Категории:
ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника
Обзор свойств учетных записей пользователей
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли " Active Directory – пользователи и компьютеры ", причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль " Active Directory – пользователи и компьютеры " и посмотрим свойства только что созданного нами пользователя.
Закладка " Общие ". На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:
- " Имя "
- " Фамилия "
- " Выводимое имя "
- " Описание "
- " Номер телефона "
- " Электронная почта "
Закладка " Адрес " — справочная информация для поиска в AD.
Закладка " Учетная запись " — очень важный набор параметров (параметры " Имя входа пользователя " и " Имя входа пользователя (пред-Windows 2000) " обсуждались выше при создании пользователя):
- кнопка " Время входа " — дни и часы, когда пользователь может войти в домен;
- кнопка " Вход на… " — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
- Поле типа чек-бокс " Заблокировать учетную запись " — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
- " Параметры учетной записи " (первые три параметра обсуждались выше):
- " Требовать смену пароля при следующем входе в систему "
- " Запретить смену пароля пользователем "
- " Срок действия пароля не ограничен "
- " Отключить учетную запись " — принудительное отключение учетной записи (пользователь не сможет войти в домен);
- " Для интерактивного входа в сеть нужна смарт-карта " — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
- " Срок действия учетной записи " — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)
Закладки " Телефоны ", " Организация " — справочная информация о пользователе для поиска в AD.
Закладка " Профиль "
Профиль ( profile ) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
- локальные — хранятся в папке " Documents and Settings " на том разделе диска, где установлена операционная система;
- перемещаемые (сетевые, или roaming ) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа,%username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
- обязательные ( mandatory ) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.
Параметр "Сценарий входа" определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл ( .bat, .cmd ), исполняемая программа (.exe, .com), файл сценария (.vbs, js).
Закладка " Член групп " — позволяет управлять списком групп, в которые входит данный пользователь.
Закладка " Входящие звонки ".
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты " Разрешить доступ " и " Запретить доступ ", а также параметры обратного дозвона ("Ответный вызов сервера "). В режимах " Windows 2000 основной " и " Windows 2003 " доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.
Закладки " Профиль служб терминалов ", " Среда ", " Сеансы ", " Удаленное управление " — данные закладки управляют параметрами работы пользователя на сервере терминалов:
- управление разрешением пользователя работать на сервере терминалов;
- размещение профиля при работе в терминальной сессии,
- настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);
- управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного подключения к отключенной сессии);
- разрешение администратору подключаться к терминальной сессии пользователя.
Правление группами
Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.
Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.
Рассмотрим подробнее, какие группы могут создаваться в Active Directory.
В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).
Типы групп
- Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеетидентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
- Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).
Область действия групп
- Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;
- Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
- Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.
В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.
Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.
Маркер доступа.
При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.
Стратегия создания и использования групп.
При создании и использовании групп следует придерживаться следующих правил:
- Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
- Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируютсяна основе разрешений для доступа к конкретным ресурсам.
- Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.
По первым буквам английских слов эту стратегию часто обозначают сокращенно AGLP. В основном режиме и режиме Windows 2003 с использованием универсальных ( U niversal) групп эта стратегия может быть в более общем виде представлена как аббревиатура AGG…GULL…LP. Такой подход облегчает управление доступом к ресурсам по сравнению с назначением разрешений напрямую учетным записям пользователей. Например, при переходе сотрудника с одной должности на другую или из одного подразделения в другое достаточно соответствующим образом поменять его членство в различных группах, и разрешения на доступ к сетевым ресурсам автоматически будут назначены уже исходя из его новой должности.
Встроенные и динамически формируемые группы.
Кроме тех групп, которые создает администратор, на компьютерах локально или во всем домене существуют встроенные группы, созданные во время установки системы или создания домена. Кроме встроенных групп в процессе работы системы формируются динамические группы, состав которых меняется в зависимости от ситуации.
Перечислим наиболее часто используемые на практике встроенные и динамические группы.
| Встроенные локальные группы (на рабочей станции или простом сервере). | |
| Название группы | Описание |
| Администраторы | Могут выполнять все административные задачи на данном компьютере. Встроенная учетная запись Администратор, которая создается при установке системы, является членом этой группы. Если компьютер является членом домена, то в эту группу включается глобальная группаАдминистраторы домена. |
| Операторы резервного копирования | Члены группы могут выполнять вход на данный компьютер, выполнять резервное копирование и восстановление данных на этом компьютере, а также завершать работу этого компьютера. |
| Администраторы DHCP(создается при установке службы DHCP Server) | Члены этой группы могут администрировать службу DHCP Server. |
| Операторы сетевой конфигурации | Члены группы могут изменять настройки TCP/IP, а также обновлять и освобождать IP-адреса, назначаемые автоматически. |
| Пользователи монитора производительности | Члены группы могут следить за счетчиками производительности на конкретном сервере локально или удаленным образом. |
| Пользователи журнала производительности | Члены группы могут администрировать журналы производительности, счетчики и оповещения на конкретном сервере локально или удаленным образом. |
| Опытные пользователи | Члены группы могут создавать и модифицировать учетные записи пользователей, а также устанавливать программы на локальном компьютере, но не могут просматривать файлы других пользователей. Члены группы могут создавать и удалять локальные группы, а также добавлять и удалять пользователей в группах, которые они создали. Члены группы могут добавлять и удалять пользователей в группахОпытные пользователи, Пользователи и Гости. |
| Операторы печати | Члены группы могут управлять принтерами и очередями печати на конкретном сервере. |
| Пользователи удаленного рабочего стола | Членам группы разрешается выполнять подключение к удаленному рабочему столу компьютера. |
| Пользователи | Члены этой группы могут локально входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Если компьютер является членом домена, то в эту группу включается глобальная группа Пользователи домена. В эту группу также включаются динамические группыИнтерактивные и Прошедшие проверку. |
| Встроенные доменные локальные группы. | |
| Название группы | Описание |
| Администраторы | Членам группы предоставляются права администратора на всех контроллерах домена и в самом домене. Учетная запись Администратор, группы Администраторы предприятия и Администраторы домена являются членами данной группы. |
| Операторы учетных записей | Члены группы могут создавать, удалять и управлять учетными записями пользователей и группами. Они не могут модифицировать группуАдминистраторы, Администраторы домена, Контроллеры домена или любую из групп Операторы. |
| Операторы резервного копирования | Члены группы могут выполнять резервное копирование и восстановление данных на всех контроллерах домена, а также могут выполнять вход на контроллеры домена и завершать их работу. |
| Администраторы DNS(создается при установке службы DNS) | Члены группы имеют административный доступ к серверам DNS. |
| Операторы сетевой конфигурации | Члены группы могут изменять настройки TCP/IP на контроллерах доменов. |
| Пользователи монитора производительности | Члены группы могут следить за счетчиками производительности на контроллерах домена. |
| Пользователи журнала производительности | Члены группы могут управлять журналами производительности, счетчиками и оповещениями на контроллерах домена. |
| Операторы печати | Члены группы могут управлять работой принтеров домена |
| Операторы сервера | Члены группы могут выполнять большинство административных задач на контроллерах домена, за исключением изменения параметров безопасности. |
| Пользователи | Члены этой группы локально могут входить в систему на данном компьютере, работать с программами, сохранять документы и завершать работу данного компьютера. Они не могут устанавливать программы или вносить изменения в систему. Группа Пользователи доменаявляется по умолчанию членом данной группы. |
| Встроенные глобальные группы. | |
| Название группы | Описание |
| Администраторы домена | Эта группа автоматически включается в локальную в домене группу Администраторы, поэтому члены группы Администраторы домена могут выполнять административные задачи на любом компьютере данного домена. Учетная запись Администратор включается в эту группу по умолчанию. |
| Компьютеры домена | Все контроллеры, серверы и рабочие станции домена являются членами этой группы. |
| Контроллеры домена | Все контроллеры домена являются членами этой группы. |
| Пользователи домена | Все глобальные учетные записи домена и входят в эту группу. Эта группа автоматически включается в локальную доменную группуПользователи. |
| Администраторы предприятия(создается только в корневом домене леса) | Эта группа предназначена для пользователей, которые должны иметь права администратора в масштабах всего леса. Администраторы предприятия автоматически включается в группу Администраторы на всех контроллерах домена в данном лесу. |
| Администраторы схемы (создается только в корневом домене леса) | Члены этой группы могут изменять схему Active Directory. |
| Динамические группы. | |
| Название группы | Описание |
| Интерактивные | В эту группу включается учетная запись любого пользователя, который локально вошел в систему на данном компьютере. |
| Прошедшие проверку | Любой пользователь, зарегистрировавшийся в данном домене или домене, имеющим с данным доменом доверительные отношения. |
| Все | Любая учетная запись, включая те, которые не прошли проверку на контроллерах доменов. |
Последнее изменение этой страницы: 2016-06-10
lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...