесь предоставить полномочия доступа к сетевой папке по отдельности 3000 пользователей.
Группа, как следует из ее названия, это группа пользователей. Вы не помещаете физически пользовательские учетные записи в группы; вместо этого пользовательские учетные записи получают членство в группах, то есть физически группы не содержат ничего. Вам может показаться, что об этом отличии не стоит говорить, но это единственный способ, позволяющий объяснить, что пользователь может принадлежать нескольким группам.
Группы могут быть вложены в другие группы, то есть группа может содержать не только пользователей, но и другие группы. Имеются четыре вида групп в зависимости от типа логической структуры сети, которую вы используете. Подробнее о группах см. в
«Управление группами и организационными единицами»
.
Управление доменными учетными записями
В домене учетные записи представляют какой-либо физический объект, такой как компьютер или человек, и пользовательские учетные записи могут также использоваться как выделенные служебные учетные записи для приложений, которым требуется это средство. Пользовательские учетные записи, компьютерные учетные записи и группы — все это так называемые принципалы (principal) безопасности. Принципалы безопасности — это объекты каталога, которым автоматически назначаются идентификаторы безопасности (security ID — SID), используемые для доступа к ресурсам в домене.
Два наиболее важных применения учетной записи — это аутентификация опознавательных данных («личности») пользователя и авторизация (санкционирование) или запрет доступа к ресурсам в домене. Аутентификация позволяет пользователям выполнять вход на компьютеры и в домены с помощью опознавательных данных, которые были аутентифицированы доменом. Доступ к доменным ресурсам санкционируется (или запрещается) в зависимости от полномочий, предоставленных данному пользователю (обычно на основании членства в одной или нескольких группах).
Встроенные доменные учетные записи
В Active Directory имеется контейнер Users, содержащий три встроенные пользовательские учетные записи: Administrator, Guest и HelpAssistant. Эти учетные записи создаются автоматически, когда вы создаете домен. Каждая из этих встроенных учетных записей имеет свой набор полномочий.
Учетная запись Administrator
Учетная запись Administrator имеет полномочия Full Control (Полный доступ) по всем ресурсам в домене и она позволяет назначать полномочия доменным пользователям. По умолчанию учетная запись Administrator является членом следующих групп:
- Administrators
- Domain Admins
- Enterprise Admins
- Group Policy Creator Owners
- Schema Admins
Вы не можете удалить учетную запись Administrator и не можете исключить ее из группы Administrators. Но вы можете переименовывать или отключать эту учетную запись, что делают некоторые администраторы, чтобы затруднить злоумышленникам попытки получения доступа к контроллеру домена (DC) с помощью этой учетной записи. После этого такие администраторы выполняют вход с помощью пользовательских учетных записей, являющихся членами перечисленных выше групп, чтобы выполнять администрирование домена.
Отключив учетную запись Administrator, вы можете все же использовать ее при необходимости для доступа к DC, загрузив этот DC в режиме Safe Mode (Безопасный режим; учетная запись Administrator всегда доступна в режиме Safe Mode). Более подробную информацию по этим функциям см. ниже в разделах «Переименование учетных записей» и «Отключение и включение учетных записей».
Учетная запись Guest используется для того, чтобы люди, не имеющие учетной записи в домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетная запись которого отключена (но не удалена), может выполнять вход с помощью учетной запись Guest. Учетная запись Guest не обязательно должна иметь пароль, и вы можете задавать полномочия для учетной запись Guest, как для любой другой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests.
Рассказывая о том, как и когда можно использовать учетную запись Guest, я должен указать, что в Windows Server 2003 учетная запись Guest отключена по умолчанию. Если у вас нет какой-либо особой причины для использования этой учетной запись, имеет смысл оставить ее в этом состоянии.
Эта учетная запись, используемая во время сеанса Remote Assistance (Удаленная поддержка), автоматически создается, когда вы запрашиваете Remote Assistance. Управление этой учетной записью осуществляет служба Remote Desktop Help Session Manager; эта учетная запись имеет ограниченные полномочия на данном компьютере.
Доменные пользовательские учетные записи
Доменные учетные записи создаются в Active Directory, который работает на контроллере домена (DC). Откройте оснастку Active Directory Users and Computers и раскройте нужный домен (если у вас более одного домена). В отличие от Windows N T, система Windows Server 2003 разделяет процессы, которые участвуют в создании пользователей. Сначала вы создаете пользователя и соответствующий пароль, а затем, в виде отдельного шага, конфигурируете детали для этого пользователя, включая его членство в группах.
Чтобы создать нового доменного пользователя, щелкните правой кнопкой на контейнере Users и выберите New/User (Создать/Пользователь), чтобы открыть диалоговое окно New Object-User (Новый объект — пользователь), см. рис. 12.1. (При вводе имени [first name], инициала [initial] и фамилии [last name] Windows Server 2003 автоматически заполняет поле Full name [Полное имя].)
Рис.
12.1.
Создание пользователя начинается с ввода базовой информации
Введите имя входа пользователя (User logon name). У вас должна быть разработана схема именования, которая обеспечивает единообразие во всей организации. Например, вы можете использовать первую букву имени плюс фамилию, полное имя плюс первые несколько букв фамилии пользователя, форму имя.фамилия или какой-то другой принцип, который можно соблюдать на всем предприятии.
Добавьте к имени входа суффикс основного имени пользователя (UPN — user principal name). В раскрывающемся списке выводятся доступные суффиксы UPN. Пока вы не создадите дополнительные UPN, в раскрывающемся списке будет представлен текущий суффикс домена. Более подробную информацию см. ниже в разделе «Управление основными именами пользователей (UPN)».
Вы можете также ввести пользовательское имя для входа в домен с компьютеров, работающих под управлением Windows 9x/NT (pre-Windows 2000). Windows Server 2003 предлагает то же самое имя, что обычно подходит для вас, но вы можете при желании задать другое имя входа.
Щелкните на кнопке Next, чтобы задать пароль этого пользователя (рис. 12.2). По умолчанию Windows Server 2003 вынуждает пользователя сменить пароль при его следующем входе. Это означает, что вы можете использовать стандартный пароль компании для каждого нового пользователя и затем позволить этому пользователю создать собственный пароль при его первом входе. Выберите вариант изменения пароля, который хотите задать для этого пользователя.
Рис.
12.2.
Создайте пароль и выберите вариант изменения пароля для этого пользователя
Щелкните на кнопке Next, чтобы увидеть сводку выбранных параметров, и затем щелкните на кнопке Finish, чтобы создать этого пользователя в Active Directory. (Более подробную информацию по паролям см. ниже в разделе «Пароли».)
Чтобы задать или изменить свойства для доменного пользователя, выберите контейнер Users в дереве консоли, чтобы вывести в правой панели список пользователей. Затем дважды щелкните на записи пользователя, которого хотите конфигурировать. Как видно из рис. 12.3, у вас имеется обширный набор категорий конфигурирования.
Мы не будем рассматривать каждую вкладку диалогового окна Properties, поскольку многие из них самоочевидны. Несколько вкладок описываются в этой и других лекциях, когда приводится описание параметров пользователя для различных средств. Например, информация о домашних папках, профилях, скриптах входа и
опциях паролей приводится ниже в этой лекции. Вкладка Member Of (Член групп), в которой задается участие пользователя в группах, рассматривается в
«Управление группами и организационными единицами»
.
Рис.
12.3.
В диалоговом окне Properties вы можете вводить подробную информацию о каждом пользователе
Заполнив поля конфигурирования для какого-либо пользователя, вы можете скопировать параметры этого пользователя в другое, новое пользовательское имя, чтобы избежать конфигурирования с самого начала. В правой панели для контейнера Users щелкните правой кнопкой на пользовательском имени, которое хотите использовать как источник, и выберите пункт Copy (Копировать). Появится диалоговое окно Copy Object-User (Копирование объекта — Пользователь), которое будет пустым окном для нового пользователя. Введите информацию для этого нового пользователя и опции пароля, как это описано в предыдущих разделах.
Чтобы лучше всего использовать средство копирования, создайте набор шаблонных пользовательских учетных записей, охватывающих все варианты применительно к новым пользователям. Например, вы можете создать пользователя с именем Power (Привилегированный), который является членом группы Power Users с любым временем входа и другими атрибутами. Затем создайте другого пользователя с именем Regular (Обычный) с настройками более низкого уровня. Для вашей компании, возможно, подойдет пользователь с именем DialIn (Коммутируемое соединение) с заданными настройками во вкладке Dial In. Затем по мере создания новых пользователей просто выбирайте подходящего шаблонного пользователя, чтобы скопировать его учетную запись.
По умолчанию копируются наиболее используемые атрибуты (часы входа, ограничения по рабочей станции, домашняя папка, ограничения по сроку действия учетной записи и т.д.). Но вы можете добавить и другие атрибуты для автоматического копирования или запретить копирование определенных атрибутов, внеся изменения в схему Active Directory.
Схема — это база данных на уровне леса, содержащая классы объектов и атрибуты для всех объектов, содержащихся в Active Directory. (Подробнее о схеме и контроллере домена, который исполняет роль Хозяина схемы, см. в
«Контроллеры доменов»
.) Вы можете использовать схему, чтобы модифицировать атрибуты пользователей, которые помечаются для автоматического копирования при копировании пользовательских учетных записей.
В отличие от Windows 2000 система Windows Server 2003 не устанавливает заранее оснастку для работы со схемой, поэтому вы должны сначала установить ее. Чтобы установить оснастку для схемы, откройте окно командной строки и введите regsvr32 schmmgmt.dll, чтобы зарегистрировать эту оснастку. Система выведет сообщение об успешном завершении. Щелкните на кнопке OK, чтобы убрать это сообщение, затем выйдите из окна командной строки. Затем загрузите эту оснастку в консоль MMC, используя следующие шаги.
- Выберите Start/Run (Пуск/Выполнить), введите mmc и щелкните на кнопке OK, чтобы открыть консоль MMC в авторском режиме.
- В консоли MMC выберите File/Add/Remove Snap-In (Файл/Добавить/Удалить оснастку), чтобы открыть диалоговое окно Add/Remove Snap-In.
- Щелкните на кнопке Add, чтобы открыть диалоговое окно Add Standalone Snap-in (Добавление автономной оснастки).
- Выберите Active Directory Schema, щелкните на кнопке Add и затем щелкните на кнопке Close (или дважды щелкните на Active Directory Schema и щелкните на кнопке Close), чтобы вернуться в диалоговое окно Add/Remove Snap-in.
- Щелкните на кнопке OK, чтобы загрузить эту оснастку в дерево консоли.
Имеет смысл сохранить эту консоль (чтобы вам не пришлось повторно выполнять все эти шаги для добавления оснастки), для чего нужно выбрать File/Save (Файл/ Сохранить). Выберите подходящее имя файла (например, schema). Система автоматически добавит расширение .msc. Сохраненная консоль появится после этого в подменю Administrative Tools меню All Programs, поэтому вам не придется открывать окно Run для ее использования.
После загрузки этой оснастки в окне консоли будут представлены две папки: Classes (Классы) и Attributes (Атрибуты). Выберите объект Attributes, чтобы представить атрибуты для ваших объектов Active Directory. Не все из них являются атрибутами пользователя и, к сожалению, нет такой колонки, где указывалось бы, что это атрибут пользовательского класса. Однако имена многих атрибутов дают ответ на этот вопрос.
Щелкните правой кнопкой на нужном атрибуте и выберите в контекстном меню пункт Properties, после чего появится диалоговое окно свойств этого атрибута. Флажок Attribute is copied when duplicating a user (Атрибут копируется при дублировании пользователя) определяет, будет ли данный атрибут автоматически копироваться при создании новых пользователей. Например, на рис. 12.4 показаны свойства для атрибута LogonHours (Часы входа), который копируется по умолчанию. Если вы хотите задавать ограничения по времени входа на уровне отдельных пользователей, то отключите эту опцию (сбросьте флажок). С другой стороны, если вы видите атрибут, который еще не помечен для копирования, и хотите сделать его глобальным атрибутом для всех новых пользователей, то установите этот флажок.
Рис.
12.4.
Вы можете указать, нужно или не нужно автоматически копировать пользовательский атрибут для новых пользователей, установив или сбросив этот флажок
Как добавить пользователя на сервер
Добавление новой учетной записи пользователя на Windows Server 2003 относится к категории стандартных задач администрирования. Поэтому и решается эта задача штатными средствами системы без использования дополнительного программного обеспечения.
Инструкция
Вызовите контекстное меню элемента рабочего стола «Мой компьютер» кликом правой кнопки мыши и укажите пункт «Управление». Раскройте ссылку «Управление компьютером» в левой части открывшегося окна и перейдите в раздел «Локальные пользователи». Разверните узел «Пользователи» и вызовите контекстное меню кликом правой кнопки мыши на пустом пространстве правой части того же окна.
Укажите пункт «Новый пользователь» и напечатайте имя создаваемой учетной записи и пароль в соответствующих полях нового диалогового окна. Снимите флажок на поле «Требовать смену пароля» и отметьте чекбоксы в строках «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен». Подтвердите выполнение выбранных действий, нажав кнопку «Создать».
Чтобы добавить нового пользователя Active Directory необходимо вызвать главное системное меню, нажав кнопку «Пуск» и перейти в пункт «Панель управления». Раскройте ссылку «Администрирование» и разверните оснастку «Active Directory — пользователи и компьютеры».
Вызовите контекстное меню папки, в которую будет добавлена учетная запись, кликом правой кнопки мыши в правой части окна и укажите команду «Создать». Выберите подпункт «Пользователь» и напечатайте личные данные создаваемого пользователя в соответствующих полях.
Напечатайте выбранное имя входа пользователя в одноименной строке и укажите пункт «Суффикс UPN» в выпадающем меню. Подтвердите сохранение сделанных изменений, нажав кнопку «Далее», и напечатайте пароль в строке с этим именем. Подтвердите выбор пароля повторным введением того же значения в следующую строку и нажмите кнопку «Готово».
Вернитесь в главное меню «Пуск» для использования альтернативного метода и перейдите в диалог «Выполнить». Напечатайте cmd в строке «Открыть» и запустите утилиту командной строки, нажав кнопку OK.
Введите значениеdsadd userимя_пользователя -samidSAM_имя_пользователя -pwd пароль_пользователя |*в текстовое поле интерпретатора команд и подтвердите выполнение выбранной задачи, нажав клавишу Enter.
Видео по теме
Источники:
- Как добавить пользователей
Целью
данной
работы является приобретение навыков
управления учетными записями пользователей,
а также их профилями.
Условием
работы любой сети, конечно же, является
наличие в ней пользователей и компьютеров.
Сегодня мы изучим возможности по созданию
пользователей в глобальном каталоге
Active Directory и попробуем управлять
компьютерами и пользователями в нашей
ЛВС.
Ход
работ. Часть первая «Общие принципы»:
-
Подготовка
хранилища профилей пользователей
Прежде
чем мы перейдем к созданию пользователей
нашего домена, необходимо выполнить
несколько предварительных действий.
Во-первых, необходимо определить, где
будут храниться профиля пользователей.
Пусть у нас это будет папка «Profiles» на
диске C. После создания этой папки
необходимо открыть к ней общий доступ
(рис. 1) и дать разрешение всем на чтение
и изменение (кнопка Разрешение, рис. 2).
рис.1 рис.2
-
Создание
пользователей
Для
управления сервером воспользуемся
консолью mmc. Нажмите ПускВыполнить…
(StartRun…),
в текстовом поле введите mmc и нажмите
[Enter]. Откроется окно (рис. 1),
озаглавленное «Консоль»
(«Console1»).
Нажимаем КонсольДобавить
или удалить оснастку (FileAdd/Remove
Snap-In),
дальше выбираем Добавить
(Add)
и из списка предложенных инструментов
добавляем в список только необходимые.
Это делается путем нажатия на кнопку
Добавить
(Add).
Нажмите ЗакрытьОК
(CloseOk) —
и Вы получите несколько открытых
элементов управления в одном окне.
Дальше консоль можно сохранить и
открывать уже настроенную. Таким образом,
все необходимые инструменты будут
всегда находиться у Вас под рукой.
рис.3
Теперь
перейдем непосредственно к созданию
первых пользователей. В отличие от
компьютеров, которые автоматически
добавляются при их подключении к серверу,
создавать пользователей придется
вручную. Сразу замечу, что лучше сразу
же организовывать каталог так, чтобы
пользователи и компьютеры не размещались
в стандартных контейнерах (Organisation Unit),
а каким-то образом систематизировались.
Итак,
создадим первого пользователя и поместим
его не в стандартном контейнере Users, а
в подразделении. Нажимаем правой кнопкой
мыши на названии домена в оснастке
«Active
Directory Users and Computers»,
выбираем СоздатьПодразделение,
вбиваем название «MyDepartment»
и жмем ОК.
Далее
выбираем в меню Действие (Action) пункт
СоздатьПользователь (NewUser) создаем
нового пользователя (эти действия
эквивалентны нажатию правой кнопки
мыши на контейнере и выбору пункта
СоздатьПользователь (NewUser)). Откроется
диалоговое окно «Новый объект —
Пользователь» (New Object — User). На его
первой странице нам будет необходимо
ввести сведения об имени пользователя
(рис. 4).
рис.4
Закончив
ввод значений и щелкнув Далее
(Next),
мы увидим вторую страницу, на которой
надо будет ввести пароль пользователя,
введем «password».
Здесь
также необходимо установить настройки
данной учетной записи. Остановимся на
них подробнее:
• Требовать
смену пароля при следующем входе в
систему (User Must Change Password At Next Logon) —
установлено по умолчанию. Очень удобное
средство для того, чтобы пароль
пользователя знал только он. Вы создаете
учетную запись, например, со стандартным
паролем Microsoft (p@s$w0rd) и требуете, чтобы
пользователь изменил его сразу же при
запуске системы. Пользователь просто
не войдет в систему, не изменив пароль!
• Запретить
смену пароля пользователя (User Cannot Change
Password) — установите этот флажок, если
этой учетной записью пользуются несколько
пользователей в домене (в частности,
это касается учетной записи Гость
(Guest), ведь если какой-то пользователь
случайно изменит пароль, то доступ к
системе будет невозможен для остальных
пользователей, использующих учетную
запись.
• Срок
действия пароля неограничен (Password Never
Expires) — используйте этот флаг для не
очень защищенных сетей (вроде домашней,
которую мы и строим). В защищенных его
обязательно надо снимать, т.к. пароли
пользователей, имеющих доступ к
конфиденциальной информации, должны
меняться регулярно.
• Отключить
учетную запись (Account is disabled) — для
создания пользователей, которым пока
нет необходимости входить в сеть.
Нажав
ДалееГотово
(NextFinish),
мы заканчиваем создание нового
пользователя в каталоге Active Directory, но
скорее всего Вы получите следующие
сообщение.
Проблема
заключается в том, что пароль, который
Вы ввели не отвечает требованиям
безопасности. У нас есть два пути: вводить
сложный пароль (более 7 знаков и содержать
буквы в разных регистрах и цифры) или
изменить текущую политику безопасности.
Нажмите
Пуск > Администрирование > Политика
безопасности домена
Параметры
безопасности Политика учетных
записей Политика паролей
После
создания пользователя, теперь мы вполне
можете просмотреть его свойства, выбрав
в меню Действие (Action) пункт Свойства
(Properties). Перед Вами откроется диалоговое
окно, в котором находится весь спектр
информации об этом пользователе. Особое
внимание стоит обратить на закладку
Учетная запись (Account) — рис. 5.
рис.5 рис.6
Определенные
свойства были уже настроены при создании
пользователя. Рассмотрим назначение
некоторых из них:
• Время
входа (Logon Hours) — позволяет настроить
время, когда пользователю позволено
входить в сеть.
• Вход
на (Log On To) — определение компьютеров,
с которых пользователю позволено входить
в домен.
• Хранить
пароль, используя обратимое шифрование
(Store Password Using Reversible Encryption) — этот
параметр разрешает хранение пароля в
Active Directory без использования мощного
алгоритма для шифрования хешированием
(между прочим — без возможности
обратного преобразования!). Используется
для поддержки приложений, которым
требуется знать пароль пользователя.
Пользуйтесь этим параметром только в
случае крайней необходимости, т.к. это
существенно ослабляет безопасность
(пароли, которые хранятся с использованием
обратимого шифрования, для опытного
взломщика — практически то же самое,
что и пароль, записанный в блокноте
открытым текстом).
• Срок
действия учетной записи (Account Expires) —
позволяет задать дату окончания действия
учетной записи.
На
рис.6 размещены настройки расположения
профиля пользователя и домашняя папка
пользователя. У нас это папка «Profiles» на
диске «C» (см. выше).
Можно
также одновременно менять некоторые
свойства у нескольких учетных записей.
Для этого надо выделить нужные учетные
записи и выбрать их свойства.
Перейдем
к понятию Групп.
Группы — это контейнеры, которые
содержат объекты пользователей и
компьютеров. Если в разрешениях к доступу
к файлам и папкам заданы группы, то эти
права распространяются на всех членов
этой группы. Чтобы создать группу,
выберите контейнер, щелкните правой
кнопкой мыши и выберите пункт СоздатьГруппа
(NewGroup).
Затем вы сможете задать тип и область
действия создаваемой группы.
Группы
бывают двух типов: группы безопасности
и группы распространения. Группы
безопасности
(security groups) используются для назначения
доступа к сетевым ресурсам, в то время
как группы
распространения
(distribution groups) применяются для объединения
пользователей в списки рассылки
электронной почты. Как Вы наверняка
догадались, нам необходимо создавать
группы именно первого типа.
Область
действия группы определяет, каким
образом ее составу назначаются разрешения
в доступе. Здесь Вам следует выбрать
одну из трех областей:
• Локальная
доменная (Domain local) — используется для
назначения группам разрешений на доступ
к локальным ресурсам домена.
• Глобальная
(Global) — эти группы часто применяются
для объединения пользователей или
компьютеров в одном домене и совместного
исполнения одной и той же работы,
какой-либо роли или функции.
• Универсальная
(Universal) — из такой области применяют
преимущественно для предоставления
доступа к ресурсам во всех доверенных
доменах.
В
основном Вам необходимо будет использовать
группы с областью действия Domain local.
-
Сетевые
ресурсы
Для
создания сетевого ресурса на сервере
необходимо:
-
Определится
с расположением ресурса, и создать
папку. -
Отдать
ресурс в общий доступ (рис. 7). -
Дать
разрешение на ресурс определенным
группам и пользователям (рис. 8).
рис.7 рис.8
Ход
работы. Часть вторая «Задание»:
В
ходе работы необходимо изучить
теоретические сведенья, связанные с
администрированием пользователей, а
также проделать практические задания
и ответить на контрольные вопросы,
описанные ниже.
-
Создать
подразделение «enterprise»: -
Создать
следующие группы в данном подразделении:
-
workers,
-
teachers,
-
students.
-
Создать
пользователей user_[номер
варианта]_ N,
где N =1, 2, .., 5.
Пользователей
с N равным 1 и 2 добавить в группу workers.
Пользователей
с N равным 3, 4 и 5 добавить в группу
students.
-
Создать
пользователя teacher_[номер
варианта].
Имя
учетной
записи должна содержать Ваше ФИО.
Пользователя
добавить в группу teachers.
-
Для
всех пользователей user_[номер
варианта]_ N
задайте пароли «password».
Для пользователя teacher_[номер
варианта]
-
Создать
директорию labs
в
корневом каталоге. В нем создать каталоги
library
и
tests
-
Создать
файлы book_[фамилия
студента]
и
поместить их в library
-
Дать
право на изменение файла только
пользователю teacher_[номер
варианта],
а
на
чтение пользователям группы workers.
-
Настроить
права доступа к каталогу library
и
tests,
таким образом, чтобы пользователи
группы teachers
могли
изменять и создавать там файлы, а
пользователи группы students
имели
доступ на чтение и при входе в домен
автоматически подключались эти
директории как диски «L»
и «T»
соответственно.
-
Проверьте
всю проделанную работу, войдя под всеми
созданными Вами пользователями из
клиентской ОC
в домен «MYDOMAINE».
Вывод.
В результате проделанной лабораторной
работы Вы должны были приобрести базовые
навыки управления доступом к сетевым
ресурсам, а также добавления новых
пользователей (групп) в сеть.
Контрольные
вопросы:
-
Что
такое профиль пользователя? -
Для
чего нужны группы пользователей? -
Почему
при создании нового пользователя
возникала ошибка при использовании
пароля «password»? -
Какие
действия необходимо выполнить для
создания нового пользователя? -
Каким
образом автоматизировать подключение
сетевого диска?
Соседние файлы в папке Выч сети
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #
- #