WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 11 |

«Exam 70-217 Microsoft® Windows 2000 Active Directory Services Microsoft Press Сертификационный экзамен 70-217 Microsoft® Windows 2000 Active ...»

-- [ Страница 4 ] --

В частично маршрутизируемой IP-сети функцию транзитивности связей сайтов для про токола IP можно отключить. В этом случае все IP-связи сайтов считаются нетранзитив ными, и вам придется настраивать мосты связей сайтов. Мост связи сайтов — это эквива лент отдельной сети;

все связи, составляюшие мост, способны транзитивно осуществлять маршрутизацию, однако вне моста маршрутизация не выполняется.

> Создание моста связей сайтов 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. Раскройте узел Inter-Site Transports, затем щелкните папку IP или SMTP правой кноп кой и выберите в контекстном меню команду New Site Link Bridge (Новый мост связей сайтов).

3. В диалоговом окне New Object — Site Link Bridge (Новый объект — Мост связей сай тов) в поле Name (Имя) введите имя моста (рис. 6-7).

•tew Ob|ect - Site Urflt Bridge te late iri Ihis site Irfe natal Ib wdge;

' DEFAULTipSITELINK Redmond to Chicago A ssie trk bridge rhuil ionian a: least tWQsite Inks Рис. 6-7. Диалоговое окно New Object — Site Link Bridge 4. Выберите два или более соединяемых сайтов и щелкните кнопку Add (Добавить).

5. Щелкните ОК.

Примечание Эта процедура избыточна и не возымеет эффекта, если в диалоговом окне свойств межсайтового протокола помечен флажок Bridge All Site Links (Установить мост для всех связей сайтов).

>• Объединение мостами всех связей сайтов для протокола межсайтовой репликации 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. Раскройте узел Inter-Site Transports, затем щелкните папку IP или SMTP правой кноп кой и выберите команду Properties.

Глава Настройка сайтов 3. В диалоговом окне свойств IP или SMTP на вкладке General (Общие) пометьте фла жок Bridge All Site Link (Установить мост для всех связей сайтов).

4. Щелкните ОК.

Настройка подключений вручную В обычных условиях служба каталогов Active Directory автоматически создает и удаляет подключения. Хотя вы можете вручную добавлять и настраивать подключения, а также принудительно выполнять репликацию по конкретному подключению, в большинстве слу чаев вам следует разрешить автоматическую оптимизацию репликации на основе сведе ний, заданных в консоли Active Directory Sites and Services. Создавать подключение вруч ную следует, только если вы уверены в его необходимости и хотите, чтобы оно сохраня лось, пока не будет удалено вручную.

^ Настройка подключения вручную 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. Дважды щелкните сайт, содержащий контроллер домена, для которого вы хотите вруч ную добавить или настроить подключение.

3. Раскройте папку Servers, затем папку контроллера домена и щелкните правой кнопкой мыши NTDS Settings и выберите команду New Active Directory Connection (Новое под ключение Active Directory).

4. В диалоговом окне Find Domain Controllers (Поиск: контроллеры домена) щелкните контроллер домена для объекта-подключения и щелкните ОК.

5. В диалоговом окне New Object — Connection (Новый объект — Подключение) в поле Name введите имя объекта и щелкните ОК.

^ Принудительная репликация по подключению 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. Дважды щелкните сайт, содержащий подключение, по которому необходимо принуди тельно выполнить репликацию.

3. Откройте папку Servers, выберите контроллер домена, затем откройте NTDS Settings.

4. Щелкните правой кнопкой мыши требуемое подключение и выберите команду Repli cate Now (Реплицировать сейчас) {рис. 6-8).

3 1 Chicago • ЕЗ ЛД Servers § server cji ia Inter-Site Transports i-i I Redmond В-И Servers В SERVER Рис. 6-8. Принудительная репликация по подключению -\ Занятие 2 Настройка репликации между сайтами Назначение основного сервера-плацдарма Обычно для обмена информацией между сайтами используются все контроллеры домена, однако, дабы более точно управлять репликацией, можно определить сервер-плацдарм, используемый для обмена данными каталога между сайтами. Наличие сервера-плацдарма позволяет выбрать основной контроллер домена для приема данных межсайтовой реплика ции. Затем сервер-плацдарм последовательно распространяет информацию каталога путем внутрисайтовой репликации.

Сервер-плацдарм — это точка подключения для обмена данными каталога между сай тами. Можно определить основной сервер-плацдарм, если имеется компьютер, способ ный оперативно передавать и принимать данные в соответствующих объемах. Использо вание мощного компьютера и емкого канала связи гарантирует корректную обработку больших объемов трафика репликации. Если ресурсы контроллера домена удовлет воряют заданным вами параметрам Active Directory, он сможет самостоятельно эффективно обра батывать данные каталога.

Можно задать несколько предпочитаемых сервере в-плацдармов, но в любой момент времени только один из них будет активным. При отказе активного сервера-плацдарма Active Directory перекладывает его функции на другой сервер-плацдарм. Если невозмож но использовать ни один из перечисленных пользователем серверов-плацдармов,, Active Directory выберет в качестве основного сервера-плацдарма другой контроллер домена в сайте. На этот случай данный контроллер домена должен обладать достаточной пропуск ной способностью, удовлетворяющей повышенным требованиям, которые предъявляются к серверу-плацдарму.

Необходимо указать основной сервер-плацдарм, если для защиты сайта в вашей систе ме используется брандмауэр. В качестве основного сервера-плацдарма выберите прокси сервер, выполняющий функции брандмауэра, при этом он станет точкой подключения для обмена данными с серверами, расположенными за пределами брандмауэра. Если это го не сделать, обмен данными каталога в ряде случаев выполняться не будет.

Выбранный основной сервер-плацдарм будет основным для обмена данными через протокол, соответствующий связи сайта. Другие контроллеры домена при необходимости также можно использовать для обмена данными каталога, но в нормальных условиях сер вер-плацдарм выбирается первым для получения и отправки всех данных каталога.

> Выбор основного сервера-плацдарма 1. Раскройте меню Start\Programs\Admimstrative Tools и щелкните Active Directory Sites And Services.

2. В дереве консоли щелкните правой кнопкой мыши контроллер домена, который тре буется сделать сервером-плацдармом, и выберите команду Properties.

3. В окне свойств контроллера домена в списке Transports Available For Inter-Site Data Transfer (Транспорты для передачи данных между сайтами) выделите один или несколь ко протоколов межсайтовой репликации, для которых данный компьютер будет основ ным сервером-плацдармом, и щелкните кнопку Add (Добавить).

4. Щелкните ОК.

Практикум: настройка репликации между сайтами Сейчас вы настроите стоимость связи сайтов, доступность и периодичность реп jf ^ ликации, а также мост связи сайтов.

1| 43 Настройка сайтов Глава > Задание 1: залайте стоимость связи сайтов 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

Откроется окно консоли Active Directory Sites and Services.

2. Откройте папку Inter-Site Transports, затем папку IP и щелкните правой кнопкой мыши связь сайтов Redmond To Chicago, созданную на предыдущем занятии. В контекстном меню выберите команду Properties.

Откроется диалоговое окно свойств связи Redmond To Chicago.

3. В поле Cost (Стоимость) введите стоимость репликации — 20.

>• Задание 2: настройте периодичность связи сайтов 1. В поле Replicate Every (Реплицировать каждые) введите 120, чтобы задать промежуток времени в минутах между повторами репликации.

^ Задание 3: настройте доступность репликации связи сайтов 1. Щелкните Change Schedule (Изменить расписание).

Откроется диалоговое окно Schedule For Redmond To Chicago (Расписание для Redmond То Chicago).

2. Сделайте подключение доступным постоянно, кроме интервалов с 8:00 до 9:00 и с 16: до 17:00 с понедельника по пятницу.

3. В окне свойств связи Redmond To Chicago щелкните ОК.

>• Задание 4: создайте мост связей сайтов 1. Откройте папку Inter-Site Transports, щелкните папку IP правой кнопкой и выберите команду New Site Link Bridge (Создать мост связей сайтов).

Откроется диалоговое окно New Object — Site Link Bridge (Новый объект — Мост свя зей сайтов).

2. В поле Name (Имя) введите Redmond to Chicago Bridge.

3. Убедитесь, что в поле Site Links In This Site Link Bridge (Связи сайтов, входящие в дан ный мост) отображаются связи DEFAULT1PSITELINK и Redmond to Chicago, и щелк ните ОК.

Резюме Помните, что необходимо указать сведения о доступности, стоимости и частоте для всех связей сайтов — это часть процесса настройки межсайтовой репликации. Active Directory всегда выбирает подключение на основе сведений о его стоимости;

таким образом, под ключение с низкой стоимостью используется в первую очередь и до тех пор пока оно до ступно. Создание мостов связей сайтов позволяет повысить эффективность репликации.

Кроме того, установка основного сервера-плацдарма делает данный сервер основным для обмена данными через протокол, соответствующий связи сайтов.

Выполняя практикум, вы настроили стоимость связи сайтов, доступность и периодич ность репликации, а также создали мост связи сайтов.

Устранение неполадок репликации Занятие 3. Устранение неполадок репликации Здесь обсуждаются проблемы, возникающие в процессе репликации. Как правило, про блемы, которые можно устранить средствами консоли Active Directory Sites and Services, таковы:

• новая информация каталога не распространяется своевременно;

• запросы на обслуживание не обрабатываются вовремя.

Здесь также рассказывается, как проверить топологию репликации.

Изучив материал этого занятия, вы сможете:

•S устранять проблемы с репликацией.

Продолжительность занятия — около 5 минут.

Неэффективная репликация вызывает падение производительности служб],: Active Directory;

например могут не распознаваться новые пользователи. В большинстве случаев в результате неэффективной обработки запросов и неэффективной репликации информа ция каталога устаревает, а контроллеры домена становятся недоступными. Каждую про блему можно решить одним или несколькими способами. В табл. 6-1 приведены рекомен дации по устранению неполадок репликации.

Табл. 6-1. Устранение неполадок репликации Репликация информации каталога прекратилась Причина Решение Сайты, включающие клиентов Создайте связь между текущим сайтом и сайтом, и контроллеры домена, не имеют подключенным к остальным сайтам сети связей с контроллерами доменов другого сайта сети. Это вызывает сбои в обмене информацией каталога между сайтами Репликация информации каталога замедлилась, но не остановилась Причина Решение Хотя все сайты соединены связями, Убедитесь, что служба Active Directory настроена существующая структура межсайто- правильно. Для объединения нескольких связей вой репликации недостаточно пол- сайтов, требующих более эффективной репликации, на.Информация каталога реплици- попробуйте создать мост или объединить в мост руется на все контроллеры домена, все связи сайтов если они объединены связями, од нако это не оптимальное решение.

При наличии связей сайтов и отсут ствии мостов распространение изме нений с одних контроллеров доме нов на другие, с которыми отсутст вуют прямые связи, выполняется слишком долго Глава Настройка сайтов Табл. 6-1. Устранение неполадок репликации (окончание) Репликация информации каталога замедлилась, но не остановилась Решение Причина Текущих сетевых ресурсов недоста- Увеличьте долю свободных сетевых ресурсов, выделяе точно для обслуживания суммар- мых трафику каталога. Уменьшите частоту репликации ного трафика репликации. Такая в расписании. Настройте стоимость связей сайтов.

ситуация может повлиять на служ- Создайте связи сайтов или мосты связей сайтов, чтобы бы, не имеющие отношения к получить сетевые подключения с повышенной пропуск Active Directory, поскольку обмен ной способностью информацией каталога требует зна чительных сетевых ресурсов Информация каталога, изменив- Увеличьте частоту репликации. Если репликация выпол шаяся на контроллерах домена в няется через мост, проверьте, какая связь сайтов сдер одном сайте, своевременно не об- живает репликацию. Увеличьте интервал времени, новилась на контроллерах домена отведенный для репликации, или частоту репликации в других сайтах, поскольку задан- в заданный интервал времени для проблемной связи ная в расписании частота меж- сайтов сайтовой репликации слишком низка Клиенты пытаются запросить Проверьте, имеется ли сайт, который способен лучше аутентификацию, информацию и обслуживать подсеть клиента. Если медленно обслу живаемый клиент изолирован от контроллера домена, службы у контроллера домена по подключению с низкой пропускной попробуйте создать другой сайт с собственным способностью. Это может замед- контроллером домена, к которому затем присоедините лить отклик на запросы клиентов клиент. Создайте подключение с большей пропускной способностью Проверка топологии репликации Active Directory запускает процесс, который определяет стоимость межсайтовых подклю чений, проверяет доступность известных контроллеров домена и не были ли добавлены новые и затем на основе полученных сведений добавляет или удаляет объекты-подключе ния для формирования эффективной топологии репликации. Этот процесс не затрагивает объекты-подключения, созданные вручную.

I* Проверка топологии репликации 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. В дереве консоли щелкните правой кнопкой мыши сервер, который хотите использо вать для проверки топологии репликации.

3. Щелкните NTDS Settings правой кнопкой и выберите в контекстном меню команду All Tasks\Check Replication Topology (Все задачи\Проверка топологии репликации).

Резюме Мы рассказали о некоторых проблемах, возникающих в процессе репликации, а также о возможных способах их [решения.

Занятие 4 Изменение параметров сервера -| Занятие 4. Изменение параметров сервера Чтобы сохранить конкурентноспособность в бизнесе, вам необходимо периодически кон фигурировать параметры сервера для сайта. На этом занятии мы опишем некоторые осо бенности обслуживания сервера, в том числе создание объекта-сервера в сайте, переме щение этого объекта между сайтами, включение или отключение поддержки глобального каталога и удаление объекта бездействующего сервера из сайта.

Изучив материал этого занятия, вы сможете:

/ настраивать объект сервера в сайте.

Продолжительность занятия — около 10 минут.

По мере роста и изменения сайта согласно потребностям бизнеса вам может потребо ваться изменить параметры сервера для сайта:

• создать объект-сервер в сайте;

• переместить объект-сервер между сайтами;

• включить или отключить поддержку глобального каталога;

• удалить бездействующий объект-сервер из сайта.

Создание объекта-сервера в сайте Данную процедуру можно использовать для создания в сайте рядовых серверов и кон троллеров домена, Создание объекта-сер вера — не то же самое, что установка контролле ра домена с помощью мастера Active Directory Installation.

>- Создание объекта-сервера в сайте 1. Раскройте меню Start\Programs\Admimstrative Tools и щелкните Active Directory Sites And Services.

2. В дереве консоли дважды шелкните сайт, в котором будет содержаться новый объект сервер контроллера домена.

3. Щелкните папку Servers правой кнопкой и выберите команду New\Server (Создать\ Сервер).

4. В диалоговом окне New Object — Server (Новый объект — Сервер) в поле Name (Имя) введите имя нового объекта-сервера. Затем щелкните ОК.

Перемещение объектов-серверов между сайтами Описанную ниже процедуру можно использовать для перемещения рядовых серверов и контроллеров домена между сайтами.

^ Перемещение объекта-сервера между сайтами 1. Раскройте меню Start\Programs\Administrative Tools и щелкните пункт Active Directory Sites And Services.

2. В дереве консоли щелкните требуемый объект-сервер правой кнопкой и выберите ко манду All Tasks\Move (Все задачи\Переместить).

3. В диалоговом окне Move Server (Перемещение сервера) выберите сайт, куда собираетесь переместить объект-сервер, и щелкните ОК.

•j 52 Настройка сайтоа Глава Включение и отключение поддержки глобального каталога Для регистрации в системе клиентам нужен доступ к глобальному каталогу, поэтому для использования преимуществ сайтов, в каждом из них должна быть минимум одна реплика глобального каталога.

^ Включение и отключение поддержки глобального каталога 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. В дереве консоли дважды щелкните контроллер домена, содержащий глобальный ка талог.

3. Щелкните правой кнопкой мыши NTDS Settings и выберите команду Properties.

4. Для включения поддержки глобального каталога пометьте флажок Global Catalog (для отключения поддержки — сбросьте этот флажок) и щелкните ОК.

Удаление бездействующего объекта-сервера из сайта Используйте данную процедуру, если хотите навсегда удалить объект-сервер из сайта. Если в дальнейшем вы планируете заново активизировать сервер, вместо удаления сервера уда лите его объект NTDS Settings. После повторной активизации сервера Active Directory ав томатически создаст новый объект NTDS Settings, соответствующим образом включив сервер в топологию репликации.

> Удаление бездействующего сервера 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services.

2. В дереве консоли щелкните правой кнопкой удаляемый объект-сервер и выберите ко манду Delete (Удалить).

3. В ответ на запрос подтвердить ваши намерения щелкните Yes.

Резюме Вы научились настраивать параметры сервера, в том числе создавать объект сервера в сай те, перемещать этот объект между сайтами, включать или отключать поддержку глобаль ного каталога, а также удалять бездействующий объект-сервера из сайта.

Закрепление материала 9| Приведенные ниже вопросы помогут вам лучше усвоить основные темы длиной ««я** главы. Если вы не сумеете ответить на вопрос, повторите материал соответствую щего занятия. Правильные ответы см. в приложении А «Вопросы и ответы» в кон це книги.

1. Назовите четыре этапа настройки сайта.

2. Назовите два конфигурационных объекта сайта, которые мастер установки Active Directory создает автоматически.

3. Какой протокол использует удаленные вызовы процедур для межсаитовои и внутри сайтовой репликации?

4. Назовите три этапа настройки репликации между сайтами.

5. В чем отличие частоты и доступности репликации?

6. Для чего предназначен сервер-плацдарм?

7- ГЛАВА Управление учетными записями пользователей Занятие 1. Учетные записи пользователей Занятие 2. Планирование новых учетных записей Занятие 3. Создание учетной записи Занятие 4. Создание профиля пользователя Занятие 5. Создание домашних папок Занятие 6. Изменение учетных записей Закрепление материала В этой главе Здесь рассказывается, как использовать и планировать учетные записи, как создавать ло кальные и доменные учетные записи и задавать их свойства. Кроме того, вы узнаете, как настроить профили пользователей и их домашние папки, а также о том, как запретить, разрешить, переименовать, удалить, разблокировать учетные записи и как восстановить пароли пользователей.

Прежде всего Для изучения материалов этой главы необходимо:

• понимать различия рабочей группы и домена;

• понимать различия контроллера домена и простого сервера;

• уметь входить и выходить из системы Windows 2000;

• знать правила именования в Active Directory.

Управление учетными записями пользователей Глава Учетные записи пользователей шятие Посредством учетной записи пользователь может подключиться к домену для доступа к ре сурсам сети или зарегистрироваться на каком-либо компьютере, чтобы получить доступ к его ресурсам. Все, кто регулярно пользуется сетью, должны иметь уникальную учетную запись.

В Windows 2000 предусмотрено три типа учетных записей: локальные, доменные и встроенные. Локальная учетная запись (local user account) позволяет пользователю зареги стрироваться на конкретном компьютере, чтобы получить доступ к его ресурсам. Пользо ватель, обладающий доменной учетной записью (domain user account) может подключиться к домену, чтобы получить доступ к ресурсам сети. Встроенная учетная запись (built-in user account) позволяет выполнять функции администрирования или получать доступ к ло кальным или сетевым ресурсам. На этом занятии рассказано об учетных записях и разли чиях между ними.

Изучив материал этого занятия, вы сможете:

S рассказать о различиях между локальной и доменной учетными записями;

S рассказать о назначении встроенной учетной записи.

Продолжительность занятия — около 10 минут.

Локальная учетная запись Позволяет войти в систему и получить доступ к ресурсам только того компьютера, на ко тором создана.

Windows 2000 создает локальную учетную запись только в локальной базе данных безо пасности (рис. 7-1). Windows 2000 не реплицирует информацию о локальной учетной за писи на какой-либо другой компьютер. Если существует локальная учетная запись, для проверки ее подлинности применяется локальная БД безопасности.

Не создавайте локальные учетные записи на компьютерах с Windows 2000, включен ных в домен, так как домен не распознает такие записи. А значит, пользователь не полу чит доступ к ресурсам домена, а администратор домена не сможет управлять локальными учетными записями или назначать разрешения доступа к ресурсам домена, если только он не подсоединился к компьютеру с помощью меню Action (Действие) консоли Computer Management (Управление компьютером).

=-:-;

Локальная БД безопасности Локальный пользователь Локальные учетные записи • Обеспечивает доступ к ресурсам на локальном компьютере • Создаются в локальной БД безопасности Рис. 7-1. Локальные учетные записи Учетные записи пользователей Занятие Учетные записи домена Позволяют пользователям получить доступ к домену и его ресурсам из любого места сети.

При входе в систему пользователь вводит свой пароль и регистрационное имя. На основе этих сведений Windows 2000 опознает пользователя и выделяет ему маркер доступа, кото рый содержит информацию о пользователе и параметрах защиты. Маркер доступа иденти фицирует пользователя для компьютеров с Windows 2000, к ресурсам которых он хочет по лучить доступ. Windows 2000 создает маркер доступа на время данной сессии.

Доменная учетная запись создается в контейнере или ОП в копии БД каталога Active Directory на контроллере домена (рис. 7-2). Этот контроллер реплицирует информацию о новой учетной записи на остальные контроллеры домена.

После этого все контроллеры в дереве домена могут опознать пользователя при входе в систему.

Репликация информации о доменной учетной записи на все контроллеры до мена выполняется не сразу. Поэтому иногда пользователю не удается немедленно войти в систему по только что созданной учетной записи. По умолчанию репликация информации каталога выполняется каждые пять минут.

Доменные учетные записи • Обеспечивают доступ к сетевым ресурсам • Предоставляют маркер доступа для аутентификации • Создаются в Active Directory на контроллере домена Рис. 7-2. Доменная учетная запись Встроенные учетные записи Windows 2000 автоматически создает встроенные учетные записи. Наиболее часто приме няются встроенные учетные записи Administrator (Администратор) и Guest (Гость) Встроенные учетные записи \и$&_имя_компьютера и ГМАМ_имя_компьютера создаются автоматически, при установке на контроллер домена Internet Information Services (IIS). IUSR_uAw_ компьютера — это запись для анонимного доступа к IIS. IWAM_ имя_кчмпью тера —• учетная запись для анонимного доступа к внепроцессным приложениям IIS.

Учетная запись TsInternetUser автоматически создается при установке Terminal Services на контроллере домена и используется службами терминалов.

Встроенная учетная запись Administrator Применяется для управления компьютером в целом. Если ваш компьютер входит в до мен, вы можете использовать эту запись для конфигурирования домена. Учетная запись Управление учетными записями пользователей Глава Administrator позволяет создавать и модифицировать учетные записи и труппы, управлять политикой безопасности, устанавливать принтеры, назначать разрешения учетным запи сям для доступа к ресурсам.

Учетную запись Administrator лучше использовать только для выполнения админист ративных задач. О настройке учетных записей для выполнения задач, не связанных с ад министрированием, — в главе 8.

Примечание Удалить учетную запись Administrator нельзя. Обязательно переименуйте ее для повышения уровня зашиты. Причем используйте имя, никак не связанное с учетной записью Administrator. Это усложнит процесс ее взлома.

Встроенная учетная запись Guest Применяется временными пользователями для входа в систему и по умолчанию отключена.

Активизируйте ее только в сетях, не требующих высокой степени зашиты, и всегда назна чайте пароль. Вы вправе переименовать эту учетную запись, но не можете ее удалить.

Резюме В Microsoft Windows 2000 существуют разные типы учетных записей: локальные и домен ные. Доменная учетная запись позволяет пользователю подключиться к домену, чтобы получить доступ к ресурсам сети. С помощью локальной учетной записи пользователь вхо дит в систему на конкретном компьютере для получения доступа к его ресурсам. Также существуют встроенные учетные записи, которые бывают как доменными, так и локаль ными. Они предназначены для выполнения функции администрирования или получения доступа к ресурсам.

Доменная учетная запись создается в копии БД каталога Active Directory на контрол лере домена. Этот контроллер реплицирует информацию о новой учетной записи на ос тальные контроллеры домена. Windows 2000 создает локальную учетную запись только в БД безопасности конкретного компьютера (локальной БД безопасности). Информация о локальной учетной записи не реплицируется на контроллеры домена. Встроенные учет ные записи Windows 2000 создает автоматически.

Планирование новых учетных записей Занятие Занятие 2. Планирование новых учетных записей Вы можете ускорить процесс создания учетных записей, правильно планируя и организуя информацию. В этом занятии рассказывается о планировании:

• правил именования учетных записей;

• требований к паролям;

• параметров учетных записей (время, когда можно входить в систему, компьютеры, с которых это можно делать, а также срок действия пароля).

Изучив материал этого занятия, вы сможете:

планировать создание новых учетных записей;

рассказать, как требования для паролей влияют на уровни безопасности.

Продолжительность занятия — около 10 минут.

Правила именования учетных записей Прежде всего, нужно знать, как пользователи идентифицируются в домене. Логичные правила и строгое их соблюдение помогут вам и вашим пользователям запомнить имена для входа в систему и найти их в списках.

В табл. 7-1 перечислены правила именования, которые необходимо учитывать при планировании учетных записей.

Табл. 7-1. Правила именования Правило Пояснение Локальные учетные записи Имена локальных учетных записей должны быть уникальны на компьютере, где вы их создаете Доменные учетные записи Составное имя (distinguished name, DN) для входа в систему должно быть уникальным в каталоге Active Directory. Относи тельное составное имя пользователя (relative distinguished name, RDN) должно быть уникально в пределах организационного подразделения (ОП), где вы создаете доменную учетную запись Имена пользователей могут содержать до 20 символов, как Используйте максимум строчных, так и прописных. В поле разрешается ввести и боль 20 символов шее число символов, но Windows распознает только первые Недопустимы следующие символы:

Избегайте недопустимых «/\[]:;

1=, + *?<> символов Вы можете использовать комбинацию специальных и алфа В именах пользователей витно-цифровых символов для того, чтобы уникально иден регистр не различается тифицировать пользователя. Регистр не имеет значения, но Windows 2000 сохраняет его Если есть два пользователя с именами Иванов Алексей Согласуйте учетные записи Викторович, вы можете для первой записи взять фамили ю для служащих с одинако пользователя и его инициалы, а для второй добавить еще выми именами несколько букв из имени или отчества для того, чтобы эти учетные записи различались. Например, ИвановАВ и ИвановАлексейВ. Другой вариант — пронумеровать имена пользователей: ИвановАВ! и ИвановАВ 160 Управление учетными записями пользователей Глава Табл. 7-1. Правила именования (продолжение) Правило Пояснение Отразите статус служащего Укажите временный статус служащих в их учетной записи.

Для этот можно использовать Т и дефис перед именем пользователя. Например, Т-ИвановАВ. Или применить скобки ИвановАВ(Тетр) Совместимость Некоторые системы электронной почты не воспринимают с электронной почтой такие символы, как пробел или круглые скобки Требования к паролям Чтобы упорядочить доступ к ресурсам системы, каждой учетной записи надо сопоставить пароль. Перечислим основные принципы назначения паролей.

• Всегда назначайте пароль для учетной записи Administrator (Администратор), чтобы предотвратить неавторизованный доступ.

• Определитесь, кто будет назначать уникальны^' пароли для учетных записей: админис тратор или пользователи. Вы можете делать это сами и запретить пользователям их изменять. Другой вариант — разрешить пользователям ввести собственные пароли при первом входе в систему. В большинстве случаев лучше, когда пользователи сами уп равляют своими паролями.

• Придумайте пароли, которые трудно угадать. Избегайте паролей с очевидными ассо циациями (например, год рождения, имя родственника и т. п.).

• Длина пароля может достигать 128 символов. Рекомендуемая минимальная длина — символов.

• Используйте как строчные, так и прописные буквы, числа, а также разрешенные сим волы.

• Между первой и седьмой позициями вставьте минимум один символьный знак.

• Пусть следующий пароль как можно больше отличается от предыдущего.

• Пароль не должен содержать имя пользователя или имя учетной записи.

• В качестве пароля не следует выбирать часто употребляемое слово или имя.

Примечание Групповые политики Windows 2000 также влияют на пароли. Подробнее об использовании групповых политик — в главе 12.

Параметры учетных записей Необходимо определить часы, когда пользователю разрешено войти в сеть, а также ком пьютеры, с которых он может это сделать. Также надо установить, должен ли истекать срок действия учетных записей временных пользователей.

Часы входа в систему Устанавливаются для пользователей, которым нужен доступ только в определенное вре мя. Например, вы можете разрешить рабочим ночной смены доступ только в их рабочее время.

Занятие 2 Планирование новых учетных записей Компьютеры, с которых пользователю разрешено войти в систему По умолчанию пользователям доступен домен с любого компьютера домена. По сообра жениям безопасности можно разрешить пользователям получать доступ к домену только с их компьютеров, Таким образом, пользователям не удастся получить важную информа цию, хранящуюся на других компьютерах.

Внимание! Если использование NetBIOS поверх TCP/IP запрещено, Windows 2000 но смо жет определить, с какого компьютера пользователи входят в систему, и, таким образом, вам не удастся указать компьютеры, с которых пользователи имеют право войти в систему.

Истечение срока действия учетной записи Если срок действия учетной записи ограничен, то необходимо задать дату истечения сро ка действия учетной записи, чтобы гарантировать, что учетная запись будет запрещена по прошествии этого срока. Рекомендуется приурочить срок истечения учетных записей вре менных работников к моменту окончания их контракта.

Практикум: планирование новых учетных записей Сейчас вы попробуете спланировать учетные записи для новых сотрудников.

Сценарий Вам, администратору Window';

2000 в вашей корпоративной сети, нужно создать и настроить учетные записи для новых сотрудников. Предположим, недавно на работу при нято девять сотрудников. Вам нужно определить:

• правила именования, позволяющие легко создать учетные записи для сотрудников с одинаковыми именами, а также для временных сотрудников;

• время, когда им разрешено входить в систему;

• компьютеры, с которых они могут входит в систему.

Условия При назначении учетных записей следует выполнить следующие условия:

• каждому сотруднику нужна своя учетная запись;

• постоянные сотрудники должны сами отвечать за свои пароли;

• из соображений безопасности администратор будет сам контролировать пароли вре менных служащих;

• часы работы дневной смены — с 8:00 до 17:00, ночной смены — с 18:00 до 6:00, • постоянным служащим необходим доступ к сети в любое время суток;

• временным служащим разрешается входить в систему только с их компьютеров и толь ко во время их смены, они используют компьютеры с именами Tempi и Тетр2, Список новых сотрудников В табл. 7-2 приведены имена и другие сведения о новых сотрудниках.

Управление учетными записями пользователей 162 Глава Табл. 7-2. Сведения о новых сотрудниках Должность Отдел Статус Смена Имя пользователя Don Hall Агент Отдел продаж Временный День Donna Hall Отдел технической Ночь Менеджер Постоянный поддержки Вице- Обучение Постоянный День James Smith президент День Агент Отдел продаж Постоянный James Smith Разработчик Разработка Ночь Jon Morris Временный продуктов Разработчик Разработка Временный День Judy Lew продуктов Президент Обучение День Kim Yoshida Постоянный Отдел технической Ночь Laurent Инженер Временный поддержки Отдел технической День Sandra Martinez Инженер Постоянный поддержки Определение правил именования Заполните табл. 7-3, используя информацию из разделов «Сценарий», «Условия* и «Спи сок новых сотрудников», чтобы определить правила именования для новых служащих.

Табл. 7-3. План правил именования учетных записей новых сотрудников Имя пользователя Полное имя Имя пользователя для входа в систему Don Hall Donna Hall James Smith James Smith Jon Morris Judy Lew Kim Yoshida Laurent Vernhes Sandra Martinez Заполните табл. 7-4, используя информацию из разделов «Сценарий», «Условия» и «Список новых сотрудников», чтобы определить часы входа в систему для новых служа щих и компьютеры, с которых они могут это сделать.

\ § Занятие 2 Планирование новых учетных записей Табл. 7-4. План расписания входа в систему для новых сотрудников Имя пользователя Когда пользователю С каких компьютеров разрешено входить пользователю разрешен в систему вход в систему Don Hall Donna Hall James Smith James Smith Jon Morris Judy Lew Kim Yoshida Laurent \ernhes Sandra Martinez Выберите подходящие параметры смены паролей для каждого пользователя в табл. 7 5, чтобы определить, кто контролирует пароль пользователя.

Табл. 7-5. Планирование паролей для новых сотрудников Имя пользователя Пользователь должен Пользователь сменить пароль при следующем не может менять пароль входе в систему Don Hall Donna Hall James Smith James Smith Jon Morris Judy Lew Kim Yoshida Laurent \%rnhes Sandra Martinez Управление учетными записями пользователей Глава Резюме При планировании учетных записей необходимо определить правила наименования учет ных записей, требования к паролям, а также параметры учетных записей — время, когда вход в систему разрешен, компьютеры, с которых это можно делать, а также срок дей ствия пароля. Учетные записи домена могут иметь длину до 20 символов и должны быть уникальны в ОП, в котором вы создаете доменную учетную запись. Составное имя для входа в систему (DN) должно быть уникально в каталоге. Относительное составное имя пользователя (RDN) должно быть уникально в пределах ОП, где вы создаете доменную учетную запись. Имена локальных учетных записей могут иметь длину до 20 символов и должны быть уникальны на компьютере, где вы их создаете. Если вы учтете все эти требо вания перед началом создания учетных записей, то сократите время, затраченное на со здание учетных записей, и упростите управление этими учетными записями.

В практикуме вы попытались реализовать выдуманный сценарий. Вы создали правила именования, позволяющие легко создать учетные записи для сотрудников с одинаковыми именами, а также для временных сотрудников. Кроме того, основываясь на предоставлен ных сценарии и требованиях, вы создали расписание входа в систему для каждого пользо вателя, а также компьютеров, с которых они могут это сделать.

Занятие 3 Создание учетной записи Создание учетной записи Локальные учетные записи создаются с помощью оснастки Local Users and Groups (Ло кальные пользователи и группы) консоли Computer Management (Управление компьюте ром). Доменные учетные записи создаются средствами консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Для использования этих ин струментов необходимо иметь права администратора. На этом занятии мы расскажем о создании учетных записей и настройке их параметров.

Изучив материал этого занятия, вы сможете:

создать локальную учетную запись;

•S создать доменную учетную запись;

настроить параметры учетной записи.

Продолжительность занятия — около 45 минут.

Создание локальной учетной записи Оснастка Local Users and Groups (рис. 7-3) позволяет создавать, удалять или отключать локальные учетные записи на локальном компьютере или в рабочей группе, Нельзя созда вать локальные учетные записи на контроллере домена.

Computer Management (Local] fc, System Tor* Event rtew» SyiOmi Irf of matmr Performance Logs and Weft Shared Folders Device Manao&r Lcical Uter? and Groups L-3J Groups =3 Ш storaJe - Ш > Management 1* | Dak De(r»gmenter ^ U2I Logical Drives S;

-jj|f Removable Storage ft-! -5fe Services and Application?

Рис. 7-3. Оснастка Local Users and Groups и окно New User *• Создание локальной учетной записи 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администриро вание) и щелкните Computer Management (Управление компьютером).

2. Разверните окно Local Users And Groups (Локальные пользователи и группы), шелкни те правой кнопкой папку Users (Пользователи) и выберите в контекстном меню ко манду New User (Новый пользователь).

3. В одноименном диалоговом окне (рис. 7-3) задайте параметры локальной учетной за писи, как описано в табл. 7-6.

166 Глава Управление учетными записями пользователей Табл. 7-6. Параметры локальной учетной записи Описание Параметр Имя пользователя для входа в систему User Name (Пользователь) (заполнить это поле необходимо) Полное имя пользователя, в том числе имя и фамилия (также Full Name (Полное имя) может включать отчество, инициалы и т. п.). Заполнять это поле не обязательно Описание учетной записи или статуса пользователя (заполнять Description (Описание) не обязательно) По умолчанию этот флажок отмечен, но при желании его User Must Change Pass можно снять. Он означает, что пользователь должен сменить word At Next Logon пароль при следующем входе в систему (Потребовать смену пароля при следующем входе в систему) Пароли разрешается изменять только администраторам User Cannot Change Pass word (Запретить смену пароля пользователем) Password Never Expires Пометьте этот флажок, если не хотите, чтобы пароль менялся.

Если установлен флажок User Must Change Password At Next (Срок действия пароля Logon, флажок User Cannot Change Password недоступен не ограничен) Пометьте этот флажок, чтобы запретить использование учет Account Is Disabled ной записи: например, если сотрудник отстранен от работы (Отключить учетную запись) Создание доменной учетной записи Средствами консоли Active Directory Users and Computers (рис. 7-4) можно создавать, уда лять или отключать доменные учетные записи на контроллере домена или локальные учет ные записи на любом компьютере домена.

При создании доменной учетной записи имя входа пользователя по умолчанию отно сится к домену, в котором она создается. Впрочем, вы можете выбрать любой домен, на котором вы имеете право создавать доменные учетные записи. Кроме того, вам надо выб рать контейнер, где будете создавать новую запись. Можно создать доменную учетную запись в стандартном контейнере Users или в контейнере, где будут храниться доменные учетные записи.

^ Создание доменной учетной записи 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администриро вание) и щелкните Active Directory Users and Computers (Active Directory — пользовате ли и компьютеры).

2. Раскройте домен, щелкните правой кнопкой контейнер Users (Пользователи) и выбери те в контекстном меню команду New\User (Создать\Пользователь).

Примечание Users — просто контейнер по умолчанию. В производственной среде учет ные записи пользователей следует добавлять в созданные вами ОП, а не в контейнер Users.

Создание учетной записи Занятие ИШГВДИМШ.Ц' t,u."> iv-л <• E'J га И ' Рис. 7-4. Консоль Active Directory Users and Computers и окно New Object User 3. В окне New Object — User (Новый объект — пользователь) (рис. 7-4) задайте параметры доменного имени пользователя, описанные в табл. 7-7.

Табл. 7-7. Параметры имени пользователя в окне New Object User Параметр Описание First Name (Имя) Имя пользователя. Для добавления объекта пользователя необхо димо заполнить одно из полей: First Name, Last Name, Full Name или Initials Initials (Инициалы) Инициалы пользователя Last Name (Фамилия) Фамилия пользователя Полное имя пользователя. Должно быть уникально в контейнере, Full Name где создается учетная запись. Windows 2000 автоматически :(апол (Полное имя) няет это поле, если вы ввели информацию в поля First Name, Initials или Last Name. Поле Create-In (Создать в) показывает, в каком контейнере будет расположена новая учетная запись User Logon Name содержит поле и список, уникально опрецеляю User Logon Name щий пользователя в сети. Поле (слева) — это уникальное имя входа (Имя входа пользователя, основанное на правилах именования. Это поле пользователя) необходимо заполнить, причем имя должно быть уникальным в домене. Список (справа) — это доменное имя Уникальное имя, под которым пользователь входил в систему User Logon Name в предыдущих версиях Windows, например Windows NT 4. (Pre-Windows 2000) или Windows NT 3.51. Поле заполняется в обязательном порядке, (Имя входа пользова имя должно быть уникальным в домене теля в предыдущих версиях Windows) Настройка пароля В диалоговом окне New Object — User (Новый объект — пользователь) (рис. 7-4) щелкни те Next, чтобы открыть второе диалоговое окно New Object — User (рис. 7-5), где задаются параметры пароля для доменной учетной записи.

Глава Управление учетными записями пользователей (П. ЛВС!ф8Й.СС.|11'1_|;

е( Рис. 7-5. Окно New Object — User В табл. 7-8 описаны параметры пароля, перечисленные в окне New Object — User.

Табл. 7-8. Параметры пароля в окне New Object — User Описание Параметр Пароль, используемый для аутентификации пользователя. Для повыше Password (Пароль) ния уровня защиты всегда назначайте пароль Подтвердите пароль, введя его вторично (это необходимо при назначе Confirm password нии пароля) (Подтверждение) Пользователь должен сменить пароль при первом входе в систему.

User Must Change Таким образом, пользователь будет единственным человеком, Password At Next знающим пароль Logon (Потребо вать смену пароля при следующем входе в систему) Пароли вправе изменять только администраторы. Отметьте этот флажок, User Cannot если одну и ту же доменную учетную запись (например, Guest) исполь Change Password зуют несколько человек или если вы хотите сохранить контроль над (Запретить смену паролями учетных записей пароля пользователем) Password Never Отметьте этот флажок, если не хотите, чтобы пароль менялся. Если установлен флажок User Must Change Password At Next Logon, флажок Expires (Срок действия пароля User Cannot Change Password недоступен не ограничен) Пометьте этот флажок, чтобы запретить использование учетной записи, Account Is Disabled например, если сотрудник отстранен от работы (Отключить учет ную запись) Примечание Всегда требуйте, чтобы новые пользователи вводили собственный пароль при первом входе в систему. Это исключит существование учетной записи без пароля, а пароль будет знать только сам пользователь.

Замятие 3 Создание учетной записи ~| gg Совет Для большей безопасности в сетях создавайте случайные начальные пароли для всех новых учетных записей, используя произвольную комбинацию букв и цифр. Это обеспечит защиту учетных записей.

Практикум: создание доменной учетной записи Создайте доменные учетные записи, перечисленные в табл. 7-9.

Табл. 7-9. Доменные учетные записи для практикума User Logon Name Password Change Pass First Name Last Name (Имя) (Фамилия) (Имя входа (Пароль) word (Изменить пользователя) пароль) Userl One User Must (пустой) User User Three Must (пустой) UserS Five User User Must User? User?

Seven User Must User Nine User9 User9 Cannot Выполнив следующее задание, вы создадите первую учетную запись с помощью кон соли Active Directory Users and Computers. Далее повторите те же действия для со щания остальных учетных записей.

^ Задание: создайте доменную учетную запись 1. Зарегистрируйтесь как Administrator (Администратор).

2. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администриро вание) и щелкните Active Directory Users and Computers (Active Directory — пользовате ли и компьютеры).

Откроется одноименная консоль.

3. Раскройте узел microsoft.com (если вы используете другое имя домена, раскройте свой домен) и дважды щелкните папку Users.

Какие учетные записи мастер установки Active Directory создал по умолчанию?

4. Щелкните правой кнопкой мыши папку Users и выберите в контекстном меню коман ду New\User (Создать\Пользователь).

Откроется окно New object — User.

Где в Active Directory будет создана новая учетная запись?

5. В поле First Name введите User.

6. В поле Last Name введите One.

Заметьте: поле Full Name заполняется автоматически.

7. В поле User Logon введите userl.

8. В списке справа от окна User Logon выберите @microsoft.com (имя домена может отли чаться, если вы не использовали microsoft.com в качестве доменного имени DNS).

Имя входа пользователя в сочетании с доменным именем, появляющимся в окне спра ва от окна User Logon Name, — это полное имя входа пользователя в Интернете. Это имя уникально определяет пользователя в каталоге (например, userl@microsofi.com).

Заметьте: поле имени входа для предыдущих версий Windows заполняется автоматически.

170 Управление учетными записями пользователей Глава В каких случаях используется имя входа предыдущих версий Windows?

9. Щелкните Next, чтобы продолжить.

Windows 2000 отобразит окно New Object — User, предлагая ввести параметры пароля и ограничения.

10. В полях Password и Confirm Password введите пароль или оставьте эти поля пустыми, если вы не присваиваете пароль.

Если вы вводите пароль, обратите внимание, что на экране его символы заменяются звездочками (*), дабы посторонние не подсмотрели ваш пароль.

11. Определите, может ли пользователь изменять свой пароль.

Каковы результаты одновременного применения флажков User Must Change Password At Next Logon и User Cannot Change Password? Поясните ответ.

В каком случае следует выбрать флажок Account is Disabled при создании новой учет ной записи?

12. После задания параметров пароля щелкните Next.

Откроется окно New Object — User, содержащее параметры, сконфигурированные для этой учетной записи.

13. Проверьте правильность параметров и щелкните кнопку Finish (Готово).

Примечание Если настройки учетной записи оказались неверными, щелкните кнопку Back (Назад), чтобы изменить их.

Заметьте: на правой панели консоли Active Directory Users and Computers появилась вновь созданная учетная запись.

14. Повторите пункты 4—13 для остальных учетных записей.

Свойства учетной записи С каждой создаваемой учетной записью ассоциируется набор свойств по умолчанию. Пос ле создания учетной записи можно настраивать персональные и учетные свойства, пара метры входа и входящих звонков. Для пользователей домена эти учетные свойства равно сильны свойствам объектов.

Вы можете использовать заданные для доменной учетной записи свойства для поиска пользователей в каталоге или для применения в других приложениях в качестве атрибутов объектов. Поэтому необходимо задать подробные определения для каждой создаваемой доменной учетной записи., Вкладки окна свойств (рис. 7-6) содержат информацию об учетной записи. Описание этих вкладок приведено в табл. 7-10.

Табл. 7-10. Вкладки окна свойств учетной записи Вкладка Описание General (Общие) Имя и фамилия пользователя, отображаемое имя, местоположение офиса, номер(а) телефоиа(ов), электронный адрес, адрес домашней страницы и др.

Address (Адрес) Все адресные данные Account Свойства учетной записи пользователя: имя входа пользователя, время (Учетная запись) входа, компьютеры, с которых пользователь может войти в систему, учетные параметры, срок действия Создание учетной записи Занятие Табл. 7-10. Вкладки окна свойств учетной записи (окончание) Вкладка Описание Путь профиля, сценарий входа, домашний каталог и совместно Profile (Профиль) используемая папка с документами Telephones (Телефоны) Номера домашнего телефона, пейджера, мобильного телефона, факса, IP-телефона пользователя и комментарии Organization Должность, отдел, компания, руководитель и прямые подчиненные (Организация) Remote Control (Уда- Конфигурирует параметры служб Terminal Services ленное управление) Terminal Services Конфигурирует профиль пользователя служб Terminal Services Profile (Профиль служб терминалов) Member Of Группы, в которые входит пользователь (Член групп) Dial-In Свойства входящих звонков пользователя (Входящие звонки) Environment (Среда) Конфигурирует среду служб Terminal Services Задает параметры ограничения длительности сеансов служб Terminal Sessions (Сеансы) Services Примечание Для локальной учетной записи окно свойств содержит только вкладки Gene ral, Member Of и Profile, поскольку локальные пользователи не считаются в Active Directory объектами пользователей.

Настройка личных свойств Четыре вкладки окна свойств учетной записи таковы: General, Address, Telephones и Organization. Настройка атрибутов этих вкладок позволяет пользователям и администра торам искать пользователей в каталоге. Например, если заполнены все поля вкладки Address (рис. 7-6), можно найти человека по адресу или другому полю.

> Настройка личных свойств 1. В меню Administrative Tools (Администрирование) щелкните Active Directory Users and Computers, затем — имя домена.

2. Щелкните соответствующий контейнер, чтобы просмотреть имеющиеся доменные учетные записи.

3. Щелкните правой кнопкой соответствующую доменную учетную запись и в контекстном меню выберите команду Properties (Свойства).

4. Щелкните соответствующую вкладку личных свойств, которые хотите ввести или из менить, и введите значения всех свойств.

5. Щелкните ОК.

172 Управление учетными записями пользователей Г/шва • Рис. 7-6. Вкладка Address (Адрес) окна свойств учетной записи Настройка свойств учетных записей Для настройки свойств доменной учетной записи используется вкладка Account (Учетная запись) (рис. 7-7). Некоторые параметры доменных учетных записей совпадают для вкла док Account и New Object — User. В табл. 7-11 описаны дополнительные свойства учетных записей, недоступные при создании доменной учетной записи.

Табл. 7-11. Дополнительные параметры учетной записи Параметр Описание Store Password Using Rever- Позволяет войти в систему пользователям Macintosh. Компью sible Encryption (Хранить теры Macintosh только посылают этот тип команды пароль, используя обратимое шифрование) Smart Card is Required For Позволяет пользователю войти в систему с использованием Interactive logon (Для интер- смарт-карты. Для этого требуется дополнительное аппаратное активного входа в сеть обеспечение — устройство считывания смарт-карт нужна смарт-карта) Account is Trusted For Позволяет пользователю присвоить права управления и адми Delegation (Учетная запись нистрирования части пространства имен другому пользова доверена для делегирования) телю, группе или организации Account is Sensitive And Не допускает присвоения учетной записи для делегирования Cannot Be Delegated другой учетной записью (Учетная запись важна и не может быть делегирована) Use DES Encryption Types Обеспечивается алгоритм шифрования DES For This Account (Исполь зовать для этой учетной запи си типы шифрования DES) Занятие Табл. 7-11. Дополнительные параметры учетной записи (окончание) Параметр Описание Do Not Require Kerberos Отказ от предварительной аутентификации для учетных запи сей, использующих другую реализацию Kerberos. Предваритель Preauthentication (Без пред ную аутентификацию используют не все реализации Kerberos варительной проверки пол.11 ''ости Kerberos) Account Expires (Срок Устанавливается срок действия учетной записи. Щелкните переключатель Never (He ограничен), если не хотите ограни действия учетной записи) чивать срок действия учетной записи. Щелкните End Of (Истекает) и введите в поле дату окончания срока действия учетной записи, по истечении которого Windows 2000 aiсома тически отключит ее ' I • Рис. 7-7. Вкладка Account (Учетная запись) окна свойств учетной записи Настройка времени входа Для контроля за входом пользователя в домен задайте часы входа в систему — срок, в тече ние которого пользователям разрешается работать в сети. По умолчанию компьютер под управлением Windows 2000 доступен в любой день 24 часа в сутки. Можно разрешить вход только в рабочее время. Установка времени входа сокращает срок, в течение которого учет ная запись открыта для несанкционированного доступа.

> Настройка времени входа 1. В окне свойств учетной записи на вкладке Account щелкните кнопку Logon Hours (Вре мя входа), В одноименном окне голубым цветом отмечены часы, когда пользователю разрешено входить в систему. Белым отмечены часы, когда вход запрещен (рис. 7-8).

2. Чтобы разрешить или запретить доступ, проделайте следующие операции:

• выберите прямоугольники, соответствующие дням и часам, для которых хотите раз решить доступ, щелкните время начала, перетащите на время окончания и щелкните переключатель Logon Permitted (Вход разрешен);

174 Управление учетными записями пользователей Глава • выберите прямоугольники, соответствующие дням и часам, для которых хотите зап ретить доступ, щелкните время начала, перетащите на время окончания и шелкните переключатель Logon Denied (Вход запрещен);

3. Щелкните ОК.

Важно помнить, что любые соединения с сетевыми ресурсами домена не прекращают ся по окончании разрешенного времени пребывания пользователя в системе. Однако пользователь не сможет установить новые соединения.

Вход разрешен в эти часы Вход запрещен в эти часы Рис. 7-8. Окно Logon Hours (Время входа) Компьютеры, с которых пользователи могут входить в систему По умолчанию пользователям разрешается входить в домен с любого компьютера домена.

Потребуйте, чтобы пользователи входили на домен только с их собственных компьютеров.

Это предотвратит их доступ к конфиденциальной информации на других компьютерах.

Примечание Чтобы контролировать компьютеры, с которых пользователь может войти на домен, необходимо включить NetBIOS поверх TCP/IP.

> Определение рабочих станций для входа в систему 1. В окне свойств на вкладке Account щелкните Log On To (Вход на).

2. В окне Logon \Vbrkstations (Рабочие станции для входа в систему) выберите параметр, определяющий, с какого компьютера пользователь может войти в систему (рис. 7-9).

3. Добавьте компьютеры, с которых пользователю разрешается войти в систему.

Используйте заданное во время установки Windows 2000 имя компьютера, являющееся именем учетной записи компьютера в каталоге.

4. При необходимости удалите или отредактируйте имя компьютера, с которого пользо ватель может входить в систему.

5. Щелкните ОК.

Занятие 3 Создание учетной записи "| Logon Works tatiwts По умолчанию пользователь вправе входить. с любого компьютера Г The lotow«) cuftipu*!-;

Щелкните, чтобы разрешить доступ только с указанных компьютеров i^ Вводите здесь имена компьютеров и щелкайте кнопку Add Рис. 7-9. Окно Logon Workstations (Рабочие станции для входа в систему) Вкладка Dial-In Вкладка Dial-In (Входящие звонки) позволяет контролировать, как пользователь выпол няет телефонное подключение к сети. Для получения доступа к сети пользователь соеди няется с компьютером, на котором работает служба Remote Access Service (RAS).

Примечание Помимо настройки параметров соединения и наличия службы RAS на сер вере, к которому подсоединяется пользователь, надо настроить и коммутируемое соедине ние по телефону для сервера на компьютере клиента. Это поможет вам сделать мастер Net work Connection (Мастер сетевого подключения), вызываемый из папки Network Connec tions (Сеть и удаленный доступ к сети) в окне My Computer (Мой компьютер).

В табл. 7-12 описаны параметры настройки безопасного коммутируемого соединения.

Табл. 7-12. Параметры вкладки Dial-In окна свойств учетной записи Параметр Описание Allow Access Включает доступ по телефонной линии или по виртуальной (Разрешить доступ) частной сети Deny Access Отключает доступ по телефонной линии или по виртуальной частной сети (Запретить доступ) Определяет, что право удаленного доступа для этого пользова Control Access Through теля контролируется посредством политики удаленного доступа Remote Access Policy (Контролировать доступ с помощью политики удаленного доступа) Номер телефона, по которому пользователь подключается к сети \ferify Caller-ID (Про по телефонной линии верять идентификатор) учетными записями пользователей Глава Табл. 7-12. Параметры вкладки Dial-In окна свойств учетной записи (окончание) Описание Параметр Callback Options (пара- Методы обратного вызова, в том числе: No Callback (Ответный вызов не выполняется) — сервер RAS не будет звонить пользова метры ответного вызова) телю, и пользователю придется оплачивать расходы на телефон ное соединение. Этот параметр принят по умолчанию;

Set By Caller (Routing and Remote Access Service Only) (Устанавливается вызывающим) — пользователь предоставляет телефонный номер для ответного звонка службы RAS сервера.

Компания оплачивает расходы на телефонное соединение;

Always Callback То (Всегда по этому номеру) — служба RAS сервера перезванивает пользователю по указанному номеру. Пользователь должен находиться по заданному номеру для соединения с серве ром, что снижает риск того, что соединение выполнит уполномо ченное лицо, поскольку номер задан заранее. Применяется в среде с высоким уровнем безопасности Assign A Static IP Address Игнорируются параметры группового профиля телефонного (Присвоить статический соединения, и этому пользователю присваивается статический адрес TCP/IP IP-адрес) Apply Static Routes Конфигурируются заданные заранее маршруты для односторон них маршрутизируемых удаленных соединений по требованию (Применять статические маршруты) Позволяет задать статические маршруты Static Routes (Статические маршруты) Практикум: изменение свойств учетной записи Измените свойства учетной записи. Настройте время входа и срок действия учет ной записи для нескольких из созданных на предыдущем занятии учетных запи сей. Добавьте эти учетные записи в группу Print Operators (Операторы печати), чтобы эти учетные записи получили право входить на контроллер домена. Проте стируйте ограничения времени входа, ограничения пароля, заданные при созда нии записей, и срок действия учетной записи.

Упражнение 1: настройка времени входа и срока действия учетной записи Задайте время, в течение которого пользователи UserS и UserS могут входить на компью тер, и для пользователя UserS задайте срок действия учетной записи.

Сценарий Измените параметры учетных записей согласно сведениям из табл. 7-13.

Табл. 7-13. Свойства учетной записи для упражнения Учетная запись Время входа Срок действия учетной записи User3 18.00 - 6.00, с понедельника по пятницу User5 Сегодня Создание учетной записи Занятие Внимание! Чтобы выполнить следующее задание, зарегистрируйтесь как Administrator (Администратор), запустите консоль Active Directory Users and Computers и раскройте домен в дереве консоли.

^ Задание 1: определите время входа 1. В дереве консоли Active Directory Users and Computers (Active Directory — пользе ватели и компьютеры) раскройте папку Users.

2. На правой панели щелкните правой кнопкой параметр User Three и выберите в кон текстном меню команду Properties (Свойства), Откроется окно User Three Properties (Свойства: User Three), вкладка General (Общие).

Какую информацию, кроме имени и фамилии, можно задать для учетной записи на вкладке General? Для чего нужна эта информация?

3. На вкладке Account (Учетная запись) щелкните кнопку Logon Hours (Время входа).

Откроется окно Logon Hours For User Three (Время входа для User Three).

В какое время пользователю User Three разрешается войти в систему?

4. Чтобы ограничить время входа пользователя, щелкните время начала первого интер вала, в течение которого хотите запретить пользователю вход, и перетащите указа тель на конечное время этого интервала.

Все квадраты, соответствующие часам выбранного интервала будут обведены рамкой, Чтобы выбрать такой же интервал времени для всех дней недели выше строки Sunday (Воскресенье), щелкните серый квадрат, соответствующий началу перио да, и перетащите указатель на время окончания. Чтобы выбрать день полностью, щелк ните серый квадрат с названием дня.

5. Щелкните переключатель Logon Denied (Вход запрещен).

Выделенный период изменит цвет на белый. Это означает, что пользователю запрещен вход в систему в течение этого срока.

6. Повторяйте пункты 4—5, пока не будут разрешены только нужные часы входа.

7. Щелкните ОК, чтобы закрыть окно Logon Hours For User Three.

8. В окне User Three Properties щелкните ОК, чтобы применить параметры и вернуться в консоль Active Directory Users and Computers.

^ Задание 2: задайте срок действия учетной записи 1. В дереве консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры) |целкните папку Users (Пользователи).

2. На правой панели щелкните правой кнопкой User Five и выберите команду Properties (Свойства).

Откроется окно User Five Properties (Свойства: User Five) на вкладке General (Общие).

3. Щелкните вкладку Account (Учетная запись).

Когда окончится срок действия учетной записи?

6. Щелкните переключатель End Of (Истекает) и задайте текущую дату.

7. Щелкните ОК, чтобы применить параметры и вернуться в консоль Active Eiirectory Users and Computers.

8. Закройте окно консоли Active Directory Users and Computers и завершите сеанс Windows 2000.

178 Управление учетными записями пользователей Глава Упражнение 2: тестирование учетных записей Вы войдете под каждой из созданных на предыдущих занятиях учетных записей и проте стируете результаты изменения параметров.

^ Задание 1: протестируйте возможности входа в систему под каждой учетной записью 1. Попытайтесь войти как Userl без пароля.

Отобразится информационное окно Logon Message (Сообщение о результатах входа) с требованием изменить пароль.

2. В окне Change Password (Смена пароля) не заполняйте поле Old Password (Старый па роль), а в поля New Password (Новый пароль) и Confirm New Password (Подтвержде ние) введите student.

Появится сообщение, что пароль был изменен.

3. Щелкните ОК, чтобы закрыть окно сообщения.

Удалось ли вам войти в систему? Почему?

Существуют несколько способов разрешить пользователям входить на контроллер до мена. В следующем задании добавьте пользователей в группу Print Operators (Операторы печати), поскольку этой группе разрешен вход на контроллер домена. Только пользовате ли, принадлежащие к определенным административным группам, имеют право интерак тивно входить на контроллер домена. Группа — это набор учетных записей, группы упро щают администрирование, позволяя назначать разрешения нескольким пользователям од новременно, а не каждому индивидуально. О группах также рассказано в главе 8.

> Задание 2: добавьте пользователей в группу Print Operators 1. Зарегистрируйтесь как Administrator (Администратор).

2. В дереве консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры) щелкните папку Users.

3. На правой панели щелкните правой кнопкой User One и выберите команду Properties (Свойства).

Откроется окно User One Properties (Свойства: User One), вкладка General (Общие).

4. Щелкните вкладку Member Of (Член группы).

5. Щелкните кнопку Add (Добавить).

Откроется окно Select Groups (Выбор: Группа).

6. Щелкните Print Operators (Операторы печати), щелкните кнопку Add (Добавить), за тем — ОК.

7. Щелкните ОК, чтобы закрыть окно User One Properties.

8. Повторите пункты 3—7 для пользователей User3, User5, User? и User9.

9. Закройте окно консоли Active Directory Users and Computers и завершите рабочий сеанс.

^ Задание 3: протестируйте параметры времени входа 1. Попытайтесь войти в систему как Userl с паролем student.

Удалось ли вам войти в систему? Почему?

2. Завершите сеанс и попытайтесь войти как UserS без пароля.

3. В открывшемся окне измените пароль на student.

Удалось ли вам войти в систему? Почему?

^ Задание 4: протестируйте параметры пароля 1. Попытайтесь войти в систему как User? без пароля.

Удалось ли вам войти в систему? Почему?

-\ Занятие 3 Создание учетной записи 2. Попытайтесь войти в систему как User? с паролем User?.

3. В открывшемся окне измените пароль на student.

Удалось ли вам войти в систему? Почему?

4. Завершите сеанс.

5. Попытайтесь войти в систему как User9 с паролем User9.

Удалось ли вам войти в систему? Почему?

^ Задание 5: протестируйте параметры пароля, попытавшись изменить его 1. Нажмите Ctrl+Alt+Delete.

Откроется окно Windows Security (Безопасность Windows).

2. Щелкните кнопку Change Password (Смена пароля).

Откроется одноименное окно.

3. В поле Old Password (Старый пароль) введите пароль для учетной записи User9, а в полях New Password (Новый пароль) и Confirm New Password (Подтверждение) введите student и щелкните ОК.

Удалось ли вам изменить пароль? Почему?

4. Щелкните ОК, чтобы закрыть окно Change Password, затем щелкните кнопку Cancel (Отмена), чтобы вернуться в окно Windows Security.

5. Щелкните кнопку Log Off (Завершение работы).

Откроется окно Log Off Windows (Завершение работы Windows), запрашивая подтвер ждение на выход из системы.

6. Щелкните ОК, чтобы выйти из системы.

> Задание 6: протестируйте срок действия учетной записи 1. Попытайтесь войти в систему как UserS.

2. В появившемся окне измените пароль на student.

Удалось ли вам войти в систему? Почему?

3. Выйдите из Windows 2000.

^ Задание 7: измените системное время 1. Войдите в домен как Administrator (Администратор), раскройте меню Start\Settings (Пуск\Настройка) и щелкните ярлык Control Panel (Панель управления).

2. На панели управления дважды щелкните значок Date/Time (Дата и время).

Откроется окно Date/Time Properties (Свойства: дата и время).

3. В поле Date (Дата) введите завтрашнюю дату и щелкните ОК, чтобы применить изме нения и вернуться в панель управления.

4. Закройте окно панели управления и завершите сеанс.

> Задание 8: протестируйте срок действия учетной записи 1. Попытайтесь войти в систему как UserS с паролем student.

Удалось ли вам успешно войти в систему? Почему?

> Задание 9: измените системное время 1. Войдите в домен как Administrator (Администратор), раскройте меню Start\Settings (Пуск\Настройка) и щелкните ярлык Control Panel (Панель управления).

2. На панели управления дважды щелкните значок Date/Time.

Откроется окно Date/Time Properties.

учетными записями пользователей Глава 3. В поле Date (Дата) введите сегодняшнюю дату и щелкните ОК, чтобы применить из менения и вернуться в панель управления.

4. Закройте окно панели управления и выйдите из Windows 2000.

Резюме Локальные учетные записи создаются с помощью оснастки Local Users and Groups (Ло кальные пользователи и группы), встроенной в консоль Computer Management (Управле ние компьютером), а доменные учетные записи — с помошью консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры). Доменная учетная запись всегда создается на первом доступном контроллере домена, к которому обращает ся консоль ММС, а затем реплицируется на остальные контроллеры.

С каждой создаваемой учетной записью ассоциируется набор свойств по умолчанию.

Для доменных учетных записей эти свойства эквивалентны атрибутам объектов, их мож но применять для поиска пользователей домена в каталоге.

Выполняя практикум, вы создали пять доменных учетных записей, настроили нх свой ства, в том числе изменили время входа, задали срок действия учетной записи и разреше ние или запретили пользователю менять пароль. Заданные свойства вы протестировали.

Занятие 4 Создание профиля пользователя I. Создание профиля пользователя Профиль пользователя (user profile) — набор папок и данных, где хранятся параметры состо яния рабочего стола и приложений, а также личные данные. Там же хранится информация о сетевых подключениях, которые следует инициировать после входа в систему, & также сведения о содержимом меню Start (Пуск) и о дисках, подключенных к сетевым серверам.

Профили пользователей обеспечивают тот вид рабочего стола для каждого пользователя, что и в предыдущий сеанс. На этом занятии мы расскажем о профилях пользователей и разнице между локальными, перемещаемыми и обязательными профилями.

Изучив материал этого занятия, вы сможете:

/" объяснить разницу между локальными, перемещаемыми и обязательными профи лями;

•S настроить локальный, перемещаемый и обязательный профиль пользователя.

Продолжительность занятия — около 45 минут.

Возможности профиля пользователя На компьютерах под управлением Windows 2000 профили пользователей автоматически создают и поддерживают параметры рабочего стола для каждого пользователя на локаль ном компьютере.

Преимущества профилей пользователей:

• на компьютере могут работать несколько пользователей, причем каждый из них на страивает рабочий стол «под себя»;

• параметры рабочего стола пользователя сохраняются с предыдущего сеанса;

• изменение среды рабочего стола одним пользователем не влияет на параметры других пользователей;

• профили пользователей можно хранить на сервере и передавать их на любой компью тер под управлением Windows NT 4.0 или Windows 2000 в сети. Такие профили называ ются перемещаемыми (roaming user profiles);

• сохраняются параметры работы приложений, сертифицированных для использования с Windows 2000.

В качестве средства управления профили пользователей предоставляют следующие возможности:

• позволяют создать профиль пользователя по умолчанию, предназначенный для реше ния задач конкретного пользователя;

• позволяют настроить обязательный профиль пользователя (mandatory user profile), кото рый не сохраняет изменений рабочего стола, выполненных пользователем. Параметры обязательного профиля загружаются на локальный компьютер всякий раз, когда пользователь входит в систему;

• позволяют задать параметры профиля пользователя по умолчанию, которые будут включены во все индивидуальные профили пользователей.

Типы профилей Существуют три типа профилей пользователей.

182 Управление учетными записями пользователей Глава • Локальный профиль пользователя. Создается при первом входе в систему и хранится на локальном жестком диске компьютера. Все изменения, внесенные в локальный про филь, относятся только к тому компьютеру, на котором они сделаны.

• Перемещаемый профиль пользователя. Создается системным администратором и хра нится на сервере. Он доступен при подключении к любому компьютеру сети. Измене ния, внесенные в перемешаемый профиль, обновляются на сервере.

• Обязательный профиль пользователя. Это перемешаемый профиль, который можно применять для задания параметров для отдельных пользователей или групп пользова телей. Только системные администраторы имеют право вносить в него изменения.

Параметры, хранящиеся в профиле пользователя Профиль пользователя содержит параметры конфигурации и параметры для каждого пользователя — копию рабочего стола пользователя (табл. 7-14).

Табл. 7-14. Параметры, хранящиеся в профиле пользователя Параметр Источник Все задаваемые пользова- Windows Explorer (Проводник) телем параметры Windows Explorer Документы пользователя Папка My Documents (Мои документы) Рисунки пользователей Папка My Pictures (Мои рисунки) Ярлыки избранных страниц Папка Favorites (Избранное) Интернета Подключенные пользова- Подключенные сетевые диски телями сетевые диски Связи с другими компью- Папка My Network Places (Мое сетевое окружение) терами сети Содержимое рабочего стола Папка Desktop (Рабочий стол) и ярлыки Заданные пользователем Цвета и шрифты экрана параметры цветов и текста экрана Данные приложений и Папка Application data и соответствующий заданные пользователем куст реестра параметры конфигурации Подключения к сетевым Папка PrintHood принтерам Все заданные пользова- Control Panel (Панель управления) телем параметры панели управления Все параметры программ, Папка Accessories (Стандартные) влияющих на среду Windows, включая Calculator, Clock, Notepad и Paint Занятие 4 Создание профиля пользователя Табл. 7-14. Параметры, хранящиеся в профиле пользователя (окончание} Параметр Источник Параметры программ, Программы на базе Windows написанных специально для Windows Любые закладки, помещен- Интерактивные закладки пользователей ные в справочную систему Windows Содержимое профиля пользователя Локальные профили хранятся в папке C:\Documents and ^>&\\г\%^\регистрационное_имя_поль~ зователя, где С:\ — имя системного диска, а регистрационное_имя_пользователя — имя, кото рое пользователь вводит при входе в систему. Перемешаемые профили хранятся в обшей пап ке на сервере. В табл. 7-15 показан пример содержимого папки профиля пользователя.

Табл. 7-15. Пример содержимого папки профиля пользователя Описание Папка Application Data" Специальные данные программ, например словарь. Разработчики программ решают, какие данные хранить в папке профиля пользователя Cookies Учетная информация, введенная пользователем при посещении разных узлов Интернета Desktop Элементы рабочего стола, включая файлы, (Рабочий стол) ярлыки и папки Favorites (Избранное) Ссылки на любимые страницы в Интернете Front PageTe mpDir Временная папка, используемая Microsoft Front Page Данные приложений, файлы History и Temporary.

Local Settings* Данные приложений можно перемешать на другой компьютер анало гично профилям Документы пользователя My Documents (Мои документы) My Pictures Рисунки пользователя (Мои рисунки) Ярлыки элементов My Network Places NetHood* PrintHood* Ярлыки элементов папки принтера Recent* Ярлыки к документам и папкам Ярлыки к утилитам работы с документами SendTo* Start Menu Ярлыки к элементам программ (Главное меню) Элементы шаблонов пользователей Templates (Шаблоны) Хранит параметры реестра пользователя NTUSER.DAT* ' Скрытый элемент.

учетными записями пользователей Глава В папке My Documents собраны вместе все параметры и личные документы пользовате ля;

она является частью профиля пользователя. Windows 2000 автоматически создает папку My Documents, которая по умолчанию хранит данные пользователя для приложений Mic rosoft. Домашние папки могут также содержать файлы и программы для пользователей.

Локальные профили пользователей Windows 2000 создает локальный профиль пользователя при первом входе пользователя на компьютер и хранит его на этом компьютере. Локальный профиль пользователя хранится в папке C:\Documents and $ъ11\п&$\регистрационноеимя_пользователя, где С:\ — это имя системного диска, а регистрационное_имя_пользователя — имя, которое пользователь вво дит при входе в систему. Когда полъзонатель входит на клиентский компьютер под управ лением Windows 2000, он всегда получает собственную рабочую среду независимо от того, сколько пользователей помимо него работает на этом компьютере.

Пользователь изменяет локальный профиль, корректируя параметры рабочего стола.

Например, он может создать новое сетевое соединение или добавить файл в папку My Documents. После выхода пользователя из системы Windows 2000 собирает все изменения в профиль пользователя, хранящийся на компьютере. При следующем входе пользователя генерируются новые сетевое соединение и файл.

Перемещаемые профили пользователей Для поддержки пользователей, работающих на нескольких компьютерах, стоит создать перемещаемые профили пользователей. Этот профиль, создаваемый на сетевом сервере, доступен пользователю независимо от того, с какого компьютера тот входит в домен. В этом его отличие от локального профиля, действующего только на одном клиентском ком пьютере.

Когда пользователь входит в систему, Windows 2000 копирует перемещаемый профиль пользователя с сетевого сервера на клиентский компьютер и применяет его параметры к этому компьютеру. При первом входе пользователя на компьютер Windows 2000 копирует все документы на локальный компьютер. Далее, когда пользователь входит на компьютер, Windows 2000 сравнивает локально хранящиеся файлы профиля пользователя и файлы пе ремещаемого профиля. Он копирует только файлы, измененные с момента последнего вхо да пользователя на компьютер, что ускоряет процесс входа в систему.

Когда пользователь выходит из системы, Windows 2000 копирует изменения, внесен ные в локальную копию перемещаемого профиля пользователя, обратно на сервер, где хранится профиль.

Стандартные перемещаемые профили пользователей Можно создать стандартный перемещаемый профиль для группы пользователей, настро ив рабочий стол и скопировав стандартный профиль на место перемещаемого профиля пользователя.

Стандартные перемещаемые профили:

• обеспечивают стандартную среду рабочего стола для нескольких пользователей, вы полняющих сходные задачи, например применяющих одни и те же сетевые ресурсы;

• поддерживают рабочую среду пользователя, включающую только необходимые для работы соединения и приложения;

• облегчают устранение ошибок: зная параметры рабочих столов пользователей, специ алисты службы технической поддержки быстро найдут отклонение или проблему.

Создание профиля пользователя Занятие Создание перемещаемых профилей пользователей Храните перемещаемые профили на часто архивируемом сервере. Для ускорения входа в систему в сильно загруженной сети поместите папку перемещаемого профиля на рядовой сервер, а не на контроллер домена. Копирование перемещаемых профилей с сервера на компьютеры клиентов иногда занимает значительную часть полосы пропускания сети и увеличивает нагрузку на процессоры компьютеров. Хранение профилей на контроллере домена замедляет аутентификацию пользователей в домене.

Для успешного создания перемешаемых профилей и назначения домлшних папок для учетных записей необходимо иметь право администрировать контейнерный объект, в котором находятся учетные записи.

*• Задание: настройте перемещаемый профиль пользователя 1. На сервере создайте общую папку и используйте путь следующего формата: \\иш_сер вера \имя_общей_папки.

2. На вкладке Profile (Профиль) окна свойств учетной записи (рис. 7-10) задайте путь к общей папке в поле Profile Path (Путь профиля) (например, \\имя_сервера\имя_общей_ттки\ регистрационноеимя).

DaMft. j Емюпгоег* \ THraialS •• Addiesf | Account P'°fife j Telephone;

j Oajsntation Uieipitfle • i,.

Рис. 7-10. Путь к профилю для перемещаемого профиля Вместо регистрационного имени пользователя можно ввести переменную %и$егпате% — Windows 2000 автоматически заменит ее на имя учетной записи для перемещаемого про филя, что удобно при копировании учетных записей шаблонов.

Создание стандартного перемещаемого профиля пользователя Вот как задают стандартный перемешаемый профиль для группы пользователей.

1. Создайте шаблон профиля пользователя соответствующей конфигурации. Для этого со здайте учетную запись с помощью консоли Active Directory Users and Computers и настрой те для нее рабочий стол.

учетными записями пользователей Глава 2. Создайте на сервере общую папку, которая позволит пользователям получить доступ к шаблону профиля с удаленного компьютера.

I. Скопируйте шаблон профиля пользователя в общую папку на сервере и задайте пользо вателей, которые будут иметь право применять профиль, на вкладке User Profile (Про филь пользователя) окна System Properties (Свойства системы) в консоли управления (рис. 7-11).

Задайте путь к шаблону профиля на вкладке Profile окна свойства объекта пользовате • ля (рис. 7-10).

."1* rdewd s-a;

г ;

MICROS OFT \plei MICROSOFT \pus MICROSOFTMJse;

MICROSOFT\Uie MICROSOFT\U«- j fi User Two (uiH2@miacsolLcoff,] С User Five |UsH5@rricroscfl com] E Usei Seven (lisa7@microsolt coir rriciosofl corn/Useu fi L",e- Mi-.;

|Usei9@mbDsoft cam) rricrosotl.com/Uieii ЙЗ Dornar : xnpulers rricrosott.com/Uiere РИС. 7-11. Копирование шаблона профиля пользователя Обязательные профили пользователей Так называют профиль «только для чтения». Пользователи по-прежнему имеют право из менять параметры своего рабочего стола, но при выходе из системы эти коррективы не сохраняются. При следующем входе в систему профиль будет таким же, как и при преды дущей загрузке. Параметры обязательного профиля загружаются на локальный компью тер при каждом входе пользователя в систему.

Вы можете назначить один обязательный профиль многим пользователям, требования к рабочему столу которых совпадают. Изменив один профиль, вы измените рабочую среду не скольких пользователей.

Создание обязательного профиля пользователя Скрытый файл в профиле (например, \5ЕКУЕК1\общий_ресурс\регистрационное_имя_поль зователя), называемый NTUSER.DAT. содержит раздел системных параметров Windows 2000. применяемых к индивидуальной учетной записи и содержащих сведения о параметрах среды пользователя, например данные о внешнем виде рабочего стола. Этому файлу можно присвоить атрибут «только для чтения», изменив его название на NTUSER.MAN.

Занятие 4 Создание профиля пользователя j Практикум: работа с профилями пользователей Настройте и протестируйте локальный профиль пользователи. Создайте и проте стируйте стандартный перемещаемый профиль пользователя.

Упражнение 1: настройка локального профиля пользователя Создайте локальную учетную запись и профиль, затем просмотрите, определите и проте стируйте профиль.

> Задание 1: создайте учетную запись 1. Войдите в систему как Administrator (Администратор).

2. В консоли Active Directory Users and Computers создайте учетную запись puser (табл. 7-16).

В списке справа от поля User Logon Name (Имя входа пользователя) выберите @niicro soft.com.

Табл. 7-16. Параметры учетной записи puser для упражнения Member Of First Name Last Name User Logon Name Password (Фамилия) (Член группы) (Имя входа (Пароль) (Имя) пользователя) User puser Отсутст- Print Operators Profile вует (Операторы печати) 3. Выйдите из Windows 2000.

> Задание 2: создайте локальный профиль пользователя 1. Войдите в домен как puser.

При первом входе в Windows 2000 локальный профиль пользователя создается с пара метрами, заданными по умолчанию. Вход в систему в качестве puser создает локальный профиль пользователя.

2. Выйдите из Windows 2000.

*• Задание 3: просмотрите существующие профили 1. Войдите в домен как Administrator (Администратор).

2. Раскройте меню Start\Settings (Пуск\Настройка), щелкните ярлык Control Panel (Па нель управления) и в панели управления дважды шелкните значок System (Система).

Откроется окно System Properties (Свойства системы).

3. Перейдите на вкладку User Profiles (Профили пользователей).

Какие профили пользователей хранятся на вашем компьютере?

4. Щелкните ОК, чтобы закрыть окно System Properties, затем закройте панель управления.

5. Выйдите из Windows 2000.

^ Задание 4: определите и протестируйте локальный профиль 1. Войдите в домен как puser.

2. Щелкните правой кнопкой рабочий стол и выберите команду Properties (Свойства).

Откроется окно Display Properties (Свойства: Экран).

3. Перейдите на вкладку Appearance (Оформление), Обратите внимание на текущую цветовую схему.

4. В списке Scheme (Схема) выберите другую схему и щелкните ОК.

188 Управление учетными записями пользователей Глава Рабочий стол немедленно изменится в соответствии с новой цветовой схемой.

5. Выйдите из системы и вновь войдите как puser.

Сохранились ли цвета экрана? Почему?

6. Завершите сеанс.

Упражнение 2: определение стандартного перемещаемого профиля пользователя Сейчас вы создадите общую папку, в которой может храниться стандартный перемещае мый профиль пользователя. Создайте учетную запись с именем Profile Template, которая будет служить моделью для стандартного перемещаемого профиля. Задайте параметры для профиля шаблона. Скопируйте профиль пользователя Profile Template в общую папку для User2, Задайте путь к профилю для User2. Вы можете протестировать стандартный про филь, если имеете доступ к двум компьютерам сети.

^ Задание 1: создайте общую папку для хранения перемещаемых профилей пользователей Примечание Общие папки подробно рассматриваются в главе 1. Сейчас вы создадите об щую папку для совместного использования профилей пользователей.

1. Войдите в домен как Administrator (Администратор) на контроллере домена.

2. В папке С:\ (где С:\ — имя вашего системного диска) создайте папку с именем Profiles.

3. Щелкните правой кнопкой папку Profiles и выберите команду Properties (Свойства).

4. В окне Profiles Properties (Свойства: Profiles) перейдите на вкладку Sharing (Доступ).

5. Щелкните переключатель Share This Folder (Открыть общий доступ к этой папке), за тем — кнопку Permissions (Разрешения).

6. В окне Permissions For Profiles (Разрешения для профилей) убедитесь, что выбрана груп па Everyone (Все) и отмечен флажок Full Control (Полный контроль), и щелкните ОК.

7. В окне Profiles Properties (Свойства: Profiles) щелкните ОК.

^ Задание 2;

создайте шаблон профиля пользователя 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администриро вание) и щелкните Active Directory Users and Computers (Active Directory — пользовате ли и компьютеры).

2. В консоли Active Directory Users and Computers создайте учетную запись ptemplate (табл. 7-17). В списке справа от поля User Logon Name (Имя входа пользователя) выбе рите ©microsoft.com. Добавьте ptemplate к группе Print Operators (Операторы печати), чтобы пользователь мог войти в контроллер домена.

3. Выйдите из Windows 2000.

4. Войдите в систему как ptemplate.

Локальный профиль пользователя автоматически создается для пользователей Profile Template на локальном компьютере в папке C:\Documents and Settings регистрацион ное _имя_пользователя (где С:\ — это имя вашего системного диска).

Занятие 4 Создание профиля пользователя Табл. 7-17. Параметры учетной записи ptemplate для упражнения First Name Last Name User Logon Name Password Member Of (Фамилия) (Имя входа (Пароль) (Член группы) (Имя) пользователя) Template Profile ptemplate Отсутст- Print Operators вует (Операторы печати) 5. Щелкните правой кнопкой рабочий стол и выберите команду Properties (Свойства).

Откроется окно Display Properties (Свойства: Экран).

7. Перейдите на вкладку Appearance (Оформление).

Обратите внимание на текущую цветовую схему.

8. В списке Scheme (Схема) выберите другую схему и шелкните ОК.

Рабочий стол немедленно изменится в соответствии с новой цветовой схемой.

9. Выйдите из системы и вновь войдите как ptemplate.

Заметьте: цвета экрана сохранились в профиле пользователя.

10. Завершите сеанс Windows 2000.

^ Задание 3: скопируйте шаблон профиля в общую папку на сетевом сервере 1. Войдите в систему как Administrator (Администратор).

2. Воспользуйтесь консолью Active Directory Users and Computers (Active Directory пользователи и компьютеры) для создания учетной записи User2 (табл. 7-18). В списке справа от окна User Logon Name (Имя входа пользователя) выберите @microsoft.com.

Добавьте User2 к группе Print Operators (Операторы печати), чтобы пользователь мог зарегистрироваться на контроллере домена.

Табл. 7-18. Параметры учетной записи User2 для упражнения Password Member Of Last Name User Logon Name First Name (Член группы) (Фамилия) (Имя входа (Пароль) (Имя) пользователя) Отсутст- Print Operators User User Two вует (Операторы печати) 3. Раскройте меню Start\Settings (Пуск\Настройка) и шелкните ярлык Control Panel (Па нель управления).

4. На панели управления дважды шелкните значок System (Система).

Откроется окно System Properties (Свойства системы).

5. Перейдите на вкладку User Profiles (Профили пользователей).

Заметьте: были созданы профили для всех пользователей, ранее входивших на компь ютер, в том числе и профиль пользователя MICROS О FT\ptemplate.

6. В списке Profiles Stored On This Computer (Профили, хранящиеся на этом компьютере) шелкните MICRO SO FT\ptemplate, затем — Сору То (Копировать).

7. В открывшемся окне в поле Copy Profile To (Копировать профиль на) введите \\нл*я_ Kut»ibjo/nep

Управление учетными записями пользователей Глава ^ Задание 4: определите пользователей, имеющих право применять профиль 1. В окне Сору То (Копирование профиля) в области Permitted To Use (Разрешить исполь зование) щелкните кнопку Change (Изменить).

Откроется окно Select User Or Group (Выбор: Пользователь или группа).

2. В столбце Name (Имя) щелкните User Two, затем — ОК.

В столбце Permitted To Use окна Сору То появится строка MICROSOFT\user2.

3. Щелкните ОК.

В Windows Explorer (Проводник) просмотрите Profiles\user2. Обратите внимание на папки для параметров рабочего стола, хранящиеся в папке Profiles.

^ Задание 5: задайте путь к перемещаемому профилю пользователя 1. В консоли Active Directory' Users and Computers дважды щелкните User Two.

Откроется окно User Two Properties (Свойства: User Two).

2. Перейдите на вкладку Profile (Профиль).

3. В поле Profile path (Путь к профилю) введите \\имя_комяьютера\фгоП\е$\и$ег2 (где имя_компьютера — это SERVER! или имя вашего компьютера).

4. Щелкните ОК.

5. Закройте консоль Active Directory Users and Computers.

Чтобы сделать профиль обязательным, введите действительное имя про филя, например, \\serverl\profiles\user2\ntuser. man.

• Если пользователи будут входить на компьютер с Windows NT или Windows 2000, а не с Windows 3.1, то в пути к профилю не нужно указывать имя файла.

• Если пользователи будут входить на компьютер под управлением Windows NT 3.1, а также Windows NT 4.0 или Windows 2000, то путь к профилю должен содержать имя файла.

• Если пользователи будут входить только на компьютер под управлением Windows 2000, путь к профилю должен представлять собой имя папки и не должен включать расширение.man. Если заданная в пути папка не существует, то она автоматически создается при первом входе пользователя в систему.

> Задание 6: протестируйте перемещаемый профиль 1. Выйдите из системы и войдите как User2.

Совпадают ли или отличаются цвета экрана и рабочий стол от заданных в Profile Template? Почему?

^ Задание 7: определите тип профиля, назначенного пользователю 1. Выйдите из системы, войдите как Administrator (Администратор) и запустите панель управления.

2. Дважды щелкните строку System (Система) и перейдите на вкладку User Profiles (Про фили пользователей).

Какие типы профиля перечислены для учетной записи User2?

3. Выйдите из всех программ и из Windows 2000.

Примечание Если вы имеете доступ к двум компьютерам в сети, выполните эту процеду ру на втором компьютере.

Занятие 4 Создание профиля пользователя "| ^ Задание 8: протестируйте перемещаемый профиль с другого компьютера 1. Войдите на второй компьютер как User2.

2. Если откроется окно со списком параметров профиля, щелкните кнопку Download (Загрузить).

Заметьте: цвета экрана те же, что и на первом компьютере, потому что перемещаемый профиль для шаблонной учетной записи загружается с сервера и применяется к ком пьютеру, где регистрируются под этой записью.

3. Выйдите со второго компьютера.

> Задание 9: удалите профиль пользователя Profile Template 1. На вкладке User Profiles (Профили пользователей) в списке Profiles Stored On This Computer (Профили, хранящиеся на этом компьютере) щелкните профиль MSCRO SOFT\ptemplate, затем — кнопку Delete (Удалить).

Откроется окно сообщения Confirm Delete (Подтвердить удаление).

2. Щелкните кнопку Yes (Да), чтобы удалить локальный профиль.

Профиль пользователя Profile Template будет удален с локального компьютера.

Резюме Профиль пользователя — это набор папок и данных, хранящих данные о текущей среде рабочего стола пользователя и параметры приложений, а также личные данные. Профиль пользователя содержит также все сведения обо всех сетевых соединениях, которые нозоб новляются при входе пользователя на компьютер, например элементы меню Start (Пуск) и подключенные к сетевым серверам диски.

Существуют три типа профилей пользователей: локальный, перемещаемый и обяза тельный. Локальный профиль создается при первом входе в систему и хранится на ло кальном жестком диске компьютера. Все изменения, вносимые в локальный профиль, дей ствительны только на том компьютере, где они сделаны. Перемещаемый профиль созда ется системным администратором и хранится на сервере. Этот профиль доступен при вхо де на любой компьютер сети. Вносимые в него коррективы обновляются на сервере. Обя зательный профиль — это перемещаемый профиль, который применяется для задания определенных параметров индивидуальным пользователям или группам пользователей.

Изменять его разрешено только системным администраторам.

Выполнив практикум, вы создали локальную учетную запись и профиль, который вы затем просмотрели, определили и протестировали. Также вы создали стандартный пере мешаемый профиль пользователя, в том числе модель учетной записи пользователя в ка честве шаблона профиля, скопировали шаблон профиля в обшуто папку на сервере и оп ределили путь к профилю.

Управление учетными записями пользователей Глава Создание домашних папок Хотя по умолчанию все документы пользователей хранятся в папке My Documents (Мои документы), Windows 2000 предоставляет еще одну возможность для их хранения— до машнюю папку.

Изучив материал этого занятия, вы сможете:

•S работать с домашними папками.

Продолжительность занятия — около 5 минут.

Знакомство с домашними папками Домашняя папка (home directory) — это дополнительная папка, позволяющая пользовате лям хранить личные документы, а старым приложениям — сохранять документы по умол чанию. Домашняя папка располагается на клиентском компьютере или в обшей папке на файловом сервере. Поскольку домашняя папка не является частью перемещаемого про филя пользователя, ее размер не влияет на сетевой трафик при входе в систему. Вы може 'те разместить все домашние папки централизованно на сетевом сервере.

Хранение всех домашних папок на файловом сервере дает ряд преимуществ:

• пользователи получают доступ к своим домашним папкам с любого компьютера в сети;

• поддержка и администрирование документов пользователя выполняется централизо ванно;

• домашние папки доступны с компьютера клиента, на котором работает любая ОС Microsoft (в том числе MS-DOS, Windows 9x/2000).

Храните домашние папки на томе NTFS — это позволит вам задавать разре шения NTFS для зашиты документов пользователей. Если домашние папки хранятся на томе FAT, доступ к ним ограничивается только посредством разрешений доступа к общим папкам.

Создание домашних папок на сервере Для успешного создания домашних папок необходимо иметь разрешение на администри рование контейнерного объекта, где расположена учетная запись пользователя. Для со здания домашней папки на файловом сервере в сети выполните следующие действия:

• создайте и откройте совместный доступ к папке, в которой собираетесь хранить все до машние папки на сетевом сервере. Домашняя папка для всех пользователей будет вло жена в эту общую папку;

• для общей папки отмените разрешение по умолчанию Full Control (Полный доступ) для группы Everyone (Все) и назначьте его группе Users (Пользователи). Это гарантирует, что доступ к общей папке получат только пользователи с доменными учетными записями;

• укажите путь на вкладке Profile (Профиль) диалогового окна свойств учетной записи в группе Home folder (Домашняя папка) (рис. 7-12). Поскольку домашняя папка находит ся на сетевом сервере, щелкните Connect (Подключить) и укажите букву подключаемого диска. В поле То (к) задайте имя UNC, например \\имя_сервера\имя_обш,ей_папки\реги страционное_имя_пользователя. В качестве имени пользователя укажите переменную %username%, чтобы автоматически присвоить имя и создать домашнюю папку пользова теля с тем же именем, под каким он входит в систему. Например, введите \\имя_сервера\ \Jsers\%username%.

Занята Создание домашних папок OiaJ'ih | Environrasnt ;

;

Tstmwi^Seivtefs Piaffe Remote cwtiot j Gerieial j Address I Aceourt FVoSte | Teteftiones Connect ! ' ID j-J IK lK\seiv«1 \Users Рис. 7-12. Задание пути к домашней папке Если вы задаете имя папки на томе NTFS с помощью переменной %username%, пользо ватель получит для нее разрешение Full Control. Все другие разрешения для этой папки удаляются, в том числе и права для учетной записи Administrator.

Резюме Помимо папки My Documents (Мои документы), Windows 2000 позволяет создать домаш нюю папку для хранения личных документов пользователей. Домашнюю папку можно создать на клиентском компьютере или в общей папке на файловом сервере. Поскольку домашняя папка не является частью перемещаемого профиля пользователя, ее размер не влияет на сетевой трафик при входе в систему.

Хранение всех домашних папок на файловом сервере дает ряд преимуществ. Во-первых, пользователи могут получить доступ к своим домашним папкам с любого компьютера в сети.

Во-вторых, централизуются поддержка и администрирование документов пользователя. В третьих, домашние папки доступны с компьютера клиента, на котором работает любая ОС Microsoft (включая MS-DOS, Windows 9x/2000).

Управление учетными записями пользователей •J 94 Глава Занятие 6, Изменение учетных записей Иногда требуется изменить учетные записи согласно новым требованиям организации или при смене персональной информации, например фамилии или почтового адреса пользо вателя. Кроме того, в некоторых случаях приходится восстанавливать пароль или разбло кировать учетную запись.

5чание Учетная запись корректируется посредством изменения объекта учетной за писи пользователя в хранилище Active Directory. Для успешного редактирования учетных за писей надо иметь право на администрирование объекта, в котором они находятся.

Изучив материал этого занятия, вы сможете:

S отключать, включать и удалять учетные записи;

S менять пароли;

•/ разблокировать учетные записи.

Продолжительность занятия — около 30 минут.

Отключение, подключение, переименование и удаление учетной записи пользователей • Отключение/включение. Учетную запись следует отключать, когда известно, что пользо вателю она в течение длительного времени не потребуется, но понадобится в будущем.

Например, если сотрудник уходит в отпуск, отключите его учетную запись, а когда он вернется, включите ее.

• Переименование. Эта операция выполняется, когда надо сохранить все права, разреше ния, членство в группе и большинство других свойств одной учетной записи и пере назначить их другой записи. Например, если в организации появился новый бухгалтер, переименуйте учетную запись, изменив имя, фамилию и пароль пользователя для ново го бухгалтера.

• Удаление. Удаляйте учетные записи уволенных сотрудников (если вы не собираетесь их переименовывать). Так вы исключите наличие неиспользуемых записей в Active Directory.

Процедуры отключения, подключения, переименования и удаления доменных и ло кальных учетных записей однотипны.

>• Отключение, включение, переименование и удаление учетной записи пользователя 1. В консоли Active Directory Users and Computers (Active Directory — пользователи и ком пьютеры) раскройте дерево консоли так, чтобы была видна соответствующая учетная запись, и выберите ее.

2. В меню Action (Действие) выберите команду;

которую хотите выполнить (рис. 7-13).

Примечание Если учетная запись включена, в меню Action появляется команда Disable Account (Отключить учетную запись). Если учетная запись отключена, в меню Action появ ляется команда Enable Account (Включить учетную запись).

Изменение учетных записей •& HO Users and Computers •:$ Consde Whcfciw Нф • • ' ' Copy,,, /. n:

T • liii.-riL.-i-l 1

. " Group Policy Cre... Security Gr ResetPaKWdrd.., •;

Gueit User Move... ' -.. ' ' -. ^ :^ IU5R_5ERVEP.l •i.

Open !»meoaga 1WAM_5ERVER1 •,.'.„Jkrbtgt.

rtfasks " »RASandl4S5er,.. Security Gn User "X Sates Proffe Schema Admim Security Gr Kensne TsinterneHJser User &sSra& *...

:.:....,...-...- User Five User Nine User PtC4№i*ies _ Wte • ' ч |"Л' Seven "" U.

| Рис. 7-13. Отключение, подключение, удаление или переименование учетных записей Смена паролей и разблокирование учетных записей Если пользователю не удается зарегистрироваться в домене или на локальном компьюте ре, возможно, необходима смена его пароля или разблокирование его учетной записи. Для этого вам надо иметь административные привилегии для объекта, в котором располагает ся данная учетная запись.

Смена пароля Если срок действия пароля истечет до того, как его изменят, или пользователь забудет свой пароль, вам придется сменить пароль. Для этого старый пароль знать не обязательно.

После того как для учетной записи задан пароль (неважно кем — администратором или пользователем), этот пароль не виден ни пользователю, ни администратору. Это одна из мер безопасности: другим пользователям, включая администратора, чужой пароль недо ступен. Иначе администратор мог бы воспользоваться им и войти в систему в качестве пользователя, которому этот пароль принадлежит, изменить его пароль, выполнить от лица этого пользователя какие-то действия, а затем задать прежний пароль пользователя.

^ Изменение пароля пользователя 1. В консоли Active Directory' Users and Computers раскройте дерево консоли, чтобы была видна соответствующая учетная запись, и выберите"ее.

2. В меню Action (Действие) щелкните кнопку Reset Password (Смена пароля).

Откроется одноименное окно.

3. Введите новый пароль, подтвердите его и щелкните ОК.

В окне Reset Password всегда отмечайте флажок User Must Change Password A.t Next Logon (Потребовать смену пароля при следующем входе в систему), чтобы заставить пользователя изменить пароль при следующем входе в систему.

Примечание Если пользователь входит в систему только через Интернет, не отмечайте этот флажок.

Управление учетными записями пользователей Глава Разблокирование учетных записей Групповая политика Windows 2000 блокирует учетную запись пользователя, нарушившего заданные условия, например превысившего допустимое число неудачных попыток входа в систему. Если учетная запись заблокирована, Windows 2000 сообщает об ошибке. Под робнее о групповой политике — в главе 12.

*• Разблокировка учетной записи 1. В консоли Active Directory Users and Computers (Active Directory — пользователи и ком пьютеры) раскройте дерево консоли так, чтобы была видна соответствующая учетная запись, и выберите запись, помеченную красным крестом.

2. В меню Action (Действие) щелкните пункт Properties (Свойства) и в одноименном окне перейдите на вкладку Account (Учетная запись).

Заметьте: помечен флажок Account Lock Out (Заблокировать учетную запись).

3. Сбросьте этот флажок и щелкните ОК.

Практикум: администрирование учетных записей Подключите и отключите учетную запись и восстановите пароль для учетной за писи.

Упражнение 1: подключение учетной записи Отключите учетную запись, чтобы она больше не использовалась для входа в домен. Затем включите ту же запись.

^ Задание 1: отключите учетную запись 1. Войдите в домен как Administrator (Администратор).

2. Откройте консоль Active Directory Users and Computers.

3. Раскройте домен microsoft.com и щелкните Users.

4. На правой панели щелкните правой кнопкой учетную запись Profile User, созданную на занятии 5, и в контекстном меню выберите команду Disable Account (Отключить учет ную запись).

Active Directory сообщит, что учетная запись была отключена. Учетная запись также помечена красным крестом.

5. Щелкните ОК, чтобы вернуться в консоль Active Directory Users and Computers.

6. На правой панели консоли Active Directory Users and Computers щелкните правой кноп кой мыши учетную запись пользователя, которую только что отключили, чтобы появи лось контекстное меню.

Как определить, что учетная запись отключена?

7. Завершите сеанс Windows 2000.

8. Попытайтесь войти в систему как puser.

Удалась ли эта попытка? Почему?

^ Задание 2: включите учетную запись 1. Зарегистрируйтесь в домене как Administrator (Администратор).

2. Запустите консоль Active Directory Users and Computers.

3. Раскройте домен Microsoft.com и щелкните Users.

4. На правой панели щелкните правой кнопкой мыши созданную вами учетную запись Profile User и в контекстном меню выберите команду Enable Account (Включить учет ную запись).

Занятие 6 Изменение учетных записей -| Active Directory сообщит, что учетная запись подключена.

5. Щелкните ОК, чтобы вернуться в консоль Active Directory Users and Computers.

6. На правой панели консоли Active Directory Users and Computers щелкните правой кноп кой мыши учетную запись пользователя, которую только что включили, чтобы появи лось контекстное меню.

Как определить, что учетная запись включена?

7. Завершите сеанс Windows 2000.

> Задание 3: протестируйте включение учетной записи и измените ее пароль 1. Войдите в систему как puser.

Удалось ли это? Почему?

2. Измените пароль на student.

3. Завершите сеанс Windows 2000.

Упражнение 2: восстановление пароля для учетной записи Задание 1: смените пароль для учетной записи >• 1. Войдите в домен как Administrator (Администратор).

2. Запустите консоль Active Directory Users and Computers.

3. Раскройте домен microsoft.com и щелкните Users.

4. На правой панели щелкните правой кнопкой учетную запись Profile User и в контекст ном меню выберите команду Reset Password (Смена пароля).

Откроется одноименное окно, содержащее поле для ввода нового пароля для этой учет ной записи. Заметьте: Administrator не может узнать текущий пароль.

5. В полях New Password (Новый пароль) и Confirm Password (Подтверждение) введите password и пометьте флажок User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему). Щелкните ОК.

Active Directory сообщит, что пароль изменен.

6. Щелкните ОК, чтобы вернуться в консоль Active Directory Users and Computers 7. Завершите сеанс.

*• Задание 2: протестируйте смену пароля 1. Войдите в систему как puser с паролем password, Удалось ли это? Почему?

2. Завершите сеанс.

Резюме Учетную запись следует отключать, когда пользователю в течение длительного времени она не нужна, но может потребоваться в будущем.

Учетные записи переименовывают, когда надо сохранить все права, разрешения, член ство в группе и большинство других свойств одной учетной записи и переназначить ях дру гой. Например, если в организации появился новый бухгалтер, переименуйте учетную за пись, изменив имя, фамилию и пароль пользователя для него.

Удаляйте учетные записи, если они более не требуются.

Если срок действия пароля истечет до того, как его изменят, или пользователь шбудет свой пароль, смените пароль, чтобы пользователь мог войти на домен. Если пользователь забыл пароль или его учетная запись заблокирована, вы можете войти в систему как Administrator и разблокировать учетную запись.

198 Управление учетными записями пользователей Глава Закрепление материала п| Приведенные ниже вопросы помогут вам лучше усвоить основные темы данной ^Ы, главы. Если вы не сумеете ответить на вопрос, повторите материал соответствую щего занятия. Правильные ответы см. в приложении А «Вопросы и ответы* в кон це книги.

1. Какие возможности предоставляют пользователям локальные и доменные учетные за писи?

2. На что следует обратить внимание при планировании новых учетных записей?

3. Какая информация требуется для создания доменной учетной записи?

4. Пользователю нужен доступ к сетевым ресурсам из дома, но он не хочет оплачивать расходы на телефонную связь. Как следует настроить учетную запись?

5. В чем разница между локальным и перемещаемым профилями пользователя?

6. Как убедиться, что пользователь на клиентском компьютере с Windows 2000 имеет пе ремешаемый профиль?

7. Как убедиться, что пользователь имеет хранящуюся централизованно домашнюю папку?

8. Почему следует переименовывать учетную запись?

ГЛАВА Управление учетными записями групп Занятие 1. Знакомство с группой Занятие 2. Стратегия формирования группы Занятие 3, Формирование группы, Группы по умолчанию, Группы для администраторов Закрепление материала В этой главе Благодаря группам, администрирование учетных записей пользователей значительно уп рощается, поскольку их можно объединять в управляемые единицы. На этом занятии мы расскажем о планировании и создании групп. Вы узнаете о группах по умолчанию имею щихся в Windows 2000. Кроме того, здесь обсуждаются группы, в которые следует объеди нить администраторов, а также преимущества применения утилиты Run As, которая по зволяет пользователям запускать программу с правами администратора. Выполняя прак тическую часть занятия, вы спланируете и развернете в сети глобальные и локальные груп пы домена.

Прежде всего Для выполнения заданий вам потребуется:

• настроить компьютер в соответствии с инструкциями вводной главы;

• внимательно изучить главу 7;

• знать отличия рабочей группы и домена, а также отличия контроллера домена и рядо вого сервера;

• создать учетные записи Userl, User5 и User9 согласно инструкциям главы 7.

Глава Управление учетными записями групп Знакомство с группой Здесь рассказывается о группах, а также о том, как они упрощают административные за дачи. Вы также узнаете о типах и областях действия групп, которые можно создать в Windows 2000.

Изучив материал этого занятия, вы сможете:

i S объяснить назначение групп;

J объяснить назначение групп безопасности и групп распространения;

/ объяснить назначение локальных групп домена, а также глобальных и универ сальных групп;

/ объяснить назначение локальных групп.

Продолжительность занятия — около 15 минут.

Группа и разрешения Группа (group) — это набор учетных записей пользователей. Группы упрощают администри рование, позволяя назначать разрешения и права группе пользователей, а не каждой отдель ной учетной записи (рис. 8-1).

Назначая разрешении (permissions), Вы предоставляете пользователям доступ к опреде ленным ресурсам и определяете права доступа. Если, например, нескольким пользовате лям требуется доступ к одному файлу, добавьте их учетные записи в группу, Затем дайте группе разрешение на считывание файла. Права (rights) дают возможность выполнять си стемные задачи, например изменять системное время, архивировать или восстанавливать файлы, а также локально регистрироваться в системе.

Назначение разрешений Назначение разрешений один для каждой учетной записи раз для группы Группа — набор учетных записей пользователей А., Члены группы получают разрешения, выданные \Разрешения.! j Поль группе N [зователь Пользователи могут входить в несколько групп Группы могут входить в другие группы Рис. 8-1. Группы упрощают администрирование Подробнее о разрешениях — в главе 9, о правах — в главе 13.

Кроме пользователей, в группу можно добавлять контакты, компьютеры и другие груп пы. Группы добавляют в другие группы для создания объединенных групп — таким обра зом упрощается назначение разрешений. Добавляя компьютеры в группу. Вы можете уп ростить предоставление доступа системной задаче одного компьютера к ресурсам другого.

Занятие Типы групп Иногда группы создаются в целях защиты, например для назначения разрешений. В дру гих случаях группы нужны, например, для отправки сообщений электронной почты. Та ким образом, в Windows 2000 Server имеется два типа групп: безопасности и распростране ния. Тип группы определяет порядок ее использования. Группы обоих типов размешаются в хранилище Active Directory, что позволяет их применять в любом сегменте сети.

Группы безопасности В ОС Windows 2000 доступны только группы безопасности, используемые для назначения разрешений и предоставления доступа к ресурсам. Программы поиска в хранилище Active Directory могут применять группы безопасности в целях, не связанных с безопасностью, например для запроса информации, требуемой Web-приложению. Поскольку в Windows используются лишь группы безопасности, о них мы и расскажем подробно в этой главе.

Группы распространения Приложения обращаются к группам распространения, как к спискам пользователей, — для выполнения функций, не связанных с обеспечением защиты. Группы распростране ния следует применять, например, лишь для одновременной отправки сообщений элект ронной почты нескольким пользователям или других подобных операций. Назначать раз решения через группу распространения нельзя.

Примечание Группы распространения могут применять лишь приложения, предназна ченные для работы со службой каталогов Active Directory. Например, предполагается, что будущие версии Microsoft Exchange Server будут обращаться к группам распространения, как к спискам распространения, для рассылки электронной почты.

Область действия группы При создании группы надо определить ее тип и область действия, которая позволяет по разному использовать группы для назначения разрешений. Область действия также опреде ляет, в каких сегментах сети группу можно применять. В соответствии с областями дей ствия группы делятся на локальные группы домена, глобальные и универсальные (рис. 8-2).

Входят только пользователи из локального домена.

Участники могут обращаться к ресурсам в любом домене.

Входят пользователи из любого домена.

Участники могут обращаться к ресурсам только в локальном домене.

Входят пользователи из любого домена.

Участники могут обращаться к ресурсам в любом домене.

Рис. 8-2. Деление групп согласно областям действия 202 Управление учетными записями групп Глава Глобальная группа Чаше всего применяется для организации пользователей с одинаковыми требованиями доступа к сети. Ее характеристики:

• ограниченное членство — можно добавлять членов лишь из того домена, где создана группа;

• доступ к ресурсам любого домена — глобальная группа позволяет назначать разрешения доступа к ресурсам любого домена Локальная группа домена Чаще всего применяется для назначения разрешений доступа к ресурсам. Ее характеристики:

• открытое членство — можно добавлять членов из любого домена;

• доступ к ресурсам одного домена — позволяют назначать разрешения доступа к ресур сам того же домена, где была создана группа.

Универсальная группа Чаще всего применяется для назначения разрешений доступа к связанным ресурсам, рас положенных в нескольких доменах. Ее характеристики:

• открытое членство — можно добавлять участников из любого домена;

• доступ к ресурсам любого домена — универсальная группа позволяет назначать разре шения доступа к ресурсам в любом домене;

• доступна лишь в доменах основного режима — в доменах смешанного режима эти груп пы недоступны. Полный набор возможностей Windows 2000 доступен лишь в основ ном режиме.

Вложенность групп Добавление одних групп в другие (вложенность групп) позволяет на порядок снизить чис ло операций по назначению разрешений. Изучите потребности членов групп и создайте соответствующую иерархию групп. В основном режиме Windows 2000 допускает неогра ниченную вложенность групп. Так, можно создать группу для каждого региона, в котором имеются филиалы организации, затем добавить менеджеров в отдельные группы. Все ре гиональные группы разрешено добавить в группу Worldwide Managers. Если региональ ным менеджерам потребуется доступ к некоторому ресурсу, задайте соответствующие пра ва группе Worldwide Managers. Благодаря вложенности, эта группа включает всех членов региональных групп, поэтому менеджеры из всех регионов смогут обратиться к требуемо му ресурсу. Это обеспечивает назначение разрешений по иерархии, а также децентрализо ванный контроль членства.

Придерживайтесь следующих рекомендаций:

• при добавлении одних групп в другие попытайтесь снизить уровень вложенности. Вложен ность позволяет на порядок уменьшить число операций по назначению разрешений.

Однако при многочисленных уровнях вложенности контроль за разрешениями услож няется. Наиболее эффективен первый уровень — он позволяет снизить число опера ций по назначению разрешений, одновременно упрощая контроль разрешений;

• в целях контроля за назначением разрешений отдельно документируйте состав групп. Допу стим, администратор добавляет временных сотрудников в группу, созданную для разра ботчиков некоторого проекта. Другой администратор, не зная о временных сотрудни ках, добавляет группу проекта в группу, обладающую доступом к конфиденциальной информации, и временные сотрудники получают к ней доступ, что неприемлемо.

Занятие 1 Знакомство с группой Эффективная вложенность групп в многодоменной среде позволит снизить сетевой трафик между доменами и упростить администрирование дерева доменов. Для эффектив ного использования вложенности надо знать правила членства в группах.

Члены групп Область действия группы определяет круг ее участников. Правила членства устанавлива ют, кого можно включить в группу. К членам групп относятся учетные записи пользова телей и другие группы. Правила членства описаны в табл. 8-1.

Табл. 8-1. Правила членства в группах Группа Состав в основном режиме Состав в смешанном режиме Глобальная Учетные записи пользователей Учетные записи пользователей из того группа и компьютеров, а также глобаль- же домена и учетные записи компьютеров ные группы из того же домена Локальная Учетные записи пользователей, Учетные записи пользователей и компью теров, а также глобальные группы группа компьютеров, глобальные домена и универсальные группы, входя- из любого домена щие в любую локальную группу того же домена Универсаль- Учетные записи пользователей В смешанном режиме недоступна ная группа и компьютеров, глобальные и универсальные группы из любого домена Локальная группа Локальная группа — это набор учетных записей пользователей компьютера. Применяйте локальные группы для назначения разрешений доступа к ресурсам компьютера, на котором она создана. Windows 2000 создает локальные группы в локальной БД защиты.

Внимание! Поскольку в Active Directory группы, согласно области действия являющие ся локальными группами домена, иногда называются просто локальными группами, важно различать обычные локальные группы и локальные группы домена.

Использование локальной группы Помните, что локальные группы:

• действуют лишь на том компьютере, где они созданы. Разрешения локальных групп предоставляют доступ лишь к локальным ресурсам системы;

• можно использовать на компьютерах Windows 2000 Professional и рядовых серверах Windows 2000 Server. Создать локальные группы на контроллере домена нелыя, по скольку БД зашиты контроллера не зависит от БД Active Directory;

• позволяют ограничить доступ пользователей и групп к сетевым ресурсам без создания групп домена, как в среде Internet Information Server.

Ниже описаны правила членства в локальной группе:

• локальным группам разрешается содержать учетные записи пользователей компьютера, на котором создана группа;

• локальные группы нельзя включить в другие группы.

Управление учетными записями групп Глава Резюме Вы узнали, что группа — это набор учетных записей пользователей. Группы также могут включать другие группы, что упрощает администрирование, так как позволяет назначать разрешения и права группе пользователей, а не каждой отдельной учетной записи.

При создании группы надо определить ее тип и область действия. В Windows 2000 име ются группы распространения и безопасности, но используются лишь группы безопасно сти. Программы поиска в хранилище Active Directory также могут применять группы бе зопасности в целях, не связанных с безопасностью, например для работы с электронной почтой. По области действия группы делятся на локальные группы домена, глобальные и универсальные.

Существуют правила членства, определяющие, кто может состоять в глобальных и уни версальных группах, а также в локальных группах домена.

Кроме того, мы рассказали, как использовать локальные группы для назначения раз решений доступа к локальным ресурсам компьютерам, на котором группа находится.

Занятие 2 Стратегий формирования rpvnny 2. Стратегия формирования группы Для эффективной работы надо определить порядок использования групп, а также типы групп, которые предназначены для работы в особых ситуациях. Сейчас мы расскажем о стра тегии внедрения глобальных и универсальных групп, а также локальных групп домена.

Изучив материал этого занятия, вы сможете:

•S описать этапы стратегии внедрения;

S спланировать стратегию группирования.

Продолжительность занятия — около 30 минут.

Планирование глобальных и локальных групп домена Прежде чем создавать группу, необходимо разработать соответствующую стратегию. Мы советуем вам использовать глобальные и локальные группы домена. Есть несколько об щих правил, которых мы и советуем вам придерживаться.

1. Объедините пользователей со схожими обязанностями в одну группу;

например, в бух галтерии можно объединить учетные записи бухгалтеров в группу Accounting.

2. Определите, к каким ресурсам или труппам ресурсов обращаются сотрудники, и со здайте для этого ресурса локальную труппу домена. Например, если в организации несколько цветных принтеров, создайте локальную группу домена Color Printer-;

.

3. Выявите все глобальные группы, обращающиеся к одним и тем же ресурсам, и включите эти группы в соответствующую локальную группу домена;

так, можно добавить глобаль ные группы Accounting, Sales и Management в локальную группу домена Color Printers.

4. Назначьте локальной группе домена соответствующие разрешения;

например труппе Color Printers надо назначить разрешения на доступ к цветным принтерам.

Распределение глобальных и локальных групп домена показано на рис. 8-3. Поместите учетные записи пользователей в глобальные группы, создайте для совместно используе мых ресурсов локальную группу домена, включите глобальные группы в локальную и пре доставьте локальной труппе домена нужные разрешения. Данная стратегия обеспечивает наибольшую гибкость при росте численности сотрудников и облегчает администратору назначение разрешений.

Некоторые возможные ограничения других стратегий перечислены ниже.

• Добавление учетных записей пользователей в локальные группы домена и назначение пос ледним разрешений. Такая стратегия не позволяет предоставлять разрешения вне доме на. Гибкость стратегии глобальных и локальных групп домена снижается с ростом сети.

• Размещение учетных записей в глобальных группах и назначение им разрешений. При наличии нескольких доменов данная стратегия может усложнить администрирование.

Если глобальным группам нескольких доменов ртужны одинаковые разрешения, при дется назначать их каждой группе в отдельности.

Управление учетными записями групп Глава Торговый \ представитель 1 \ Глобальная (^аЛ Торговый / группа Sales vjVy Разрешение представитель 2 / использовать Домен! Локальная ( 4 ' цветные группа домена принтеры Домен 2 Color Printers в домене Бухгалтер 1 /Туч Глобальная '"«V Бухгалтер 2 ~^~J/ группа Accounting/ иИ I Включите пользователей со схожими обязанностями в глобальные группы {2 1\ Создайте локальную группу домена для доступа к ресурсу Добавьте глобальные группы, которым нужен доступ к этим ресурсам, в соответствующие локальные группы домена Назначьте созданной локальной группе домена разрешения для доступа к этим ресурсам Рис. 8-3. Планирование стратегии группирования Использование универсальных групп Есть несколько правил, о которых вам надо помнить.

• Универсальные группы можно использовать для предоставления доступа к ресурсам нескольких доменов. В отличие от локальных доменных универсальным группам мож но назначать разрешения на доступ к ресурсам любого домена Вашей сети. Например, если ответственным лицам требуется доступ ко всем принтерам сети, создайте универ сальную группу и назначьте ей разрешения на использование принтеров, подключен ных к серверам печати всех доменов.

• Универсальные группы рекомендуется применять, только если их состав постоянен.

При редактировании состава универсальной группы в дереве доменов иногда возника ет ненужный трафик между контроллерами доменов, поскольку такие изменения реп лицируются на многие контроллеры доменов.

• Рекомендуется, объединив глобальные группы нескольких доменов в универсальную группу, присвоить ей разрешения на доступ к ресурсу. Таким образом, универсальная группа используется аналогично локальным группам домена для назначения разреше ний доступа к ресурсам. И все же в отличие от локальной группы, доменной универ сальной группе можно назначать разрешения доступа к ресурсам других доменов.

Практикум: планирование новых учетных записей групп Вы спланируете группы, необходимые для бизнес-сценария.

Ситуация Предположим, вы — администратор отдела по обслуживанию клиентов производственной компании и управляете доменом, входящим в дерево доменов организации. Администриро ванием других доменов вы не занимаетесь, однако вам может потребоваться предоставить некоторым пользователям других доменов доступ к ресурсам вашего домена. Пользователи компании работают с несколькими разделяемыми сетевыми ресурсами. Компания также планирует развернуть программу электронной почты, использующую Active Directory.

Занятие 2 Стратегия формирования группы Как администратору, вам требуется определить:

• необходимые группы;

• состав каждой группы. Это могут быть как учетные записи пользователей, так и другие группы;

• тип и область действия каждой группы.

Зафиксируйте разработанные вами стратегии в тетради «Планирование групп». При заполнении тетради укажите:

1. названия всех групп в колонке «Имя группы»;

2. тип и область действия группы;

3. состав группы.

Pages:     | 1 |   ...   | 2 | 3 || 5 | 6 |   ...   | 11 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.