Kontode administreerimine Active Directory domeenis. Juhtmeta teenuste ja kasutajaprotokollide sätete muutmine. Domeenikontode loomine postkastidega ja ilma

Windowsi võrgutehnoloogia võimaldab teil luua võrgudomeene. Domeen on ühendatud Windowsi arvutite rühm, mis jagavad kasutajakonto teave ja a julgeolekupoliitika. Domeenikontroller haldab kasutajakontot teave jaoks kõik domeeni liikmed.

Domeenikontroller hõlbustab võrgu haldamist. Haldades ühte kontoloendit kõigi domeeniliikmete jaoks, vabastab domeenikontroller võrguadministraatori kohustusest sünkroonida kontoloendeid igas domeeniarvutis. Teisisõnu peab kasutajakontot loov või muutev võrguadministraator värskendama ainult domeenikontrolleri kontode loendit, mitte iga domeeni arvuti kontoloendeid.

Windowsi andmebaasiserverisse sisselogimiseks peab teise Windowsi arvuti kasutaja kuuluma kas samasse domeeni või usaldusväärsesse domeeni. Usaldusväärne domeen on domeen, mis on loonud usaldussuhte teise domeeniga. Usaldussuhtes asuvad kasutajakontod ainult usaldusväärses domeenis, kuid kasutajad saavad sisse logida usaldusväärsesse domeeni.

Kasutaja, kes üritab logida sisse Windowsi arvutisse, mis on domeeni liige, saab seda teha kas kohalikku sisselogimist ja profiili või domeeni sisselogimist ja profiili kasutades. Kui aga kasutaja on loetletud usaldusväärse kasutajana või arvuti, millest kasutaja proovib sisse logida, on loetletud usaldusväärse hostina, saab kasutajale anda sisselogimisjuurdepääsu ilma profiilita.

Kui määrate kasutaja identifikaatori, kuid ei domeeninimiÜhenduse puhul masinaga, mis eeldab nii domeeninime kui ka kasutajanime (domeen\kasutaja), kontrollib IBM Informix ainult kohalikku masinat ja kasutajakonto esmast domeeni. Kui määrate selgesõnaliselt domeeninime, kasutatakse seda domeeni kasutajakonto otsimiseks. Ühenduse katse nurjub veaga -951, kui kohalikus masinas ei leitud ühtegi sobivat domeeni\kasutajakontot.

Kasutage konfiguratsiooniparameetrit CHECKALLDOMAINSFORUSER, et konfigureerida, kuidas Informix otsib kasutajanimesid võrguga ühendatud Windowsi keskkonnas. Järgmises tabelis on loetletud asukohad, kus Informix otsib kasutajanimesid, mis on määratud kas eraldi või domeeninimega, mille CHECKALLDOMAINSFORUSER väärtuseks on määratud 0 või 1.

Tabel 1. CHECKALLDOMAINSFORUSER konfiguratsiooniparameeter (Windows)
Domeen\kasutaja määratud Määratud ainult kasutajanimi
CHECKALLDOMAINSFORUSER=0 Informix otsib kasutajanime ainult kohalikust hostist.
CHECKALLDOMAINSFORUSER=1 Informix otsib kasutajanime ainult määratud domeenist. Informix otsib kasutajanime kõigist domeenidest.

CHECKALLDOMAINSFORUSER väljajätmine onconfig-failist on sama, mis väärtuse CHECKALLDOMAINSFORUSER määramine väärtusele 0. Lisateabe saamiseks CHECKALLDOMAINSFORUSER seadistamise kohta vaadake IBM Informixi administraatori viidet.

Domeenide kohta lisateabe saamiseks pöörduge oma Windowsi poole operatsioonisüsteem käsiraamatud.

NB! IBM Informixi usaldusväärse kliendi mehhanism ei ole seotud usaldussuhtega, mille saate luua Windowsi domeenide vahel. Seega, isegi kui klient loob ühenduse usaldusväärsest Windowsi domeenist, peab kasutajal olema konto domeenis, kus andmebaasiserver töötab. Lisateavet selle kohta, kuidas andmebaasiserver kliente autentib, vt

Ma saan lugejatelt palju e-kirju, mis kirjeldavad probleeme, millega nad kontode loomisel või haldamisel kokku puutuvad. Paljud administraatorid kogevad raskusi selle tõttu, et nad hooletult vahele jätavad olulised elemendid süsteemi seadistamisel või mitte kinni pidama. Seetõttu otsustasin uuesti läbi vaadata kontode loomise ja haldamise põhitõed ning anda teile mõned näpunäited protsessi lihtsamaks muutmiseks.

Kasutajakonto sisaldab nime ja parooli kohalikku arvutisse või domeeni sisselogimiseks. Active Directory'is (AD) võib kasutajakonto sisaldada ka Lisainformatsioon, nagu näiteks täisnimi kasutaja, e-posti aadress, telefoninumber, osakond ja füüsiline aadress. Lisaks on kasutajakonto vahend lubade, sisselogimisskriptide, profiilide ja kodukataloogide määramiseks.

Kohalikud kontod vs domeenikontod

Kui kasutajad logivad sisse kohalikku arvutisse, mitte domeeni, kasutavad nad kohalikke kontosid. Töörühma (peer-to-peer - peer-to-peer) keskkonnas pakuvad kohalikud kontod kohalikele arvutikasutajatele sisselogimisfunktsioone ja kaugkasutajatele juurdepääsu arvutiressurssidele. Konkreetsed kasutajad näiteks pääseb juurde serveris olevatele andmetele ja kasutab kohalikku konto sellises süsteemis registreeruda.

Enamik kasutajakontosid on aga sisse ettevõtte võrk on domeenispetsiifilised ja pakuvad kogu domeeni õigusi ja õigusi. Kui domeenikonto seda konkreetselt ei keela, saavad kasutajad domeeni sisse logida mis tahes tööjaama domeenikontoga. Pärast registreerimist saavad kasutajad konkreetsed õigused võrguressursse domeenikonto jaoks.

Kuid domeenikontod pole ainult kasutajatel. Domeenis esindavad kontod füüsilisi kirjeid, mis võivad vastata arvutile, kasutajale või rühmale. Kasutajakontod, arvutikontod ja rühmakontod on põhimõtted (volitajad) – kataloogiteenuse objektid, millele määratakse automaatselt SID-d, mis määravad juurdepääsu domeeniressurssidele.

Domeenikontode kaks kõige olulisemat kasutusviisi on kasutajate autentimine ja domeeniressurssidele juurdepääsu lubamine või keelamine. Autentimine võimaldab kasutajatel registreeruda arvutitesse ja domeenidesse, mille omadused on domeeniteenuste poolt autentitud. Domeen lubab või keelab juurdepääsu domeeniressurssidele, lähtudes õigustest, mille kasutaja saab ühe või mitme liikme liikmelisuse kaudu domeenirühmad Oh.

Sisseehitatud domeenikontod

Kui domeen luuakse, loob Windows automaatselt mitu kasutajakontot. Windows 2000-l on sisseehitatud administraatori- ja külaliskontod. Windows Server 2003 domeenidel on kolmas sisseehitatud konto nimega HelpAssistant, mis luuakse automaatselt kaugabi esmakordsel käivitamisel. Kõigil neil sisseehitatud kontodel on erinev komplekt load.

Administraatori kontol on komplekt Täielikud load Saate juhtida kõiki domeeniressursse ja määrata domeeni kasutajatele õigusi. Vaikimisi kuulub administraatori konto järgmistesse rühmadesse:

  • Administraatorid
  • Domeeni administraatorid
  • Domeeni kasutajad
  • Ettevõtte administraatorid
  • Grupipoliitika looja omanikud
  • Skeemiadministraatorid

Mõned administraatorid nimetavad administraatori konto ümber või keelavad selle, et muuta kasutajatel domeenikontrollerile (DC) juurdepääs keerulisemaks. Selle asemel saaksid administraatorid registreeruda kontodega, mis on samade rühmade liikmed, mis annaks neile piisavad õigused domeeni haldamiseks. Kui administraatori konto on keelatud ja teil on vaja juurdepääsu DC-le, saate seda kontot kasutada, laadides DC Turvarežiim Režiim (administraatori konto on režiimis alati saadaval Turvarežiim).

Külaliskonto võimaldab kasutajatel, kellel pole kontot, domeeniga registreeruda. Külaliskonto ei nõua parooli, kuid saate sellele õigusi määrata täpselt nagu igale kasutajakontole. Külaliskonto on gruppide Külalised ja Domeeni külalised liige. On selge, et igaühe võimalus, kellel pole päris kontot, domeeni registreerida, loob teatud riski, mistõttu enamik administraatoreid seda kontot ei kasuta. Operatsioonisüsteemis Windows 2003 on külaliskonto vaikimisi keelatud. Külaliskonto keelamiseks opsüsteemis Windows 2000 peate sellel lisandmoodulis paremklõpsama Microsofti haldus Console (MMC) Active Directory kasutajad ja arvutid, seejärel valige menüüst Keela.

HelpAssistanti konto võeti kasutusele ainult operatsioonisüsteemis Windows 2003. Kaugtöölaua abiseansihalduri teenus loob ja haldab seda kontot, kui kasutaja taotleb kaugabi seanssi.

Loo domeeni kasutajakontod

Domeeni kasutajakontod luuakse DC-s AD funktsioonina. Peate avama Active Directory kasutajate ja arvutite lisandmooduli, seejärel laiendama sobivat domeeni (kui neid on mitu). Erinevalt Windows NT 4.0-st eraldavad Windows 2000 ja Windows 2003 kontode loomise ja konfigureerimise protsessid: administraator loob esmalt kasutaja ja sellega seotud parooli, seejärel konfigureerib need, määrates grupi liikmelisuse.

Uue domeeni kasutaja loomiseks paremklõpsake konteinerit Kasutajad, seejärel valige Uus, Kasutaja, et avada dialoogiboks Uus objekt - Kasutaja, mida joonisel 1 on näidatud Järgmisena sisestage kasutajanimi ja registreerimisnimi. Windows lisab sisselogimisnimele automaatselt praeguse domeeni järelliide, mida nimetatakse kasutaja põhisufiksiks (UPN-i järelliide). Saate luua täiendavaid UPN-i järelliiteid ja valida liitkastist uue kasutaja järelliide. Samuti saate NT 4.0 ja Windows 9.x arvutites domeenis registreerimiseks sisestada erineva kasutajanime (vaikimisi asendatakse eelmine nimi).

Järgmiseks klõpsake kasutaja parooli konfigureerimiseks nuppu Edasi, nagu on näidatud joonisel 2. Vaikimisi sunnib Windows kasutajaid järgmisel sisselogimisel oma parooli muutma, nii et igal uuel kasutajal võib olla erinev parool. standardne parool ettevõte ja seejärel andke kasutajatele võimalus siseneda uus salasõna pärast esimest ise registreerimine. Järgmisena peate valima paroolivalikud, mida soovite sellele kasutajale määrata. Lõpuks peate klõpsama nuppu Edasi, et näha ülevaadet valitud sätetest, seejärel klõpsake AD-s kasutajakonto loomiseks nuppu Lõpeta.

Kasutajakonto atribuudid

Domeeni kasutajakonto atribuutide seadistamiseks või muutmiseks peate selle loendist valima ja topeltklõpsama hiire paremat nuppu. Ekraanil 3 kuvatakse seadistuskategooriad.

Vahekaart Member Of juhib kasutaja gruppi kuulumist (ja seega ka kasutaja õigusi ja õigusi domeenis). Vaikimisi paigutab Windows uue kasutajakonto domeeni kasutajate rühma. Mõne kasutaja jaoks piisab sellest ja midagi muud pole vaja teha. Teistele kasutajatele, nagu osakonnajuhatajad või IT-töötajad, tuleb määrata grupi liikmesused, mis võimaldavad neil vajalikke ülesandeid täita. Grupi liikmelisuse määramiseks klõpsake nuppu Lisa, seejärel valige kasutajale, kelle kontot muudate, sobiv rühm. Kui sisseehitatud rühmad ei paku täpselt teie vajadustele vastavaid õigusi, peaksite looma oma rühmad.

Mallide loomine

Windows võimaldab teil kasutajakontosid kopeerida, muutes mallide loomise protsessi kiiremaks ja tõhusamaks. Parim viis Kasutage seda funktsiooni ära, luues kasutajakonto mallide seeria ja muutes need seejärel päriskontodeks. Kuna load ja õigused on kõige olulisemad (ja potentsiaalselt ohtlikud) omadused, peaksite looma mallid kategooriatesse vastavalt rühma kuulumisele. Peate alustama malliga tavakasutaja(st ainult domeenikasutajate grupi liige), seejärel looge mallid, millel on grupiliikmete kindlad kombinatsioonid. Näiteks saate luua kasutajamalli nimega Power koos liikmelisusega rühmas Power Users ilma sisselogimistundide piiranguteta või kasutajamalli nimega DialUp koos eelmääratletud sissehelistamisseadetega. Seejärel saate uute kontode loomisel valida sobiva malli ja seda muuta.

Leidsin mitu kasulikud tehnikad mallide loomine ja kopeerimine:

  • määrake 0-ga algavatele mallidele nimed, nii et need kõik kuvatakse koos kasutajafailide loendis;
  • määrake kõigile mallidele sama parool;
  • keelake kõik mallikontod (paremklõpsake failil, seejärel valige Keela).

Uuele kasutajale malli alusel konto loomiseks paremklõpsake mallide loendil ja valige Kopeeri. Dialoogiboksis Kopeeri objekt – kasutaja peate sisestama uue kasutajanime ja sisselogimisnime loodav rekord, seejärel klõpsake uue kasutaja parooli määramiseks allpool kirjeldatud viisil nuppu Edasi.

  1. Sisestage ettevõtte tavaparool ja määrake see uuele kasutajale.
  2. Tühjendage parool kunagi ja konto on keelatud lahtrid.
  3. Märkige ruut Kasutaja peab järgmisel sisselogimisel parooli muutma.
  4. Klõpsake nuppu Edasi, seejärel Lõpeta.

Vahekaardil Member Of pole vaja vaeva näha, sest süsteem on juba kasutajamallist grupiliikmed kopeerinud. Põhimõtteliselt, kui kasutaja telefoninumbrit ja aadressi pole vaja salvestada, ei saa te ülejäänud vahekaartidel midagi teha. Süsteem kopeerib kõik tavalised atribuudid. Siiski saate lisada automaatne kopeerimine muud atribuudid või jätta teatud atribuudid kopeerimata, muutes AD skeemi.

Katie Ivens- Windows 2000 ajakirja toimetaja. Ta on osalenud enam kui 40 arvutiraamatus, sealhulgas Windows 2000: The Complete Reference (Osborne/McGraw-Hill). Temaga saab ühendust võtta aadressil:

Kontod (kontosid) kasutajad, arvutid ja rühmad - üks peamisi võrguressurssidele juurdepääsu kontrollimise elemente ja seega ka kogu võrgu turvasüsteemi tervikuna.

IN Windowsi keskkond 2003. aasta Active Directory kasutajakontosid on 3 peamist tüüpi:

  • Kohalikud kasutajakontod. Need kontod on olemas kohalikus andmebaasis SAM (Turvakontode haldur) igas töötavas süsteemis Windowsi juhtimine 2003. Need kontod luuakse tööriista abil Kohalikud kasutajad ja rühmad (Kohalikud kasutajad ja rühmad) konsool Arvutihaldus (Arvutihaldus). Pange tähele, et kohaliku kontoga sisselogimiseks peab see konto olema selle süsteemi SAM-i andmebaasis, kuhu proovite sisse logida. See muudab kohalikud kontod ebapraktiliseks suured võrgud, kuna nende halduskulud on suured.
  • Domeeni kasutajakontod. Need kontod on salvestatud Active Directorysse ja neid saab kasutada kogu AD metsa ressurssidele sisselogimiseks ja juurdepääsuks. Seda tüüpi kontod luuakse tsentraalselt, kasutades konsooli " Active Directory kasutajad ja arvutid " (" ").
  • Sisseehitatud kontod. Need kontod loob süsteem ise ja neid ei saa kustutada. Vaikimisi loob iga süsteem, olenemata sellest, kas see on isoleeritud (eraldi) või osa domeenist, kaks kontot – Administraator (Administraator) Ja Külaline (Külaline). Vaikimisi on külaliskonto keelatud.

Keskendume domeeni kasutajakontodele. Need kontod on salvestatud domeenikontrolleritesse, mis salvestavad Active Directory andmebaasi koopia.

Olemas erinevaid formaate, mis võivad esindada kasutajate sisselogimisnimesid, kuna need võivad ühilduvuse huvides varasemate klientidega erineda Windowsi versioonid(näiteks 95, 98, NT). Kaks peamist sisselogimistüüpi kasutavad järelliidet Kasutaja põhinimi (esmane kasutajanimi) ja kasutaja sisselogimisnimi Windows 2000 eelsetes süsteemides.

Peamine kasutajanimi ( UPN, Kasutajapõhimõtte nimi) on samas vormingus kui meiliaadressil. See sisaldab kasutaja sisselogimisnime, seejärel ikooni "@" ja domeeninime. Vaikimisi Domeeninimi Juurdomeen on rippmenüü kastis esile tõstetud, olenemata sellest, millises domeenis konto loodi (rippmenüü sisaldab ka selle domeeni nime, kuhu konto lõite).

Samuti saate luua täiendavaid domeenisufikseid (nime osa, mis tuleb pärast @-märki), mis kuvatakse ripploendis ja mida saab kasutada UPN-i moodustamiseks, kui need valite (seda tehakse konsooli abil " Active Directory – domeenid ja usaldus " (" Active Directory domeen ja usaldusfondid ").

On ainult üks nõutav tingimus samal ajal peavad kõik metsas olevad UPN-id olema kordumatud (st mitte korduma). Kui kasutaja sisselogimiskonto kasutab Windows 2003 sisselogimiseks UPN-i, peate sisestama ainult UPN-i ja parooli – ei pea enam domeeninime meeles pidama ega sisestama. Selle nimetamissüsteemi teine ​​eelis on see, et UPN vastab sageli sellele e-posti aadress kasutaja, mis jällegi vähendab meelde jätva kasutajateabe hulka.

Kohalikud kontod

Igas arvutis, mis töötab operatsioonisüsteemiga Windows NT/2000/XP/2003 (kui tegemist pole domeenikontrolleri serveriga), on kohalik andmebaas konto andmed, mida nimetatakse SAM-i andmebaasiks. Neid andmebaase käsitleti töörühma turvamudeli kirjeldamisel. Kohalikke kasutajaid ja eriti rühmi kasutatakse konkreetse arvuti ressurssidele juurdepääsuõiguste määramisel, isegi domeeni turvamudelis. Üldreeglid Allpool kirjeldatakse kohalike ja domeenirühmade kasutamist juurdepääsu juhtimiseks.

Domeeni kasutajakontode haldamine

Domeeni kasutajakontod (samuti arvuti- ja grupikontod) hoitakse spetsiaalsetes AD-konteinerites. Need võivad olla kas standardsed konteinerid Kasutajad kasutajatele ja Arvutid arvutite jaoks või administraatori loodud Organisatsiooniüksus(OP). Erandiks on domeenikontrolleri kontod, mis salvestatakse alati OU-s koos nimega Domeenikontrollerid.

Vaatame näiteid kasutajakontode loomise protsessist Active Directory andmebaasis ja analüüsime domeenikontode põhiomadusi. Arvutite kontod luuakse arvuti domeeniga ühendamise käigus.

Domeenikonto loomine

Tähelepanu! Laboratoorsetes harjutustes antakse teile ülesanne seadistada poliitikad, mis vähendavad oluliselt paroolide ja kasutajaõiguste nõuete taset:

  • parooli keerukuse nõue on keelatud,
  • parooli minimaalne pikkus on seatud 0-le (st parool võib olla tühi),
  • minimaalseks parooli kehtivusajaks on seatud 0 päeva (st kasutaja saab parooli igal ajal muuta),
  • paroolide salvestamise ajalugu on seatud väärtusele 0 (st parooli muutmisel ei kontrolli süsteem varem kasutatud paroolide ajalugu),
  • Kasutajate rühmale antakse domeenikontrolleritele kohalikud sisselogimisõigused.

Need poliitikad on seatud ainult harjutuste tegemise mugavuse huvides, mida tuleb teha tavakasutajate õigustega domeenikontrolleri serverites. Tegelikus halduspraktikas ei tohiks paroolidele kunagi seada selliseid nõrku turvaparameetreid ja kasutajaõigused peaksid olema väga ranged (turvapoliitikat käsitletakse selles jaotises hiljem);

Parooli loomiseks märkide valimise reeglid:

  • Parooli pikkus - vähemalt 7 tähemärki;
  • parool ei tohiks kattuda süsteemi sisselogimise kasutajanimega, samuti tema tavalise nime, perekonnanime, sugulaste, sõprade jne nimedega;
  • parool ei tohiks koosneda ühestki sõnast (et välistada võimalus parooli sõnaraamatu abil ära arvata);
  • parool ei tohiks kattuda kasutaja telefoninumbriga (tavaline või mobiil), tema auto numbriga, passiga, juhiluba või muu dokument;
  • Parool peab olema kombinatsioon suurtähtedest ja väiketähtedega, numbrid ja erimärgid (nt @#$%^*&()_+ jne).

Ja veel üks turvareegel on parooli korrapärane muutmine (muutmise sagedus sõltub iga konkreetse ettevõtte või organisatsiooni turvanõuetest). Windowsi domeenidel on reegel, mis määrab, kui kaua kasutaja paroolid aeguvad.

Ülevaade kasutajakonto omadustest

Kasutajakonto atribuudid sisaldavad suurt hulka erinevaid parameetreid, mis asuvad konsoolis vaadates mitmel vahekaardil. Active Directory – kasutajad ja arvutid", ja mitmesuguste installimisel tarkvaratooted omaduste komplekti saab laiendada.

Vaatame kõige olulisemaid omadusi administreerimise vaatenurgast.

Avame konsooli" Active Directory – kasutajad ja arvutid" ja vaadake äsja loodud kasutaja atribuute.

Järjehoidja " On levinud". See vahekaart sisaldab peamiselt viiteandmeid, mis võivad olla väga kasulikud AD metsas kasutajate otsimisel. Huvitavamad neist on:

  • " Nimi "
  • " Perekonnanimi "
  • " Kuvatav nimi "
  • " Kirjeldus "
  • " Telefoninumber "
  • " Meil "

Järjehoidja " Aadress " - viiteteave otsida AD.

Järjehoidja " Konto" - väga oluline parameetrite komplekt (parameetrid " Kasutaja sisselogimisnimi"Ja" Kasutaja sisselogimisnimi (eelnev Windows 2000)" arutati ülal kasutaja loomisel):

  • nupp " Sisenemise aeg" - päevad ja tunnid, millal kasutaja saab domeeni sisse logida;
  • nupp " Logi sisse…" - arvutite loend, millest kasutaja saab süsteemi sisse logida (registreeruda domeenis);
  • Märkeruudu tüübi väli " Blokeeri konto" - see valik pole saadaval enne, kui konto lukustatakse pärast teatud arvu eeskirjadega määratud ebaõnnestunud sisselogimiskatseid (katsed vale parooliga), kaitseb kellegi teise konto parooli häkkimise eest jõhkra jõu meetodil; kui tehakse teatud arv ebaõnnestunud katseid, siis kasutajakonto lukustatakse automaatselt, väli muutub vabaks ja sinna tehakse linnuke, mille administraator saab käsitsi eemaldada või see eemaldatakse automaatselt pärast määratud intervalli paroolipoliitika järgi;
  • " Konto seaded" (esimeseid kolme parameetrit käsitleti eespool):
    • " Nõua järgmisel sisselogimisel parooli muutmist "
    • " Takistage kasutajal parooli muutmist "
    • " Paroolil ei ole aegumiskuupäeva "
    • " Keela konto" - konto sunnitud deaktiveerimine (kasutaja ei saa domeeni sisse logida);
    • " Internetis sisselogimiseks on vaja kiipkaarti" - domeeni sisselogimine toimub mitte parooli, vaid kiipkaardi abil (selleks peab kasutaja arvutis olema kiipkaardilugeja, kiipkaardid peavad sisaldama sertifitseerimiskeskuse loodud sertifikaate);
  • " Konto aegumiskuupäev" - määrab kuupäeva, millest alates see konto domeenis registreerimisel ei kehti (see parameeter on soovitatav määrata ajutiseks tööks palgatud töötajatele, ettevõttesse lähetusse saabuvatele inimestele, organisatsioonis praktikal olevatele üliõpilastele, jne.)

Järjehoidjad " Telefonid ", " Organisatsioon" - viiteteave kasutaja kohta AD-s otsimiseks.

Järjehoidja " Profiil "

Profiil (profiil) on kasutaja töökeskkonna seaded. Profiil sisaldab: töölaua sätteid (värv, ekraani eraldusvõime, taustpilt), arvuti kaustade vaatamise seadeid, Interneti-brauseri ja muude programmide sätteid (näiteks pereprogrammide kaustade paigutus Microsoft Office). Iga kasutaja jaoks luuakse automaatselt profiil, kui ta esimest korda arvutisse sisse logib. Eristama järgmised tüübid profiilid:

  • kohalik- salvestatud kausta " Dokumendid ja Seaded" ketta partitsioonil, kuhu operatsioonisüsteem on installitud;
  • ümberpaigutatav(võrk või rändlus) - salvestatakse serverisse kaustas avalik juurdepääs, laaditakse kasutaja seanssi mis tahes arvutis, kust kasutaja on domeeni sisse loginud (registreerunud), võimaldades kasutajal sama töökeskkond mis tahes arvutis (profiili kausta tee on sellel vahekaardil näidatud aadressina \\server\share\%kasutajanimi% , kus server on serveri nimi, ühiskasutus on jagatud kausta nimi, % kasutajanimi% on nimi profiilikausta kasutamine; keskkonna muutuja Windowsi süsteem nimega %kasutajanimi% võimaldab määrata kasutajanimele vastava profiilikausta nime);
  • kohustuslik (kohustuslik) - seaded seda tüüpi kasutaja saab profiili muuta ainult sisse praegune seanss töötab Windowsis, väljalogimisel muudatusi ei salvestata.

Sisselogimisskripti parameeter määratleb käivitatava faili, mis laaditakse arvutisse alla ja käivitatakse, kui kasutaja sisse logib. Käivitatav fail võib olla partiifail(.bat, .cmd), käivitatav programm(.exe, .com), skriptifail (.vbs, js).

Järjehoidja " Rühmade liige" - võimaldab hallata rühmade loendit, kuhu see kasutaja kuulub.

Järjehoidja " Sissetulevad kõned ".

Kasutajate juurdepääsu juhtimine ettevõtte süsteemile Windows Serveri kaugjuurdepääsu tööriistade kaudu (näiteks modemi või VPN-ühenduse kaudu). IN segarežiim Windowsi domeen Saadaval on ainult valikud" Luba juurdepääs"Ja" Keela juurdepääs", samuti tagasihelistamise parameetrid (" Serveri tagasihelistamine"). Režiimides " Windows 2000 basic"Ja" Windows 2003"Juurdepääsu saab juhtida kaugjuurdepääsu serveripoliitikate abil (mitte segi ajada rühmapoliitikaga). Täpsemalt see küsimus käsitletakse kaugjuurdepääsu tööriistu käsitlevas jaotises.

Järjehoidjad " Terminaliteenuste profiil ", " kolmapäeval ", " Seansid ", " Pult" - need vahekaardid juhivad kasutaja töösätteid terminaliserveris:

  • kasutajaõiguste haldamine terminaliserveris töötamiseks;
  • profiili paigutamine terminali seansis töötades,
  • kasutajakeskkonna seadistamine terminali seansis (käivitades konkreetne programm või töölauarežiimis, ühendades kohalikud kettad ja kasutajaprinterid terminaliseansiga);
  • kasutajaseansi haldamine terminaliserveris (seansi kestus, seansi passiivsuse ajalõpp, parameetrid taasühendamine katkestatud seansile);
  • Administraatoril kasutaja terminali seansiga ühenduse loomise lubamine.

Kõik teavad, pärast paigaldamist operatsioonisüsteem, on arvuti algselt sisse lülitatud töögrupp(vaikimisi WORKGROUP). Töörühmas on iga arvuti iseseisev autonoomne süsteem milles SAM (Security Accounts Manager) andmebaas on olemas. Kui inimene logib arvutisse sisse, kontrollitakse, kas tal on SAM-is konto ja nende kirjete järgi on teatud õigused antud. Domeeni sisestatud arvuti jätkab oma SAM-andmebaasi haldamist, kuid kui kasutaja logib sisse domeenikonto alt, siis kontrollitakse seda domeenikontrolleriga, s.t. Arvuti usaldab domeenikontrollerit kasutaja tuvastamisel.

Domeeni saab lisada arvuti erinevaid viise, kuid enne selle tegemist peate veenduma, et see arvuti vastab järgmistele nõuetele.

Teil on õigus liituda arvutiga domeeniga (vaikimisi on see õigus ettevõtte administraatoritel, domeeniadministraatoritel, administraatoritel, kontoadministraatoritel);

Arvutiobjekt luuakse domeenis;

Peate olema sisse logitud arvutisse, millega liitute, kohaliku administraatorina.

Paljudes administraatorites võib pahameelt tekitada teine ​​punkt – milleks luua arvutit AD-s, kui see ilmub pärast arvuti domeeni lisamist konteinerisse Arvutid. Asi on selles, et te ei saa arvutite konteineris jaotisi luua, kuid mis veelgi hullem, te ei saa objekte konteineriga siduda rühmapoliitika. Seetõttu on soovitatav luua arvutiobjekt vajalikus organisatsiooniüksuses, mitte rahulduda automaatselt loodud arvutikontoga. Loomulikult saab automaatselt loodud arvuti liigutada vajalikku osakonda, kuid administraatorid unustavad sageli sellised asjad ära teha.

Nüüd vaatame võimalusi AD-s arvuti (arvutite) loomiseks:

Arvutite loomine Active Directory kasutajate ja arvutite lisandmooduli abil.

Selle meetodi jaoks peame oma arvutis käivitama lisandmooduli "Active Directory kasutajad ja arvutid", kasutades Administraatori pakett või domeenikontrolleris. Selleks klõpsake " Start-paneel kontrollsüsteem ja turvalisus – haldus –"valige vajalik osakond, paremklõpsake sellel ja kontekstimenüü vali " Loo – arvuti".

Sisestage arvuti nimi.

Looge arvutikonto käsuga DSADD.

Käsu üldvaade:

dsadd arvuti [-desc<описание>] [-loc<расположение>] [-liige<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Valikud:

Väärtuse kirjeldus
Nõutav parameeter. Määrab lisatava arvuti eristava nime (DN).
-kirjeldus<описание> Määrab arvuti kirjelduse.
-loc<размещение> Määrab arvuti asukoha.
-liige<группа...> Lisab arvuti ühte või mitmesse rühma, mis on määratletud tühikutega eraldatud keelunimekirjade loendiga<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>määrab ühenduse domeenikontrolleriga (DC).<сервер>.
-d <домен>määrab ühenduse alalisvooluga domeenis<домен>.
Vaikimisi: DC sisselogimisdomeenis.
-u<пользователь> Ühendus nime all<пользователь>. Vaikimisi: sisse logitud kasutajanimi. Võimalikud valikud: kasutajanimi, domeen\kasutajanimi, kasutaja põhinimi (UPN).
-p (<пароль> | *} Kasutaja parool<пользователь>. Kui sisestatakse *, küsitakse teilt parooli.
-q Vaikne režiim: kogu väljund asendatakse standardväljundiga.
(-uc | -uco | -uci)

-uc Määrab Unicode'is kanali sisendi või kanali väljundi vormingu.
-uco Määrab, kas toru või faili väljund on vormindatud Unicode'is.
-uci Määrab Unicode'is kanali või faili sisendi vormingu.

Näide käsu Dsadd kasutamisest:

Dsadd arvuti "CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com" –desc "IT-osakonna arvuti"

Loominetööjaama või serveri konto, kasutades käsku Netdom.

Käsu Netdom üldvaade:

NETDOM ADD<компьютер> ]
<компьютер> see on lisatava arvuti nimi
/Domeen määrab domeeni, kuhu soovite arvutikonto luua
/KasutajaD kasutajakonto, mida kasutada ühenduse loomisel /Domain argumendiga määratud domeeniga
/ParoolD Argumendiga /UserD määratud kasutajakonto parool. Märk * tähistab parooli küsimist
/Server Lisamisel kasutatud domeenikontrolleri nimi. Seda suvandit ei saa kasutada koos suvandiga /OU.
/OU osakond, kuhu soovite arvutikonto luua. Organisatsiooniüksuse jaoks on nõutav RFC 1779 täielikult kvalifitseeritud domeeninimi. Selle argumendi kasutamisel peate töötama otse määratud domeenikontrolleris. Kui seda argumenti ei täpsustata, luuakse konto selle domeeni arvutiobjektide vaikeorganisatsiooniüksuses.
/DC määrab, et soovite luua domeenikontrolleri arvutikonto. Seda suvandit ei saa kasutada koos suvandiga /OU.
/SecurePasswordPrompt Kasutage mandaatide esitamiseks turvalist hüpikakent. Kasutage seda valikut, kui peate esitama kiipkaardi mandaadid. See parameeter toimib ainult siis, kui parool on määratud *.

Arvutiobjekti loomine kasutades Ldifde() ja Csvde().

Arvutikontode haldamine Active Directorys.

Arvuti ümbernimetamine AD-ks.

Käivitame käsurida ja Netdomi käsuga nimetame arvuti ümber AD-ks:

Netdomi ümbernimetamise arvuti<Имя компьютера>/Uusnimi:<Новое имя>

Näide: Netdomi ümbernimetatav arvuti COMP01 / Uus nimi: COMP02

Arvutikontode eemaldamine.

1 Kustutage lisandmooduli abil arvutikonto Active Directory – kasutajad ja arvutid". Käivitage lisandmoodul" Active Directory – kasutajad ja arvutid"leida vajalik arvuti paremklõpsake sellel ja valige " Kustuta", kinnitage kustutamine

2 Saate arvuti eemaldada käsuga DSRM:

DSRM

DSRM CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com
.

Vea "Ei saanud installida usaldussuhted selle tööjaama ja põhidomeeni vahel."

Mõnikord saab kasutaja arvutisse sisselogimisel sõnumi " Selle tööjaama ja esmase domeeni vahel ei õnnestunud usaldussuhet luua". See tõrge ilmneb siis, kui turvaline kanal masina ja domeenikontrolleri vahel ebaõnnestub. Selle parandamiseks peate turvakanali lähtestama. Võite kasutada ühte järgmistest meetoditest:

1 Minge lisandmoodulisse "Active Directory kasutajad ja arvutid", leidke probleemne arvuti, paremklõpsake sellel ja valige "Lähtesta konto". Pärast seda tuleks arvuti uuesti domeeniga ühendada ja taaskäivitada.

2 Kasutades käsku Netdom:

Netdom lähtestamine<имя машины>/domeen<Имя домена>/Kasutaja0<Имя пользователя>/Parool0<Пароль> ilma jutumärkideta<>

Näide: Netdom lähtestamine COMP01 /domeeni veebisait /Kasutaja0 Ivanov /Parool *****

3 Kasutades käsku Nltest:

Nltest/server:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>

Juhised

Loomine koduvõrk saate korraldada juurdepääsu võrguprinter kõik töörühma arvutid. Selleks tuleb need vastavalt konfigureerida, nimelt määrata IP-aadressid, määrata arvutite nimed ja lisada need ühte gruppi. Kõik vajalikud seaded, mille väärtusi muudate, asuvad süsteemi kaust"Kontrollpaneel".

Kõigepealt peate andma arvutitele nimed ja määratlema nende töörühma. Selleks minge oma töölauale ja paremklõpsake ikoonil "Minu arvuti". Avanevas kontekstimenüüs valige "Atribuudid". Näete apletti "Süsteemi atribuudid", millele saab kombinatsiooni kasutades kiiresti juurde pääseda Võidu võtmed+ Paus paus.

Selles apletis minge vahekaardile Arvuti nimi. Soovitatav on luua arvutite loend, kuhu märgite mitte ainult nende nimed, vaid ka IP-aadressid. Selle loendi abil andke igale arvutile nimi. Nime muutmiseks klõpsake apleti allosas nuppu Muuda. Asendage avanevas aknas eelmine nimi hiljuti loendisse lisatud nimega.

Sellel vahekaardil saate määrata ka töörühma nime. Vaikimisi on töörühm. Soovitatav on see asendada lihtsama nimega, näiteks Net või Connect. Muudatuste salvestamiseks klõpsake nuppu OK. ilmub teie ette väike aken koos teatega uude töörühma astumise kohta. Akna "Süsteemi atribuudid" allosas kuvatakse teade, mis palub teil süsteem taaskäivitada, kuid see pole veel seda väärt, nii et pärast nupu "OK" klõpsamist valige "Ei".

Nüüd jääb üle vaid määrata igale arvutile oma IP-aadress, et nende tuvastamise järjekord võrgus ei katkeks. Klõpsake menüüd Start, valige Juhtpaneel. Avanevas kaustas topeltklõpsake ikoonil "Võrguühendused", paremklõpsake elemendil "Wire Connection" kohalik võrk" ja valige "Atribuudid".

Paremklõpsake real "Protokoll (TCP/IP)" ja valige "Atribuudid". Minge plokki "Kasuta järgmist IP-aadressi" ja sisestage iga arvuti jaoks individuaalne väärtus ühe ühiku erinevusega. Näiteks "Dmitry" - 192.168.1.3; "Pavel" - 192.168.1.4 jne. Väärib märkimist, et seoses 192.168.1.x-ga on soovitatav alustada lugemist numbrist 3, sest ruuter ja modem kasutavad kahte esimest väärtust.

Kõigis akendes klõpsake nuppu "OK" ja vastake taaskäivitamistaotlusele vajadusel positiivselt või negatiivselt salvestamata dokumendid. Seejärel taaskäivitage ennast menüü Start abil.



SEOTUD ARTIKLID