Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 «Администрирование доменов»). Управление локальными учетными записями на контроллерах домена невозможно.
Оснастка Local Users and Groups
Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.
Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management
Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.
- Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
- Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
- SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.
Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.
Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.
Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.
- Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
- Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
- Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
- Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
- Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
- Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITYAuthenticated Users (S-1-5-11) и NT AUTHORITYINTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.
В системах Windows XP появились еще три группы.
- Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
- Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
- HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.
Еще четыре группы появились в системах Windows Server 2003.
- Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITYNETWORK SERVICE (S-l-5-20).
- Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
- Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
- TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.
Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.
Создание пользовательской учетной записи
Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).
Рис. 10.6. Создание новой локальной учетной записи
2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.
Рис. 10.7. Окно свойств локальной учетной записи пользователя
Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: » / [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).
Управление локальными группами
Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).
Рис. 10.8. Создание локальной группы
2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты ().
Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.
Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.
Изменение и удаление учетных записей
Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со «старыми» свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.
03.07.2009 —
Posted by |
ms windows server 2003
Sorry, the comment form is closed at this time.
2.3 Создание основной
папки
— Создайте
домашний каталог для пользователей,
записанных в «Шаблоне планирования
учетных записей».
2.4 Создание шаблона
пользовательского профиля
Создайте
учетную запись Template
Profile (Шаблон профиля) — модель профиля.
Затем настроите шаблон профиля.
2.5 Копирование шаблона
пользовательского профиля на сервер
Скопируйте
профиль пользователя Template
Profile на
сетевой сервер и назначите его
пользователюUserN (N=1..10) (если
необходимо создайте данного пользователя).
2.6 Перечисление
пользователей, которым разрешено
применять профиль
Укажите
пользователя (UserN),
которому разрешено применять профиль.
2.7 Удаление профиля
учетной записи Template Profile
Удалите
ставший ненужным профиль учетной
записи Template
Profile. Далее
будет использоваться только профиль,
размещенный на сервере.
2.8 Указание пути
к серверному профилю
Укажите пользователю
UserN путь к серверному профилю.
Создание
отчёта
Он должен содержать
выводы, характеризующие итоги проделанной
работы.
Необходимо включить
в отчёт скриншоты, иллюстрирующие
основные действия по выполнению
лабораторного практикума.
3. Теоретический
материал
3.1 Основные понятия
Учетная запись пользователя
— основа защиты Windows Server 2003,
это уникальный личный код, предоставляющий
право на доступ к ресурсам.
Каждый пользователь,
регулярно работающий в домене или на
одном из его компьютеров, должен иметь
учетную запись. Учетные записи позволяют
администратору контролировать доступ
пользователей к ресурсам домена и
локальным ресурсам компьютера, например
ограничить часы, когда пользователь
может зарегистрироваться в домене.
3.2 Стандартные учетные
записи
При установке Windows
Server 2003 создаются стандартные учетные
записи пользователей. Они предназначены
для начальной настройки, необходимой
для развития сети, Вот три типа стандартных
учетных записей:
— встроенные
(built-in) учетные записи пользователей
устанавливаются вместе с ОС, приложениями
и службами;
— предопределенные
(predefined) учетные записи пользователей
устанавливаются вместе с ОС;
— неявные
(implicit) — специальные группы, создаваемые
неявно при обращении к сетевым ресурсам;
их также называют специальными объектами
(special identities).
Примечание: Удалить
пользователей и группы, созданные ОС,
нельзя.
Встроенные учетные
записи
Все системы Windows Server
2003 обладают тремя встроенными учетными
записями.
— Локальная
система (Local System) — учетная псевдозапись
для выполнения системных
процессов и обработки задач системного
уровня, доступная только па локальной
системе.
— Local
Service —учетная псевдозапись для запуска
служб, которым необходимы дополнительные
привилегии или права входа на локальной
системе.
— Network
Service — учетная псевдозапись для служб,
которым требуются дополнительные
привилегии или права входа на локальной
системе и в сети.
Предопределенные
учетные записи пользователей
Вместе с
Windows Server 2003 устанавливаются некоторые
записи: Администратор (Administrator),
Гость (Guest), ASPNET и
Support. На рядовых серверах предопределенные
учетные записи являются локальными для
той системы, где они установлены.
У предопределенных
учетных записей есть аналоги в Active
Directory, которые имеют доступ по всему
домену и совершенно независимы от
локальных учетных записей на отдельных
системах.
Учетная запись
Администратор (Administrator)
Эта
предопределенная учетная запись обладает
полным доступом к файлам, папкам, службам и
другим ресурсам; ее нельзя отключить
или удалить. В Active Directory она обладает
доступом и привилегиями во всем домене.
В остальных случаях Администратор
(Administrator) обычно имеет доступ только к
локальной системе. Файлы и папки можно
временно закрыть от администратора, но
он имеет право в любой момент вернуть
себе контроль над любыми ресурсами,
сменив разрешения доступа.
Учетная запись Гость
(Guest)
Эта учетная запись
предназначена для пользователей, которым
нужен разовый или редкий доступ к
ресурсам компьютера или сети. Гостевая
учетная запись обладает весьма
ограниченными системными привилегиями,
тем не менее применяйте ее с осторожностью,
поскольку она потенциально снижает
безопасность.
Типы учетных записей
В Windows Server
2003 определены пользовательские учетные
записи двух типов:
— Доменные
учетные записи (domain user accounts) определены
и Active Directory. Посредством системы
однократного ввода пароля такие учетные
записи могут обращаться к ресурсам во
всем домене. Они создаются в консоли
Active Directory — пользователи и компьютеры
(Active Directory Users and Computers).
— Локальные
учетные записи (local user accounts) определены
на локальном компьютере, имеют доступ
только к его ресурсам и должны
аутентифицироваться, прежде чем получат
доступ к сетевым ресурсам. Локальные
учетные записи пользователей создают
в оснастке Локальные пользователи и
группы (Local Users and Groups).
Примечание:
Локальные учетные записи пользователей
и групп хранятся только на рядовых
серверах и рабочих станциях. На первом
контроллере домена они перемещаются в
Active Directory и преобразуются в доменные
учетные записи.
Резюме
Стратегия защиты
Windows Server 2003 основана на понятии учетной
записи пользователя.
Встроенная
учетная запись Administrator (Администратор)
имеется на всех компьютерах,
работающих под управлением Windows Server
2003. Она служит для управления ресурсами
и конфигурацией компьютеров.
Встроенная учетная
запись Guest (Гость)
имеется на всех компьютерах, работающих
под управлением Windows Server 2003. Она позволяет
пользователям, работающим на компьютере
от случая к случаю, получить доступ к
локальным ресурсам. Эта запись по
умолчанию отключена.
Локальная учетная
запись позволяет зарегистрироваться
в системе и получить доступ к локальным
ресурсам компьютера. Для работы с
ресурсами другого компьютера пользователю
необходимо иметь локальную учетную
запись и на нем.
Создавайте локальные
учетные записи только в рабочей группе.
Соседние файлы в папке Адм в ИС ЛР 1-4
- #
- #
- #
- #
In a Windows server environment, it is very important that only authenticated users are allowed to log in for security reasons. To fulfill this requirement the creation of User accounts and Groups is essential.
User Accounts
In Windows Server 2003 computers there are two types of user accounts. These types are local and domain user accounts. The local user accounts are the single user accounts that are locally created on a Windows Server 2003 computer to allow a user to log on to a local computer. The local user accounts are stored in Security Accounts Manager (SAM) database locally on the hard disk. The local user accounts allow you to access local resources on a computer
On the other hand the domain user accounts are created on domain controllers and are saved in Active Directory. These accounts allow to you access resources anywhere on the network. On a Windows Server 2003 computer, which is a member of a domain, you need a local user account to log in locally on the computer and a domain user account to log in to the domain. Although you can have a same login and password for both the accounts, they are still entirely different account types.
You become a local administrator on your computer automatically because local computer account is created when a server is created. A domain administrator can be local administrator on all the member computers of the domain because by default the domain administrators are added to the local administrators group of the computers that belong to the domain.
This article discusses about creating local as well as domain user accounts, creating groups and then adding members to groups.
Creating a Local User Account
To create a local user account, you need to:
1. Log on as Administrator, or as a user of local administrator group or Account Operators local group in the domain.
2. Open Administrative Tools in the Control Panel and then click Computer Management, as shown in Figure 1.
Figure 1
3. Click Users folder under Local Users and Groups node, as shown in Figure 2.
Figure 2
4. Right-click Users and then click New User in the menu that appears, as shown in Figure 3:
Figure 3
The New User dialog box appears as shown below in Figure 4.
5. Provide the User name and the Password for the user in their respective fields.
6. Select the desired password settings requirement.
Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.
7. Click Create , and then click Close:
Figure 4
The user account will appear on clicking Users node under Local Users and Groups on the right panel of the window.
You can now associate the user to a group. To associate the user to a group, you need to:
8. Click Users folder under Local Users and Groups node.
9. Right-click the user and then select Properties from the menu that appears, as shown in Figure 5:
Figure 5
The Properties dialog box of the user account appears, as shown in Figure 6:
10. Click Member of tab.
The group(s) with which the user is currently associated appears.
11. Click Add.
Figure 6
The Select Groups dialog box appears, as shown in Figure 7.
12. Select the name of the group/object that you want the user to associate with from the Enter the object names to select field.
If the group/object names do not appear, you can click Advanced button to find them. Also if you want to choose different locations from the network or choose check the users available, then click Locations or Check Names buttons.
13. Click OK .
Figure 7
The selected group will be associated with the user and will appear in the Properties window of the user, as shown in Figure 8:
Figure 8
Creating a Domain User Account
The process of creating a domain user account is more or less similar to the process of creating a local user account. The only difference is a few different options in the same type of screens and a few steps more in between.
For example you need Active Directory Users and Computers MMC (Microsoft Management Console) to create domain account users instead of Local Users and Computers MMC. Also when you create a user in domain then a domain is associated with the user by default. However, you can change the domain if you want.
Besides all this, although, a domain user account can be created in the Users container, it is always better to create it in the desired Organization Unit (OU).
To create a domain user account follow the steps given below:
1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.
2. Expand the OU in which you want to create a user, right-click the OU and select New->User from the menu that appears.
Figure 9
3. Alternatively, you can click on Action menu and select New->User from the menu that appears.
The New Object –User dialog box appears, as shown in Figure 10.
4. Provide the First name, Last name, and Full name in their respective fields.
5. Provide a unique logon name in User logon name field and then select a domain from the dropdown next to User logon name field if you want to change the domain name.
The domain and the user name that you have provided will appear in the User logon name (pre-Windows 2000) fields to ensure that user is allowed to log on to domain computers that are using earlier versions of Windows such as Windows NT.
Figure 10
6. Click Next.
The second screen of New Object –User dialog box appears similar to Figure 4.
7. Provide the User name and the Password in their respective fields.
8. Select the desired password settings requirement:
Select User must change password at next logon option if you want the user to change the password when the user first logs into computer. Select User cannot change password option if you do not want the user to change the password. Select Password never expires option if you do not want the password to become obsolete after a number of days. Select Account is disabled to disable this user account.
9. Click Next.
10. Verify the user details that you had provided and click Finish on the third screen of New Object –User dialog box.
11. Follow the steps 9-13 mentioned in Creating a Local User Account section to associate a user to a group.
Creating Groups
Just like user accounts, the groups on a Windows Server 2003 computer are also of two types, the built in local groups and built in domain groups. The example of certain built in domain groups are: Account Operators, Administrators, Backup Operators, Network Configuration Operators, Performance Monitor Users, and Users. Similarly certain built in local groups are: Administrators, Users, Guests, and Backup operators.
The built in groups are created automatically when the operating system is installed and become a part of a domain. However, sometimes you need to create your own groups to meet your business requirements. The custom groups allow you limit the access of resources on a network to users as per your business requirements. To create custom groups in domain, you need to:
1. Log on as Administrator and open Active Directory Users and Computers MMC from the Administrative Tools in Control Panel, as shown in Figure 9.
2. Right-click the OU and select New->Group from the menu that appears.
The New Object –Group dialog box appears, as shown in Figure 10.
3. Provide the name of the group in the Group name field.
The group name that you have provided will appear in the Group name (pre-Windows 2000) field to ensure that group is functional on domain computers that are using earlier versions of Windows such as Windows NT.
4. Select the desired group scope of the group from the Group scope options.
If the Domain Local Scope is selected the members can come from any domain but the members can access resources only from the local domain.
If Global scope is selected then members can come only from local domain but can access resources in any domain.
If Universal scope is selected then members can come from any domain and members can access resources from any domain.
5. Select the group type from the Group Type options.
The group type can be Security or Distribution . The Security groups are only used to assign and gain permissions to access resources and Distribution groups are used for no-security related tasks such as sending emails to all the group members.
Figure 11
6. Click OK.
You can add members to group just as you add groups to members. Just right-click the group in Active Directory Users and Computers node in the Active Directory Users and Computers snap-in, select Properties, click Members tab from the Properties window of the group and then follow the steps from 11-13 from Creating Local User Accounts section.
Article Summary
Dealing with User & Group accounts in a Windows Server environment is a very important everyday task for any Administrator. This article covered basic administration of user and group accounts at both local and domain environments.
If you have found the article useful, we would really appreciate you sharing it with others by using the provided services on the top left corner of this article. Sharing our articles takes only a minute of your time and helps Firewall.cx reach more people through such services.
Back to Windows 2003 Server Section
Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.
Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.
Локальные учетные записи против доменных
Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами — P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.
Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.
Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) — объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.
Два наиболее важных применения доменных учетных записей — аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.
Встроенные доменные учетные записи
Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.
Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:
- Administrators
- Domain Admins
- Domain Users
- Enterprise Admins
- Group Policy Creator Owners
- Schema Admins
Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).
Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.
Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.
Создаем учетные записи пользователя домена
Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.
Экран 1. Создание новой учетной записи пользователя: введите имя в диалоговом окне New Object — User |
Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object — User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).
Экран 2. Создание новой учетной записи пользователя: задайте пароль и выберите настройки пароля в диалоговом окне New Object — User |
Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.
Свойства учетной записи пользователя
Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.
Экран 3. Изменение настройки учетной записи пользователя по категориям |
Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.
Создаем шаблоны
Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции — создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.
Я обнаружила несколько полезных приемов создания и копирования шаблонов:
- присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
- назначать всем шаблонам один и тот же пароль;
- отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).
Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object — User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.
- Введите стандартный пароль компании и назначьте его новому пользователю.
- Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
- Поставьте флажок User must change password at next logon.
- Щелкните Next, затем Finish.
Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.
Кэти Ивенс — редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу: kivens@win2000mag.com
Время прочтения
5 мин
Просмотры 41K
Так уж случилось, что я выбрал профессию системного администратора. И занимаюсь этим порою неблагодарным делом уже без малого около 6 лет.
Однажды, пару лет назад, передо мною встал вопрос, позже переросший в задачу, заключающийся в том, как же относительно быстро завести новые учётные записи пользователей в AD под MS Windows Server 2003?
Я думаю что всем известен способ добавления пользователя в домен, так сказать, «ручками». То есть, для добавления новых учётных записей пользователей AD приходится делать примерно следующие вещи: открыть оснастку «Пользователи и компьютеры» вышеназванной ОС, открыть соответствующую OU (Organization Unite), инициировать любым из известных способов создание пользователя, и затем в открывшемся окне создавать пользователей одного за другим. Согласитесь, это достаточно долго и муторно, особенно если необходимых учётных записей пользователей не 10, а скажем — 300, 500 и более. Особенно это станет рутинным делом тогда, когда нужно будет заполнить не только поля «логин» и «пароль», но и, расположенные во всевозможных вкладках, поля «Фамилия», «Имя Отчество», «Должность», «Отдел», «Организация» и т.д. Конечно, Вы скажете что методы «копипасты» и «слепого набора» еще никто не отменял, но вы попробуйте, и ощутите на каком по счету пользователе вы устанете, а если не устанете, то посчитайте потом количество совершенных ошибок при забивке данных.
В общем, поняв что нужно что-то делать с этим и так как время у меня было ограничено, я обратился к интернет ресурсам с целью поиска скрипта, который должен был существовать и решить эту проблему, как подсказывало мое чутье. Увы, я практически разочаровался в том, что увидел. В интернете было полно всевозможных скриптов для автоматизации различных задач в среде AD, но то, что мне было нужно — отсутствовало напрочь. Пришлось обратиться к англоязычным ресурсам, на одном из которых (увы, сайт-ссылку на момент написания статьи я уже утерял, есть мысли где искать, и если найду, то опубликую) был некий скрипт-«рыба» на VBS в очень «сыром» виде, что выяснилось при попытке его применить на тестовой системе ни к чему не приведшей — он просто, априори, не работал, ввиду наличия в нем множества недоработок и банальных ошибок, как выяснилось мною позже. Пришлось исправлять, дописывать код и стать, вдобавок ко всему, немного программистом на языке VBS
За сим, позвольте представить на суд уважаемой публики скрипт для добавления учетных записей пользователей в AD в предварительно созданные OU (1-го уровня). Если возникнет вопрос почему и OU не создаются автоматически, то отвечу заранее, что не нашел как это осуществить, да и контроль так жестче за производимыми изменениями в AD — все же приходится не в песочнице играться, а вносить ощутимые изменения в мощную и функционирующую в реальном времени систему, так называемую «Active Directory».
Важное замечание!
Заранее нужно создать файл, содержащий через разделитель «;» необходимые параметры:
Логин; Пароль; Имя Отчество; Фамилия; Должность; Отдел; Организация;
Обязательно наличие замыкающего разделителя «;» в каждой строке, например:
sirin-bird1; пароль1; Имя Отчество1; Фамилия1; Должность1; Отдел1; Организация1;
sirin-bird2; пароль2; Имя Отчество2; Фамилия2; Должность2; Отдел2; Организация2;
sirin-bird4; пароль3; Имя2 Отчество3; Фамилия3; Должность3; Отдел3; Организация3;
sirin-bird3; пароль4; Имя Отчество4; Фамилия4; Должность4; Отдел4; Организация4;
sirin-bird5; пароль5; Имя2 Отчество5; Фамилия5; Должность5; Отдел5; Организация5;
… … … … … … …
Создание такого файла можно поручить и неквалифицированному персоналу, умеющему обращаться с элементарным текстовым редактором. А потом всего лишь проверить правильность набора текста и расстановки разделителей, как и поступил Ваш покорный слуга.
Еще одно важное замечание!
Параметр «Организация» является OU для соответствующего пользователя и не создается этим скриптом, поэтому чтобы все сработало — предварительно создайте соответствующие OU в корне домена (возле папки OU «Users»). Это объясняется тем, что у меня в домене было несколько организаций-клиентов со своими пользователями-сотрудниками, отсюда и такое разделение.
Итак, сам скрипт:
Set objArgs = WScript.Arguments
if objArgs.Count = 0 then
WScript.Echo «Добавляет пользователей в домен.»
WScript.Echo «add_to_ad.vbs [имя файла]»
WScript.Echo » [имя файла] — файл со списком пользователей»
WScript.Echo » формат файла: Логин; Пароль; Имя-Отчество; Фамилия; Должность; Отдел; Организация;»
WScript.Quit
end if
path = objArgs(0)
Set fso = CreateObject(«Scripting.FileSystemObject»)
Set objFile = fso.OpenTextFile(path, 1)
Do Until objFile.AtEndOfStream
str = objFile.ReadLine
for i = 1 to Len(str) step 1
strCh = Mid (str, i, 1)
if strCh = «;» then
select case Z
case 0
UserName = strRez ‘ *** Логин
case 1
UserPassword = strRez ‘ *** Пароль
case 2
FirstName = strRez ‘ *** Имя-Отчество
case 3
LastName = strRez ‘ *** Фамилия
case 4
Title = strRez ‘ *** Должность
case 5
Department = strRez ‘ *** Отдел
case 6
Company = strRez ‘ *** Организация
‘case 7
‘Manager = strRez’ *** Руководитель
‘case 8
‘OfficeRoom = strRez ‘ *** Комната
end select
strRez = «»
strCh = «»
Z = Z + 1
else
strRez = strRez + strCh
end if
next
strRez = «»
strCh = «»
Z = 0
Set objRoot = GetObject(«LDAP://RootDSE»)
Set objADSystemInfo = CreateObject(«ADSystemInfo»)
DomainDNSName = objADSystemInfo.DomainDNSName
DomainDN = objRoot.Get(«DefaultNamingContext»)
ContainerDN = «ou=» & Company & «,» & DomainDN
pName = UserName & «@» & DomainDNSName ‘»@snb.local»
‘!!! ВАЖНО !!!***Указываем ЗАРАНЕЕ СОЗДАННУЮ OU в которую кидаются новые пользователи *******
Set objOU = GetObject(«LDAP://» & ContainerDN)
‘*************************** Создаем учетку пользователя домена ***********************
Set objUser = objOU.Create(«User», «cn=» + UserName)
‘ **** Login *****
objUser.Put «sAMAccountName», UserName
objUser.SetInfo
‘ ****** пароль *******
Set objUser = GetObject («LDAP://cn=» + UserName + «,» + ContainerDN)
objUser.SetPassword UserPassword
‘ ******* UPN **********
objUser.Put «userPrincipalName», pName
‘****** выключение аккаунта *******
objUser.AccountDisabled = TRUE
‘ ******** Имя *********
objUser.Put «givenName», FirstName
‘ ***** Фамилия *********
objUser.Put «sn», LastName
‘ ***** Выводимое имя ******
objUser.Put «displayName», LastName & » » & FirstName
‘ Инициалы
objUser.Put «initials», left(FirstName,1) & «.» ‘& left(LastName,1)
‘ ***** Должность ******
objUser.Put «title», Title
‘ ***** Отдел ******
objUser.Put «department», Department
‘ Организация
objUser.Put «Company», Company
‘ Руководитель
‘objUser.Put«manager», Manager
‘ комната
‘objUser.Put «physicalDeliveryOfficeName», OfficeRoom
‘ ***** Уст. Требовать смену пароля при следующем входе в систему ***
objUser.Put «pwdLastSet», CLng(0)
objUser.SetInfo
‘ WScript.Echo «Пользователь — » + UserName + » добавлен в AD»
Loop
WScript.Echo «Пользователи добавлены в AD»
objFile.Close
дополнительный код для вставки в скрипт:
‘ Домашний каталог
‘objUser.Put «HomeDirectory», strHomeDirPath
‘ почтовый ящик
‘objUser.Put «mailNickname», strName
‘ сайт
‘objUser.Put «wWWHomePage», «www.test.com»
‘ еще немного примеров:
‘ObjUser.Put «Description», «Year 2»
‘objUser.Put «physicalDeliveryOfficeName», sOfficeName
‘objUser.Put «ProfilePath», sScPath
‘sHDrive objUser.Put «HomeDrive», «Z»
‘objUser.Put «TerminalServicesProfilePath», sTermProf
‘objUser.Put «TerminalServicesHomeDirectory», sTermHDir
Код из текстового редактора сохранить нужно с расширением .vbs
Запуск скрипта осуществляется с передачей параметров из файла.
Например: script.vbs users.txt
, где
script.vbs — сам скрипт
users.txt — файл с входными данными.
Выполнение скрипта занимает секунды с мгновенным результатом на выходе.
Как видно из кода, если раскомментить еще пару строк и внести дополнения в файл с входными параметрами, то можно «на автомате» внести еще и Руководителя и Номер комнаты. Скрипт можно развивать неограниченно. Например, добавить возможность внесения таким же образом такого поля как «Телефон».
В качестве текстового редактора под Windows могу посоветовать свободный для использования и весьма функциональный Notepad++.
Одна из полезных ссылок, где есть скрипты на VBS: forum.sysadmins.su
Надеюсь приведенная информация окажется для кого-либо весьма полезной и нужной.