Kõik teavad, et pärast operatsioonisüsteemi installimist lülitatakse arvuti algselt töörühma (vaikimisi WORKGROUP). Töörühmas on iga arvuti iseseisev autonoomne süsteem, milles on SAM (Security Accounts Manager) andmebaas. Kui inimene logib arvutisse sisse, kontrollitakse, kas tal on SAM-is konto ja nende kirjete järgi on määratud teatud õigused. Domeeni sisestatud arvuti jätkab oma SAM-i andmebaasi haldamist, kuid kui kasutaja logib sisse domeeni konto alt, siis kontrollitakse seda domeenikontrolleriga, s.t. Arvuti usaldab domeenikontrollerit kasutaja tuvastamisel.
Arvuti domeeni lisamiseks on erinevaid viise, kuid enne selle tegemist peate veenduma, et arvuti vastab järgmistele nõuetele:
Teil on õigus liituda arvutiga domeeniga (vaikimisi on see õigus ettevõtte administraatoritel, domeeniadministraatoritel, administraatoritel, kontoadministraatoritel);
Arvutiobjekt luuakse domeenis;
Peate olema sisse logitud arvutisse, millega liitute, kohaliku administraatorina.
Teine punkt võib paljudes administraatorites nördimust tekitada – milleks luua AD-s arvuti, kui see ilmub pärast arvuti domeeni lisamist konteinerisse Arvutid. Asi on selles, et te ei saa arvutite konteineris jaotisi luua, kuid mis veelgi hullem, ei saa te konteineriga siduda rühmapoliitika objekte. Seetõttu on soovitatav luua arvutiobjekt vajalikus organisatsiooniüksuses, mitte rahulduda automaatselt loodud arvutikontoga. Loomulikult saab automaatselt loodud arvuti liigutada vajalikku osakonda, kuid administraatorid unustavad sageli sellised asjad ära teha.
Nüüd vaatame võimalusi AD-s arvuti (arvutite) loomiseks:
Arvutite loomine Active Directory kasutajate ja arvutite lisandmooduli abil.
Selle meetodi jaoks peame käivitama oma arvutis lisandmooduli "Active Directory kasutajad ja arvutid", kasutades Administraatori pakett või domeenikontrolleris. Selleks klõpsake " Start - Juhtpaneel - Süsteem ja turve - Administreerimine -" valige vajalik osakond, paremklõpsake sellel, valige kontekstimenüüst " Loo – arvuti".
Sisestage arvuti nimi.
Looge arvutikonto käsuga DSADD.
Käsu üldvaade:
dsadd arvuti
Parameetrid:
Väärtuse kirjeldus
-kirjeldus<описание>
Määrab arvuti kirjelduse.
-loc<размещение>
Määrab arvuti asukoha.
- liige<группа...>
Lisab arvuti ühte või mitmesse rühma, mis on määratletud tühikutega eraldatud keelunimekirjade loendiga<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>määrab ühenduse domeenikontrolleriga (DC).<сервер>.
-d <домен>määrab ühenduse alalisvooluga domeenis<домен>.
Vaikimisi: DC sisselogimisdomeenis.
-u<пользователь>
Ühendus nime all<пользователь>. Vaikimisi: sisse logitud kasutajanimi. Võimalikud valikud: kasutajanimi, domeen\kasutajanimi, kasutaja põhinimi (UPN).
-p (<пароль> | *}
Kasutaja parool<пользователь>. Kui sisestatakse *, küsitakse teilt parooli.
-q Vaikne režiim: kogu väljund asendatakse standardväljundiga.
(-uc | -uco | -uci)
-uc Määrab Unicode'is kanali sisendi või kanali väljundi vormingu.
-uco Määrab, kas toru või faili väljund on vormindatud Unicode'is.
-uci Määrab Unicode'is kanali või faili sisendi vormingu.
Näide käsu Dsadd kasutamisest:
Dsadd arvuti "CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com" –desc "IT-osakonna arvuti"
Loominetööjaama või serveri konto, kasutades käsku Netdom.
Käsu Netdom üldvaade:
NETDOM ADD<компьютер> ]
<компьютер>
see on lisatava arvuti nimi
/Domeen määrab domeeni, kuhu soovite arvutikonto luua
/KasutajaD kasutajakonto, mida kasutada ühenduse loomisel /Domain argumendiga määratud domeeniga
/ParoolD Argumendiga /UserD määratud kasutajakonto parool. Märk * tähistab parooli küsimist
/Server Lisamisel kasutatud domeenikontrolleri nimi. Seda suvandit ei saa kasutada koos suvandiga /OU.
/OU osakond, kuhu soovite arvutikonto luua. Organisatsiooniüksuse jaoks on nõutav RFC 1779 täielikult kvalifitseeritud domeeninimi. Selle argumendi kasutamisel peate töötama otse määratud domeenikontrolleris. Kui seda argumenti ei täpsustata, luuakse konto selle domeeni arvutiobjektide vaikeorganisatsiooniüksuses.
/DC määrab, et soovite luua domeenikontrolleri arvutikonto. Seda suvandit ei saa kasutada koos suvandiga /OU.
/SecurePassword Prompt Kasutage mandaatide esitamiseks turvalist hüpikakent. Kasutage seda valikut, kui peate esitama kiipkaardi mandaadid. See parameeter toimib ainult siis, kui parool on määratud *.
Arvutiobjekti loomine kasutades Ldifde() ja Csvde().
Arvutikontode haldamine Active Directorys.
Arvuti ümbernimetamine AD-ks.
Käivitage käsurida ja kasutage käsku Netdom, et nimetada arvuti ümber AD-ks:
Netdomi ümbernimetamise arvuti<Имя компьютера>/Uusnimi:<Новое имя>
Näide: Netdomi ümbernimetatav arvuti COMP01 / Uus nimi: COMP02
Arvutikontode eemaldamine.
1 Kustutage lisandmooduli abil arvutikonto Active Directory – kasutajad ja arvutid". Käivitage lisandmoodul" Active Directory – kasutajad ja arvutid"Leia vajalik arvuti, paremklõpsake sellel ja valige kontekstimenüüst" Kustuta", kinnitage kustutamine
2 Saate arvuti eemaldada käsuga DSRM:
DSRM
DSRM CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com
.
Tõrke "Selle tööjaama ja esmase domeeni vahel ei saanud usaldussuhet luua" lahendamine.
Mõnikord saab kasutaja arvutisse sisselogimisel sõnumi " Selle tööjaama ja esmase domeeni vahel ei õnnestunud usaldussuhet luua". See tõrge ilmneb siis, kui turvaline kanal masina ja domeenikontrolleri vahel ebaõnnestub. Selle parandamiseks peate turvakanali lähtestama. Võite kasutada ühte järgmistest meetoditest:
1 Minge lisandmoodulisse "Active Directory kasutajad ja arvutid", leidke probleemne arvuti, paremklõpsake sellel ja valige "Lähtesta konto". Pärast seda tuleks arvuti uuesti domeeniga ühendada ja taaskäivitada.
2 Kasutades käsku Netdom:
Netdom lähtestamine<имя машины>/domeen<Имя домена>/Kasutaja0<Имя пользователя>/Parool0<Пароль> ilma jutumärkideta<>
Näide: Netdom lähtestamine COMP01 /domeeni veebisait /Kasutaja0 Ivanov /Parool *****
3 Kasutades käsku Nltest:
Nltest/server:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>
Juhised
Koduvõrgu loomisega saate korraldada juurdepääsu võrguprinterile kõigi töörühma arvutite jaoks. Selleks tuleb need vastavalt konfigureerida, nimelt määrata IP-aadressid, määrata arvutite nimed ja lisada need ühte gruppi. Kõik vajalikud sätted, mille väärtusi muudate, asuvad süsteemikaustas "Juhtpaneel".
Kõigepealt peate andma arvutitele nimed ja määratlema nende töörühma. Selleks minge oma töölauale ja paremklõpsake ikoonil "Minu arvuti". Avanevas kontekstimenüüs valige "Atribuudid". Näete apletti "Süsteemi atribuudid", millele pääseb kiiresti juurde klahvikombinatsiooni Win + Pause Break abil.
Selles apletis minge vahekaardile Arvuti nimi. Soovitatav on luua arvutite loend, kuhu märgite mitte ainult nende nimed, vaid ka IP-aadressid. Selle loendi abil andke igale arvutile nimi. Nime muutmiseks klõpsake apleti allosas nuppu Muuda. Asendage avanevas aknas eelmine nimi hiljuti loendisse lisatud nimega.
Sellel vahekaardil saate määrata ka töörühma nime. Vaikimisi on töörühm. Soovitatav on see asendada lihtsama nimega, näiteks Net või Connect. Muudatuste salvestamiseks klõpsake nuppu OK. Teie ette ilmub väike aken, mis teavitab teid uue töörühmaga liitumisest. Akna "Süsteemi atribuudid" allosas kuvatakse teade, mis palub teil süsteem taaskäivitada, kuid see pole veel seda väärt, nii et pärast nupu "OK" klõpsamist valige "Ei".
Nüüd jääb üle vaid määrata igale arvutile oma IP-aadress, et nende tuvastamise järjekord võrgus ei katkeks. Klõpsake menüüd Start, valige Juhtpaneel. Avanevas kaustas topeltklõpsake ikooni "Võrguühendused", paremklõpsake üksusel "Local Area Connection" ja valige "Properties".
Paremklõpsake real "Protokoll (TCP/IP)" ja valige "Atribuudid". Minge plokki "Kasuta järgmist IP-aadressi" ja sisestage iga arvuti jaoks individuaalne väärtus ühe ühiku erinevusega. Näiteks "Dmitry" - 192.168.1.3; "Pavel" - 192.168.1.4 jne. Väärib märkimist, et seoses 192.168.1.x-ga on soovitatav alustada lugemist numbrist 3, sest ruuter ja modem kasutavad kahte esimest väärtust.
Kõigis akendes klõpsake nuppu "OK" ja vastake taaskäivitamise taotlusele positiivselt või negatiivselt, kui seal on salvestamata dokumente. Seejärel taaskäivitage ennast menüü Start abil.
Aleksander Emelyanov
Kontode haldamine Active Directory domeenis
Administraatori üks olulisemaid ülesandeid on kohalike ja domeenikontode haldamine: auditeerimine, kvoodid ja kasutajaõiguste eristamine vastavalt nende vajadustele ja ettevõtte poliitikale. Mida saab Active Directory selles osas pakkuda?
Jätkates artiklite seeriat Active Directory kohta, räägime täna haldusprotsessi kesksest lingist - kasutaja mandaatide haldamisest domeeni sees. Me kaalume:
- kontode loomine ja haldamine;
- kasutajaprofiilide tüübid ja nende rakendus;
- AD domeenide turvarühmad ja nende kombinatsioonid.
Lõppkokkuvõttes saate neid materjale kasutada toimiva infrastruktuuri ehitamiseks või olemasoleva infrastruktuuri muutmiseks, mis vastab teie vajadustele.
Tulevikku vaadates ütlen, et teema on tihedalt seotud grupipoliitikate kasutamisega administratiivsetel eesmärkidel. Kuid neile pühendatud materjali ulatuslikkuse tõttu avalikustatakse see järgmises artiklis.
Tutvustame Active Directoryt – kasutajad ja arvutid
Kui olete oma esimese kontrolleri domeeni installinud (seega olete domeeni tegelikult korraldanud), ilmub jaotisesse "Administreerimine" viis uut elementi (vt joonis 1).
AD objektide haldamiseks kasutatakse Active Directory – Kasutajad ja arvutid (ADUC – AD Users and Computers, vt joon. 2), mida saab ka DSA.MSC abil välja kutsuda “Run” menüü kaudu.
ADUC-iga saate luua ja kustutada kasutajaid, määrata kontole sisselogimisskripte ning hallata grupi liikmelisust ja grupireegleid.
Samuti on võimalus hallata AD-objekte ilma otse serverile juurdepääsuta. Seda pakub pakett ADMINPAK.MSI, mis asub kataloogis "%SYSTEM_DRIVE%\Windows\system32". Kui juurutate selle oma arvutis ja annate endale domeeni administraatori õigused (kui teil neid polnud), saate domeeni administreerida.
ADUCi avamisel näeme meie domeeni haru, mis sisaldab viit konteinerit ja organisatsiooniüksust.
- sisseehitatud. See sisaldab sisseehitatud kohalikke rühmi, mida leidub igas serverimasinas, sealhulgas domeenikontrollerites.
- Kasutajad ja arvutid. Need on konteinerid, kuhu kasutajad, rühmad ja arvutikontod Windows NT peale installimisel vaikimisi paigutatakse. Kuid uute kontode loomiseks ja salvestamiseks pole vaja kasutada ainult neid konteinereid, kasutaja saab luua isegi domeeni konteineris. Kui ühendate arvuti domeeniga, kuvatakse see konteineris Arvutid.
- Domeenikontrollerid. See on organisatsiooniüksus (OU, Organisational Unit), mis sisaldab vaikimisi domeenikontrollereid. Kui loote uue kontrolleri, kuvatakse see siin.
- Välisjulgeolekujuhid. See on välistest usaldusväärsetest domeenidest pärit objektide vaikemahuti.
Oluline on meeles pidada, et GPO-d on seotud ainult domeeni, OU või saidiga. Seda tuleb oma domeeni haldushierarhia loomisel arvesse võtta.
Arvuti sisestamine domeeni
Protseduur viiakse läbi otse kohalikus masinas, mida tahame ühendada.
Valige "Minu arvuti -> Atribuudid -> Arvuti nimi", klõpsake nuppu "Muuda" ja valige menüüst "Kas liige" "domeen". Sisestame domeeni nime, kuhu tahame oma arvuti lisada ning seejärel tõestame domeeni administraatori autentimisandmete sisestamisega, et meil on õigused domeenile tööjaamu lisada.
Looge domeeni kasutaja
Kasutaja loomiseks peate valima mis tahes konteineri, milles see asub, paremklõpsake sellel ja valige "Loo -> Kasutaja". Avaneb kasutaja loomise viisard. Siin saate määrata paljusid selle atribuute, alates kasutajanimest ja domeeni sisselogimise ajaraamist kuni terminaliteenuste ja kaugjuurdepääsu säteteni. Kui viisard on lõpule jõudnud, saate uue domeeni kasutaja.
Tuleb märkida, et kasutaja loomise protsessis võib süsteem "vanduda" parooli ebapiisava keerukuse või selle lühiduse pärast. Nõudeid saate leevendada, avades "Domeeni vaiketurvaseaded" ja seejärel "Turvaseaded -> Kontopoliitikad -> Paroolipoliitika".
Loome kasutaja Ivan Ivanovi konteinerisse Kasutajad (kasutaja sisselogimise nimi: [e-postiga kaitstud]). Kui NT 4 süsteemides mängis see nimi ainult kaunistuse rolli, siis AD-s on see osa nimest LDAP-vormingus, mis näeb välja selline:
cn="Ivan Ivanov", cn="kasutajad", dc="hq", dc="kohalik"
Siin cn on konteineri nimi, dc on domeeni komponent. LDAP-vormingus objektikirjeldusi kasutatakse WSH (Windows Script Hosts) skriptide käitamiseks või programmide jaoks, mis kasutavad Active Directoryga suhtlemiseks LDAP-protokolli.
Domeeni sisselogimiseks peab Ivan Ivanov kasutama UPN-vormingus (Universal Principal Name) nime: [e-postiga kaitstud]. Ka AD domeenides on selge nime kirjutamine vanas NT 4 vormingus (eelnevalt Win2000), meie puhul HQ\Ivanov.
Kasutajakonto loomisel määratakse sellele automaatselt turvaidentifikaator (SID, Security Identifier) - kordumatu number, mille järgi süsteem kasutajaid tuvastab. Seda on väga oluline mõista, sest konto kustutamisel kustutatakse ka selle SID ja seda ei kasutata kunagi uuesti. Ja igal uuel kontol on oma uus SID, mistõttu ei saa see vana konto õigusi ega privileege hankida.
Konto saab teisaldada teise konteinerisse või OU-sse, keelata või, vastupidi, lubada, kopeerida või muuta parooli. Kopeerimist kasutatakse sageli mitme samade sätetega kasutaja loomiseks.
Kasutaja töökeskkond
Serveris tsentraalselt salvestatud mandaadid võimaldavad kasutajatel end domeenis unikaalselt tuvastada ning saada asjakohased õigused ja juurdepääsu töökeskkonnale. Kõik Windows NT perekonna operatsioonisüsteemid kasutavad klientseadmes töökeskkonna loomiseks kasutajaprofiili.
Kohalik profiil
Vaatame kasutajaprofiili põhikomponente:
- Konkreetsele kasutajale vastav registrivõti ("taru" või "taru"). Tegelikult on selle registriharu andmed salvestatud faili NTUSER.DAT. See asub kaustas %SYSTEMDRIVE%\Documents and Settings\User_name, mis sisaldab kasutajaprofiili. Seega, kui konkreetne kasutaja logib süsteemi sisse, laaditakse HKEY_CURRENT_USER registrivõti koos NTUSER.DAT taruga tema profiili sisaldavast kaustast. Ja kõik seansi ajal tehtud kasutajakeskkonna seadete muudatused salvestatakse sellesse "tarusse". Fail NTUSER.DAT.LOG on tehingulogi, mis eksisteerib faili NTUSER.DAT kaitsmiseks. Siiski ei leia te seda tõenäoliselt vaikekasutaja jaoks, kuna see on mall. Sellest lähemalt hiljem. Administraatoril on võimalus muuta konkreetse kasutaja taru otse oma töökeskkonnast. Selleks peab ta registriredaktori REGEDIT32 abil laadima taru jaotisesse HKEY_USERS ja seejärel pärast muudatuste tegemist selle maha laadima.
- Failisüsteemi kaustad, mis sisaldavad kasutaja seadete faile. Need asuvad spetsiaalses kataloogis %SYSTEMDRIVE%\Documents and Settings\User_name, kus Kasutajanimi on süsteemi sisse logitud kasutaja nimi. Siin salvestatakse töölaua üksused, käivitusüksused, dokumendid jne.
Kui kasutaja esimest korda sisse logib, toimub järgmine:
- Süsteem kontrollib, kas selle kasutaja jaoks on olemas kohalik profiil.
- Kui süsteem seda ei leia, pöördub süsteem domeenikontrolleri poole, otsides vaikedomeeniprofiili, mis peaks asuma NETLOGONi ühiskasutaja kaustas Vaikekasutaja; kui süsteem on selle profiili tuvastanud, kopeeritakse see masinas lokaalselt kausta %SYSTEMDRIVE%\Documents and Settings koos kasutajanimega, vastasel juhul kopeeritakse see kohalikust %SYSTEMDRIVE%\Documents and Settings\Default User kaustast.
- Kasutajataru laaditakse registrivõtmesse HKEY_CURRENT_USER.
- Väljalogimisel salvestatakse kõik muudatused kohapeal.
Lõppkokkuvõttes on kasutaja töökeskkond kombinatsioon tema tööprofiilist ja kõigi kasutajate profiilist, mis sisaldab antud masina kõikidele kasutajatele ühiseid sätteid.
Nüüd paar sõna domeeni vaikeprofiili loomise kohta. Looge oma masinas näivprofiil, konfigureerige see vastavalt oma vajadustele või ettevõtte poliitikanõuetele. Seejärel logige välja ja logige uuesti sisse domeeni administraatorina. Looge NETLOGONi serveri ühiskasutusse vaikekasutaja kaust. Järgmiseks kopeerige süsteemiapleti vahekaarti Kasutajaprofiilid (vt joonis 3) kasutades oma profiil sellesse kausta ja andke selle kasutamise õigused domeenikasutajate rühmale või mõnele muule sobivale turvarühmale. See on kõik, teie domeeni vaikeprofiil on loodud.
Rändlusprofiil
Active Directory kui paindlik ja skaleeritav tehnoloogia võimaldab teil oma ettevõtte keskkonnas töötada rändlusprofiilidega, millest räägime järgmisena.
Samas oleks paslik rääkida kaustade ümbersuunamisest kui IntelliMirror tehnoloogia ühest võimalusest, et tagada veataluvus ja kasutajaandmete tsentraliseeritud salvestamine.
Rändlusprofiilid salvestatakse serverisse. Tee nendeni on määratud domeeni kasutaja seadetes (vt joonis 4).
Soovi korral saate määrata mitme kasutaja rändlusprofiilid korraga, valides mitu kasutajat ja vahekaardi “Profiil” atribuutides määrata kasutajanimega kausta asemel %USERNAME% (vt joonis 5).
Rändlusprofiiliga kasutaja esimene sisselogimisprotsess on mõne erandiga sarnane ülalkirjeldatule kohaliku kasutaja jaoks.
Esiteks, kuna profiili tee on määratud kasutajaobjektis, kontrollib süsteem profiili vahemällu salvestatud kohaliku koopia olemasolu masinas, siis on kõik nagu kirjeldatud.
Teiseks, pärast töö lõpetamist kopeeritakse kõik muudatused serverisse ja kui rühmapoliitikad ei määra kohaliku koopia kustutamist, salvestatakse need sellesse masinasse. Kui kasutajal oli profiili lokaalne koopia juba olemas, võrreldakse serveri ja profiili lokaalseid koopiaid ning liidetakse.
IntelliMirror tehnoloogia Windowsi uusimates versioonides võimaldab teil teatud kasutajakaustad, nagu "Minu dokumendid", "Minu pildid" jne, ümber suunata võrguressurssi.
Seega on kõik tehtud muudatused kasutajale täiesti läbipaistvad. Salvestades dokumendid kausta "Minu dokumendid", mis ilmselt suunatakse ümber võrguressurssi, ei kahtlusta ta isegi, et kõik salvestatakse serverisse.
Saate konfigureerida ümbersuunamise iga kasutaja jaoks käsitsi või rühmapoliitikate abil.
Esimesel juhul peate hiire parema nupuga klõpsama töölaual või menüüs "Start" ikooni "Minu dokumendid" ja valima atribuudid. Siis on kõik äärmiselt lihtne.
Teiseks peate avama selle OU või domeeni rühmapoliitika, mille jaoks soovime ümbersuunamist rakendada, ja laiendama hierarhiat „Kasutaja konfiguratsioon -> Windowsi konfiguratsioon“ (vt joonis 6). Järgmisena konfigureeritakse ümbersuunamine kas kõigi kasutajate või OU või domeeni konkreetsete turvarühmade jaoks, millele seda rühmapoliitikat rakendatakse.
Kui kasutate rändlusprofiilidega töötamiseks kaustade ümbersuunamist, saate näiteks vähendada profiili laadimisaega. Seda tingimusel, et rändlusprofiil laaditakse alati serverist ilma kohalikku koopiat kasutamata.
Ükski arutelu kaustade ümbersuunamise tehnoloogia üle ei oleks täielik ilma võrguühenduseta faile mainimata. Need võimaldavad kasutajatel dokumentidega töötada ka siis, kui võrguühendus puudub. Sünkroonimine dokumentide serverikoopiatega toimub järgmisel korral, kui arvuti võrku ühendab. See korraldusskeem on kasulik näiteks sülearvutite kasutajatele, kes töötavad nii kohalikus võrgus kui ka kodus.
Rändlusprofiilide puudused on järgmised:
- Võib tekkida olukord, kui kasutaja töölaual on näiteks mõne programmi otseteed, kuid teises masinas, kus rändlusprofiili omanik soovib töötada, selliseid programme ei installita ja sellest tulenevalt osa otseteid ei tööta. töö;
- paljudel kasutajatel on kombeks salvestada dokumente, aga ka fotosid ja isegi videoid töölauale, mistõttu rändlusprofiili serverist allalaadimisel tekib võrku iga kord lisaliiklus ja profiil ise võtab palju aega. pikk laadimisaeg; probleemi lahendamiseks kasutage NTFS-i õigusi, et piirata "prügi" ladustamist töölaual;
- iga kord, kui kasutaja süsteemi sisse logib, luuakse talle kohalik profiil (täpsemalt kopeeritakse profiil serverist lokaalselt) ja kui ta vahetab töömasinaid, siis selline “prügi” jääb igaühele neist alles; seda saab vältida grupipoliitika teatud viisil seadistamisega (“Arvuti konfiguratsioon -> Haldusmallid -> Süsteem -> Kasutajaprofiilid”, “Rändlusprofiilide vahemällu salvestatud koopiate kustutamine”).
Olemasoleva kasutaja lisamine domeeni
Sageli tekib kataloogiteenuse juurutamisel olemasolevas töögrupipõhises võrgus küsimus, kas kasutaja saab domeeni tutvustada ilma tema töökeskkonna seadeid kaotamata. Seda saab saavutada rändlusprofiilide abil.
Looge serveris võrgujagamisel kasutajanimega kaust (näiteks Profiilid) ja andke sellele rühmale Kõik kirjutamisõigused. Laske seda nimetada HQUseriks ja selle täielik tee näeb välja selline: \\Server\Profiles\HQUser.
Looge domeeni kasutaja, mis ühtib teie kohaliku võrgu kasutajaga, ja määrake profiili teeks \\Server\Profiles\HQUser.
Meie kasutaja kohalikku profiili sisaldavas arvutis peate sisse logima administraatorina ja kasutama süsteemiapleti vahekaarti Kasutajaprofiilid, et kopeerida see kausta \\Server\Profiles\HQUser.
On lihtne aru saada, et kui me järgmine kord uue domeeni kontoga süsteemi sisse logime, laadib meie kasutaja oma tööprofiili serverist alla ja administraatoril jääb vaid otsustada, kas jätta see profiil rändluseks või muuta see kohalik.
Kvoodid
Väga sageli laadivad kasutajad võrgukettaid tarbetu teabega. Et vältida pidevaid taotlusi oma isiklike kaustade tarbetust prügist puhastamiseks (millegipärast osutub see alati vajalikuks), võite kasutada kvoodimehhanismi. Alates operatsioonisüsteemist Windows 2000 saab seda teha standardsete tööriistade abil NTFS-i köidetel.
Kvoodimehhanismi lubamiseks ja konfigureerimiseks tuleb minna kohaliku köite atribuutide juurde ja avada vahekaart “Kvoot” (vt joonis 7).
Samuti saate vaadata andmeid hõivatud kettaruumi kohta ja määrata igale kasutajale eraldi kvoodid (vt joonis 8). Süsteem arvutab hõivatud kettaruumi andmete põhjal objektide omaniku kohta, summeerib talle kuuluvate failide ja kaustade mahu.
Kasutajarühmad AD-s
Kasutajate haldamine domeenis ei ole keeruline ülesanne. Kuid kui peate konfigureerima juurdepääsu teatud ressurssidele mitmekümne (või isegi sadade) kasutajate jaoks, võib juurdepääsuõiguste jagamine võtta palju aega.
Ja kui on vaja täpselt piiritleda osalejate õigused puu või metsa sees mitmes domeenis, seisab administraatori ees ülesanne, mis sarnaneb hulgateooriast tulenevate probleemidega. Siin tuleb appi rühmade kasutamine.
Domeenis leitud rühmade peamised omadused on toodud eelmises kataloogiteenuse arhitektuuri käsitlevas artiklis.
Tuletan meelde, et domeeni kohalikud rühmad võivad hõlmata kasutajaid oma domeenis ja teistes metsa domeenides, kuid nende ulatus on piiratud domeeniga, kuhu nad kuuluvad.
Globaalsed rühmad võivad hõlmata ainult oma domeeni kasutajaid, kuid neid saab kasutada ressurssidele juurdepääsu pakkumiseks nii oma domeenis kui ka mõnes teises metsa domeenis.
Universaalsed rühmad, nagu nende nimigi ütleb, võivad sisaldada kasutajaid mis tahes domeenist ja neid saab kasutada ka metsaülese juurdepääsu pakkumiseks. Pole tähtis, millises domeenis universaalne rühm luuakse, ainus asi, mida tasub arvestada, on see, et selle teisaldamisel kaovad juurdepääsuõigused ja need tuleb ümber määrata.
Eeltoodust ja rühmapesastamise põhiprintsiipide mõistmiseks vaatame näidet. Olgu meil mets, mis sisaldab kahte domeeni HQ.local ja SD.local (kumb on juur, sel juhul pole oluline). Iga domeen sisaldab jagatavaid ressursse ja kasutajaid (vt joonis 9).
Jooniselt fig. Jooniselt 9 on näha, et Docsi ja Distribi ressursid peavad olema metsas kõigile kasutajatele ligipääsetavad (rohelised ja punased jooned), nii saame luua universaalse rühma, mis sisaldab mõlema domeeni kasutajaid ja kasutada seda mõlema ressursi juurdepääsuõiguste määramisel. Või võime luua igas domeenis kaks globaalset rühma, mis sisaldavad ainult nende domeeni kasutajaid, ja kaasata nad universaalsesse rühma. Kõiki neid globaalseid rühmi saab kasutada ka õiguste määramiseks.
Ainult HQ.local domeeni kasutajatel (sinised jooned) peaks olema juurdepääs baaskataloogile, seega kaasame nad kohalikku domeenirühma ja anname sellele rühmale juurdepääsu.
Nii HQ.local domeeni kui ka SD.local domeeni liikmed saavad kasutada Distrib kataloogi (oranžid jooned joonisel 9). Seetõttu saame lisada halduri ja palga kasutajad domeeni HQ.local globaalsesse rühma ning seejärel lisada selle rühma koos IT-kasutajaga domeeni SD.local kohalikku gruppi. Seejärel andke sellele kohalikule rühmale juurdepääs Distribi ressursile.
Nüüd vaatame üksikasjalikumalt nende rühmade pesastamist ja kaalume teist tüüpi rühma - sisseehitatud kohalikke domeenirühmi.
Tabelis on näidatud, milliseid rühmi saab kuhugi pesastada. Siin on horisontaalselt paiknevad rühmad, millesse pesastatakse vertikaalselt asuvad rühmad. Pluss tähendab, et ühte tüüpi rühma saab teise sisse pesastada, miinus mitte.
Mõnes Microsofti sertifitseerimiseksamitele pühendatud Interneti-ressursis mainiti sellist valemit - AGUDLP, mis tähendab: kontod paigutatakse globaalsetesse rühmadesse (Global), mis paigutatakse universaalsetesse rühmadesse (Universal), mis paigutatakse kohalikud rühmad domeenirühmad (Domain Local), millele rakendatakse õigusi (Permissions). See valem kirjeldab täielikult pesastumise võimalust. Tuleb lisada, et kõiki neid tüüpe saab pesastada ühe masina kohalikesse rühmadesse (kohalikud domeenirühmad eranditult nende domeenis).
Domeenirühmade pesastamine
|
Pesitsemine |
Kohalikud rühmad |
Globaalsed rühmad |
Universaalsed rühmad |
|
konto |
|||
|
Kohalikud rühmad |
+ (välja arvatud sisseehitatud kohalikud rühmad ja ainult oma domeeni piires) |
||
|
Globaalsed rühmad |
+ (ainult teie enda domeenis) |
||
|
Universaalsed rühmad |
Sisseehitatud domeeni kohalikud rühmad asuvad sisseehitatud konteineris ja on tegelikult masinlikud kohalikud rühmad, kuid ainult domeenikontrollerite jaoks. Ja erinevalt kohalikest domeenirühmadest ei saa kasutajate konteinerit teisaldada teistesse organisatsiooniüksustesse.
Kontohaldusprotsessi õige mõistmine võimaldab teil luua selgelt konfigureeritud ettevõtte töökeskkonna, mis tagab juhtimise paindlikkuse ja mis kõige tähtsam - domeeni vastupidavuse ja turvalisuse. Järgmises artiklis räägime grupipoliitikast kui kasutajakeskkonna loomise tööriistast.
Rakendus
Domeeni autentimise nüansid
Kohalike profiilide kasutamisel võib tekkida olukord, kui domeeni kasutaja proovib sisse logida tööjaama, millel on tema lokaalne profiil, kuid tal pole mingil põhjusel ligipääsu kontrollerile. Üllataval kombel läbib kasutaja autentimise edukalt ja tal lubatakse töötada.
See olukord tekib kasutaja mandaadi vahemällu salvestamise tõttu ja seda saab parandada registris muudatuste tegemisega. Selleks looge kaustas HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon (kui seda pole) kirje nimega CachedLogonCount, andmetüübiks REG_DWORD ja määrake selle väärtuseks null. Sarnase tulemuse saab saavutada ka rühmapoliitikat kasutades.
- Emelyanov A. Active Directory domeenide ehitamise põhimõtted, // “Süsteemi administraator”, nr 2, 2007 – lk 38-43.
Windowsi võrgutehnoloogia võimaldab teil luua võrgudomeene. Domeen on ühendatud Windowsi arvutite rühm, mis jagavad kasutajakonto teavet ja turvapoliitikat. Domeenikontroller haldab kõigi domeeniliikmete kasutajakontoteavet.
Domeenikontroller hõlbustab võrgu haldamist. Kõigi domeeniliikmete jaoks ühte kontoloendit haldades vabastab domeenikontroller võrguadministraatori kohustusest sünkroonida iga domeeniarvuti kontoloendeid. Teisisõnu peab kasutajakontot loov või muutev võrguadministraator värskendama ainult domeenikontrolleri kontode loendit, mitte iga domeeni arvuti kontoloendeid.
Windowsi andmebaasiserverisse sisselogimiseks peab teise Windowsi arvuti kasutaja kuuluma kas samasse domeeni või usaldusväärsesse domeeni. Usaldusväärne domeen on domeen, mis on loonud usaldussuhte teise domeeniga. Usaldussuhtes asuvad kasutajakontod ainult usaldusväärses domeenis, kuid kasutajad saavad sisse logida usaldusväärsesse domeeni.
Kasutaja, kes üritab logida sisse Windowsi arvutisse, mis on domeeni liige, saab seda teha kas kohalikku sisselogimist ja profiili või domeeni sisselogimist ja profiili kasutades. Kui aga kasutaja on loetletud usaldusväärse kasutajana või arvuti, millest kasutaja proovib sisse logida, on loetletud usaldusväärse hostina, saab kasutajale anda sisselogimisjuurdepääsu ilma profiilita.
Kui määrate nii domeeninime kui ka kasutajanime (domeen\kasutaja) eeldava masinaga ühenduse jaoks kasutaja identifikaatori, kuid mitte domeeninime, kontrollib IBM Informix ainult kohalikku masinat ja kasutajakonto esmast domeeni. Kui määrate selgesõnaliselt domeeninime, kasutatakse seda domeeni kasutajakonto otsimiseks. Ühenduse katse nurjub veaga -951, kui kohalikus masinas ei leitud ühtegi sobivat domeeni\kasutajakontot.
Kasutage konfiguratsiooniparameetrit CHECKALLDOMAINSFORUSER, et konfigureerida, kuidas Informix otsib kasutajanimesid võrguga ühendatud Windowsi keskkonnas. Järgmises tabelis on loetletud asukohad, kus Informix otsib kasutajanimesid, mis on määratud kas eraldi või domeeninimega, mille CHECKALLDOMAINSFORUSER väärtuseks on määratud 0 või 1.
| Domeen\kasutaja määratud | Määratud ainult kasutajanimi | |
|---|---|---|
| CHECKALLDOMAINSFORUSER=0 | Informix otsib kasutajanime ainult kohalikust hostist. | |
| CHECKALLDOMAINSFORUSER=1 | Informix otsib kasutajanime ainult määratud domeenist. | Informix otsib kasutajanime kõigist domeenidest. |
CHECKALLDOMAINSFORUSER väljajätmine onconfig-failist on sama, mis väärtuse CHECKALLDOMAINSFORUSER määramine väärtusele 0. Lisateabe saamiseks CHECKALLDOMAINSFORUSER seadistamise kohta vaadake IBM Informixi administraatori viidet.
Domeenide kohta lisateabe saamiseks vaadake oma Windowsi operatsioonisüsteemi juhendeid.
NB! IBM Informixi usaldusväärse kliendi mehhanism ei ole seotud usaldussuhtega, mille saate luua Windowsi domeenide vahel. Seega, isegi kui klient loob ühenduse usaldusväärsest Windowsi domeenist, peab kasutajal olema konto domeenis, kus andmebaasiserver töötab. Lisateavet selle kohta, kuidas andmebaasiserver kliente autentib, vt
Selles jaotises käsitletakse kasutajakontode haldamise meetodeid ja pakutavaid valikuid
see börs.
Kontode loomine postkastiga ühendatud kasutajatele ja e-postiga ühendatud kasutajatele
Iga kasutaja jaoks, kes soovib töötada võrguressurssidega, on vaja luua konto. Vaatame, kuidas seadistada postkastidega ühendatud domeenikontosid ja meiliga ühendatud domeenikontosid. Kui kasutajal on vaja e-kirju saata ja vastu võtta, siis on vaja luua postkastiga ühendatud konto. Vastasel juhul piisab meiliga ühendatud kontost.
Sisselogimisnimede ja paroolide mõistmine
Enne domeenikonto loomist peaksite mõtlema uue sisselogimise nime ja parooli peale. Kogu domeen
kontod tuvastatakse sisselogimisnime järgi. See võib olla sama (kuigi see pole kohustuslik) teie e-posti aadressiks.
kasutaja mail. Windowsi domeenides koosneb sisselogimisnimi kahest osast:
- Kasutajanimi - konto tekstisilt;
- Kasutaja domeen – domeen, milles kasutajakonto asub.
Täielik Windowsi sisselogimine kasutaja Williamsi jaoks domeenis adatum.com [e-postiga kaitstud].
Koos kontodega
Kasutajaid saab seostada paroolide ja avalike sertifikaatidega. Parool on märgijada, mis kinnitab konto juurdepääsuõigusi.
Avalik sertifikaat on kahe võtme (avalik ja privaatne) kombinatsioon kasutaja tuvastamiseks. Parooliga sisselogimine toimub interaktiivses režiimis, avatud sertifikaadiga sisselogimine toimub kiipkaardi ja kiipkaardilugeja abil.
Kuigi Windows kuvab õiguste ja õiguste kirjeldamisel kasutajanimesid, on kontode võtmeidentifikaatorid turvaidentifikaatorid (SID). SID on kordumatu identifikaator, mis luuakse konto loomisel. See koosneb domeeni SID prefiksist ja unikaalsest seotud identifikaatorist. Neid ID-sid kasutab Windows kontode jälgimiseks sõltumata kasutajanimedest. SID-id täidavad paljusid funktsioone; kaks kõige olulisemat neist on võimalus hõlpsasti muuta kasutajanimesid ja kustutada kontosid, kartmata, et keegi teine pääseb ressurssidele volitamata juurde lihtsalt konto uuesti loomisega.
Kasutajanime muutmisel juhendate Windowsi seostama uue nimega konkreetse SID. Kui kustutate kirje, ütlete Windowsile, et konkreetne SID ei kehti enam. Kui pärast seda luuakse isegi sama kasutajanimega konto, ei saa uus konto eelmisega samasuguseid õigusi ja õigusi, kuna uuel kontol on uus SID.
- Looge uus konto. Paremklõpsake konteinerit, kuhu soovite kasutajakonto paigutada, valige käsk Uus ja valige Kasutaja. Käivitub joonisel 1 näidatud uus objekt – kasutaja viisard. 5-5.
- Uue konto loomisel rakendatakse süsteemi vaikeseadeid.
Looge olemasoleva konto põhjal uus konto. Avage Active Directory kasutajad ja arvutid, paremklõpsake kasutajakontol, mida soovite kopeerida, ja valige Kopeeri. Käivitub objekti kopeerimise – kasutaja viisard.
Riis. 5-5. Kuvatava nime ja sisselogimise määramine
kasutajanimi dialoogis Uus objekt -
Kasutaja
(Kopeeri objekt – kasutaja), mille aken on väga sarnane dialoogiboksiga Uus kasutaja. Kui aga loote konto koopia, võetakse suurem osa uue konto keskkonnasätteid olemasolevalt kontolt. Salvestatud parameetrite hulka kuuluvad: kuulumine kontogruppidesse, profiiliparameetrite väärtused, ühenduse õigused
telefoniliini kaudu, konto aegumiskuupäev, lubatud sisselogimisajad ja sisselogimiseks lubatud tööjaamad.
Siit saate teada, kuidas luua uus kasutajakonto, kasutades viisardit Uus objekt – kasutaja või Kopeeri objekt – kasutaja.
1. Esimesel lehel määrake kasutaja kuvatav nimi ja sisselogimisnimi (Joonis 5-5). Sisestage vastavatele väljadele kasutaja ees- ja perekonnanimi. Need on vajalikud parameetri Full Name moodustamiseks, mis kuvatakse ekraanil kasutajanimena.<фамилия><имя><второй инициал>2. Vajadusel tehke muudatusi väljal Full Name. Näiteks saate vormingusse sisestada nime<имя>
<второй инициал><фамшия>või formaadis
. Täisnime kirje pikkus ei ületa 64 tähemärki.
3. Sisestage väljale Kasutaja sisselogimisnimi kasutaja sisselogimisnimi. Valige ripploendist domeen, millega soovite konto seostada. Selle tulemusena luuakse täielikult kvalifitseeritud sisselogimisnimi.
4. Sisselogimisnime esimesed 20 tähemärki moodustavad Windows 2000-st varasemate operatsioonisüsteemide sisselogimisnime.
peab olema oma domeeni piires ainulaadne. Vajadusel muutke töötamiseks sisselogimise nime
süsteemid, mis on varasemad kui Windows 2000.
5. Klõpsake nuppu Edasi. Konfigureerige kasutaja parooli seaded (joonis 5-6). Selle dialoogiboksi jaoks on saadaval järgmised valikud.
- Parool. Selle konto parool. See peab vastama teie paroolipoliitika tingimustele.
- Kinnitage parool. Väli, mis kinnitab, et olete konto parooli õigesti määranud. Parooli kinnitamiseks sisestage see lihtsalt uuesti.
- Kasutaja peab järgmisel sisselogimisel parooli muutma. Kui see ruut on märgitud, peab kasutaja sisselogimisel parooli muutma. See märkeruut on vaikimisi valitud kõigi uute kasutajate jaoks.
- Kasutaja ei saa parooli muuta. Kui see märkeruut on märgitud, ei saa kasutaja parooli muuta.
- Parool ei aegu kunagi. Kui see märkeruut on märgitud, ei aegu konto parool. See sätte väärtus on domeenikonto poliitika suhtes ülimuslik. Üldiselt ei ole parooli seadmine nii, et see ei aeguks, kuna see vähendab turvalisust, mis on oluline tegur.
- Konto on keelatud. Kui see ruut on märgitud, on konto lukus ja seda ei saa kasutada. Seda lippu kasutatakse konto kasutamise ajutiseks keelamiseks.
6. Klõpsake nuppu Edasi. Kui olete selles arvutis korralikult Exchange'i laiendused üles ehitanud, saate kontole postkasti anda. Kui te ei soovi kasutajale postkasti pakkuda, tühjendage märkeruut Loo Exchange'i postkast ja jätke sammud 7 ja 8 vahele.
7. Sisselogimisele määratakse Exchange'i vaikealias (Joonis 5-7), selle muutmiseks sisestage uus väärtus käsitsi. Exchange'i alias on vajalik kasutaja e-posti aadressi määramiseks.
Märkus. Praktikas määratakse Exchange'i pseudonüümi vaikeväärtus Windows 2000-st varasemate operatsioonisüsteemide sisselogimisele; see on tavaliselt sama, mis kasutaja sisselogimisnimi. Kui aga muudate Windows 2000-st varasemate operatsioonisüsteemide sisselogimisnime, määratakse Exchange'i pseudonüümi vaikeväärtus teie sisestatud väärtusele.
Riis. 5-7. Kasutaja Exchange'i postkasti seadistamine
8. Kui teabepood on konfigureeritud töötama mitme Exchange'i serveriga, peate valima serveri ripploendist serveri, kuhu postkast salvestada. Lisaks, kui teil on mitu postkastipoodi, peate määrama postkastipoe ripploendis Postkastipood.
9. Konto loomise lõpetamiseks klõpsake nuppu Edasi ja Lõpeta. Kui loote postkastiga ühendatud konto, konfigureeritakse automaatselt järgmised e-posti aadressid: SMTP, X.400 ja seostatakse konnektoriga. Seejärel saate neid aadresse lisada, muuta ja kustutada. Lisaks saate määrata täiendavaid sama tüüpi aadresse. Näiteks ettevõtte personaliadministraatoril Cindy Johnsonil on kaks SMTP-aadressi: [e-postiga kaitstud] Ja
[e-postiga kaitstud].
Märkus. Kui olete Exchange'i konnektorid konfigureerinud, luuakse ka nende konnektorite jaoks vaikeaadressid. Exchange 2000 konnektorid hõlmavad Lotus Notesi ja Novell GroupWise'i pistikut.
10. Kasutajakonto loomine ei ole viimane toiming. Selles etapis saate:
- Lisage kasutaja kohta üksikasjalikud kontaktandmed, nagu töötelefon ja ametinimetus;
- lisage kasutaja turvagruppi ja levigruppi;
- linkida oma konto täiendavate e-posti aadressidega;
- lubage või keelake oma konto Exchange'i funktsioonid;
- Muutke tarnevalikute, salvestuspiirangute ja kontopiirangute kasutaja vaikeseadeid.
Seadistage kasutajakonto kontaktteave
Siit saate teada, kuidas määrata kasutajakonto kontaktteavet.
1. Topeltklõpsake jaotises Active Directory kasutajad ja arvutid kasutajanime. Avaneb dialoogiboks Konto atribuudid.
2. Klõpsake vahekaarti Üldine. Üldised kontaktandmed määratakse järgmiste väljade abil:
- Eesnimi, Initsiaalid, Perekonnanimi (nimi, Initsiaalid, Perekonnanimi) määravad kasutaja täisnime;
- Kuvanimi määrab kasutaja kuvatava nime, mis kuvatakse sisselogimisseanssidel ja Active Directory's;
- Description määrab kasutaja kirjelduse;
- Office (Room) määrab kasutaja asukoha kontoris;
- Telefoninumber määrab kasutaja peamise töötelefoninumbri. Kui kasutajal on muid ettevõtte telefoninumbreid, mida soovite kirjesse lisada, klõpsake nuppu Muu ja seejärel kasutage täiendavate telefoninumbrite sisestamiseks dialoogiboksi Telefoninumber (Muud);
- E-post määrab kasutaja ettevõtte meiliaadressi;
- Veebileht määrab kasutaja esialgse veebilehe URL-i - Internetis või ettevõtte kohalikus võrgus. Kui kasutajal on muid veebilehti, mida soovite kirjesse lisada, klõpsake nuppu Muu ja seejärel kasutage täiendavate veebilehtede aadresside sisestamiseks dialoogiboksi Veebilehe aadress (Muud).
Näpunäide Kui kavatsete kasutada Active Directory kasutajate ja arvutite konsooli käske Send Mail ja Open Home Page, täitke kindlasti väljad E-post ja Veebileht.
3. Klõpsake vahekaarti Aadress (Joonis 5-8). Määrake selle vahekaardi väljadele kasutaja ettevõtte või kodune postiaadress. Tavaliselt märkige kasutaja ettevõtte aadress. See võimaldab teil omada andmeid erinevates kontorites asuvate kasutajate asukoha ja postiaadresside kohta.
Märkus. Enne privaatsete andmete (nt kasutaja koduaadressi ja koduse telefoninumbri) sisestamist peaksite seda arutama oma personali- ja õigusosakonnaga. Selleks võib olla vaja saada kasutaja nõusolek.
4. Klõpsake vahekaarti Telefonid ja valige vajadusel kasutaja esmased kontaktnumbrid.
- Kodutelefon (Kodu);
- Peiler (Piipar);
- Mobiilne;
- FAX (faks);
- IP-telefon (IP-telefon).
5. Iga telefonitüübi jaoks on teil õigus määrata teisi numbreid. Klõpsake vastavat nuppu Muu ja seejärel sisestage dialoogiboksi täiendavad telefoninumbrid.
Riis. 5-8. Vahekaardil Aadress määrake töö või
kasutaja kodune aadress
6. Klõpsake vahekaarti Organisatsioon. Vajadusel sisestage kasutaja ametikoht, osakond ja ametinimetus.
ettevõtted.
7. Selle kasutaja halduri määramiseks klõpsake nuppu Muuda. Kui tegite seda, kuvatakse kasutaja halduri kontol otsearuandena.
8. Muudatustega nõustumiseks klõpsake nuppu Rakenda või OK.
kasutaja Igal postkastiga ühendatud kasutajakontol on sellega seotud Exchange'i pseudonüüm, eesnimi, perekonnanimi ja kuvanimi. Exchange'i alias määratleb SMTP ja X.400 e-posti aadressid. Sisselogimisnimi on vaikimisi SMTP-alias. Kuvatav nimi määrab X400 aadressi.
Kui muudate nimeteavet, saate luua uusi e-posti aadresse ja määrata need SMTP-, X.400- ja Exchange'i konnektorite vaikeaadressideks.
Konto vanu meiliaadresse aga ei kustutata, vaid need jäävad alternatiivseteks aadressideks. Nende täiendavate e-posti aadresside muutmise või kustutamise protseduuri käsitletakse selle peatüki jaotises "E-posti aadresside lisamine, muutmine või kustutamine".
Siit saate teada, kuidas muuta oma kasutajakonto Exchange'i varjunime ja kuvatavat nime.
1. Topeltklõpsake jaotises Active Directory kasutajad ja arvutid kasutajanime. Avaneb dialoogiboks Konto atribuudid.
2. Klõpsake vahekaarti Üldine. Nime muutmiseks kasutage järgmisi välju:
jaotises Eesnimi, Initsiaalid, Perekonnanimi (nimi, Initsiaalid, Perekonnanimi) määrake kasutaja täisnimi;
Kuvanimi määrab kasutajanime, mida kuvatakse sisselogimisseanssidel ja Active Directorys.
3. Klõpsake vahekaarti Exchange General ja seejärel sisestage väljale Alias uus Exchange'i pseudonüüm.
4. Klõpsake nuppu OK.
Lisage, muutke või kustutage e-posti aadresse
Kui loote postkastiga ühendatud kasutajakonto, luuakse SMTP, X.400 ja konfigureeritud konnektorite jaoks vaike-e-posti aadressid. Iga kord, kui värskendate oma Exchange'i kasutaja kuvatavat nime või pseudonüümi, saate luua uusi vaike-e-posti aadresse. Kuid vanu meiliaadresse ei kustutata, vaid need jäävad alternatiivseteks kontoaadressideks.
Siit saate teada, kuidas e-posti aadressi lisada, muuta või kustutada.
1. Avage konto dialoogiboks Atribuudid, topeltklõpsates kasutajanime jaotises Active Directory kasutajad ja arvutid. Seejärel klõpsake vahekaarti E-posti aadressid.
2. Uue e-posti aadressi lisamiseks klõpsake nuppu Uus. Valige dialoogiboksis Uus e-posti aadress e-posti aadressi tüüp ja klõpsake nuppu OK. Täitke väljad dialoogiboksis Atribuudid ja klõpsake uuesti nuppu OK.
Näpunäide Standardsete Interneti-e-posti aadresside jaoks kasutage SMTP-aadressi tüüpi. Muud tüüpi e-posti aadresse käsitletakse üksikasjalikult 13. peatükis.
3. Olemasoleva meiliaadressi muutmiseks topeltklõpsake aadressi kirjel ja muutke dialoogiboksis Atribuudid sätteid. Klõpsake nuppu OK.
4. E-posti aadressi eemaldamiseks valige see ja klõpsake nuppu Eemalda. Kui teil palutakse kustutamistoimingu kinnitada, klõpsake nuppu Jah.
Märkus. Vaike-SMTP-aadressi ei saa kustutada.
Exchange Server kasutab sõnumite saatmiseks ja vastuvõtmiseks SMTP-aadressi.
Vaikimisi vastuse aadressi määramine
Iga meiliaadressi tüübi jaoks on üks vaikimisi saatja aadress. Siin on, kuidas muuta saatja vaikeaadressi.
1. Avage konto dialoogiboks Atribuudid, topeltklõpsates kasutajanime jaotises Active Directory kasutajad ja arvutid. Seejärel klõpsake vahekaarti E-posti aadressid.
2. Praegused e-posti aadressid kuvatakse vaikimisi paksus kirjas. Eraldamata e-posti aadresse kasutatakse ainult alternatiivsete aadressidena sõnumite edastamiseks praegusesse postkasti.
3. Praeguste vaikeseadete muutmiseks valige soovitud mittesihtotstarbeline e-posti aadress ja klõpsake nuppu Set As Primary.
Exchange Serveri meiliga ühenduste blokeerimine ja deblokeerimine
Meiliga ühendatud kasutajad ja kontaktid määratletakse Exchange Serveris spetsiaalsete adressaatidena. Neil on Exchange'i alias ja väline e-posti aadress.
Siin on, kuidas ühendada kasutaja või kontakt e-postiga.
1. Paremklõpsake jaotises Active Directory kasutajad ja arvutid vastavat kirjet, seejärel valige Exchange Task Wizardi käivitamiseks Exchange Tasks.
2. Kui avaneb tervitusleht, klõpsake nuppu Edasi. Selle lehe hilisemaks vahelejätmiseks peaksite valima Ära näita seda tervituslehte uuesti.
3. Valige jaotises Saadaolevad ülesanded Establish E-Mail Addresses ja klõpsake uuesti nuppu Edasi.
4. Sisestage kasutaja või kontakti Exchange'i varjunimi ja klõpsake nuppu Muuda.
5. Avaneb dialoogiboks Uus e-posti aadress. Sisestage oma e-posti aadressi tüüp ja klõpsake nuppu OK.
7. Exchange Task viisardi lehel klõpsake Next ja seejärel Finish.
Kui soovite hiljem kustutada kasutajaga seotud Exchange'i varjunime ja e-posti aadressid või
võtke ühendust, siis siin on, kuidas seda teha.
1. Topeltklõpsake jaotises Active Directory kasutajad ja arvutid soovitud kirjet, seejärel valige Exchange Task Wizardi käivitamiseks Exchange Tasks.
2. Kui avaneb tervitusleht, klõpsake nuppu Edasi. Selle lehe edaspidi vahelejätmiseks võite teha valiku Ära näita seda tervituslehte uuesti.
3. Menüüs Saadaolevad ülesanded valige Kustuta e-posti aadressid ja klõpsake nuppu Edasi.
4. Klõpsake nuppu Edasi ja seejärel Finish.
Looge meilide vastuvõtmiseks ja edastamiseks kasutajakonto
Spetsiaalsed adressaadid, nagu meiliühendusega kasutajad ja kontaktid, ei saa tavaliselt sõnumeid teie organisatsioonivälistelt kasutajatelt, kuna spetsiaalsel adressaadil pole e-posti aadressi, mis vastaks teie organisatsiooni kindlale postkastile. Kuid mõnikord soovite, et väliskasutajad, rakendused või meilisüsteemid saaksid saata sõnumi teie organisatsioonisisesele aadressile ja seejärel lasta Exchangeil see sõnum välisesse postkasti edastada.
Näpunäide Oma organisatsioonis olen loonud piipariteadete jaoks edasisuunamispostkastid. See lihtne lahendus võimaldab juhtidel ja ka organisatsioonide monitooringusüsteemidel lihtsalt ja kiiresti edastada lehekülgi teksti IT-spetsialistidele. Selleks lõin iga piipari e-posti aadressi jaoks meiliga ühendatud kontakti [e-postiga kaitstud] ja seejärel loonud postkasti, mis saadab kirjad edasi spetsiaalsele adressaadile. Üldjuhul kuvatakse meiliga ühendatud kontakti nimi "Alert User Name", näiteks Alert William Stanek. [e-postiga kaitstud] Kuvatav postkasti nimi ja meiliaadress on Z Perekonnanimi ja [e-postiga kaitstud], näiteks Z Stanek ja
vastavalt. Seejärel peitsin postkasti, et see ei ilmuks globaalses aadressiloendis ega muudes aadressiloendites ja et kasutajad näeksid ainult Alert William Staneki postkasti.
1. Looge jaotises Active Directory kasutajad ja arvutid kasutaja jaoks kontakt. Andke kontaktile nimi X – Kasutajanimi, näiteks X – William Stanek. Veenduge, et kontaktil oleks väline e-posti aadress, mis on seotud kasutaja Interneti-aadressiga.
2. Loo domeenis kasutajakonto. Andke kontole sobiv kuvatav nimi, näiteks William Stanek Loo konto jaoks Exchange'i postkast, kuid ärge määrake mingeid eriõigusi. Kontoõigusi saate piirata nii, et kasutaja ei saa registreeruda üheski domeeni serveris.
3. Avage konto dialoogiboks Atribuudid, topeltklõpsates kasutajanime jaotises Active Directory kasutajad ja arvutid. Klõpsake vahekaarti Exchange General.
4. Klõpsake valikut Tarnevalikud.
5. Klõpsake dialoogiboksis Delivery Options (Edastussuvandid) käsku Edasta ja seejärel nuppu Muuda.
6. Valige dialoogiboksis Select Recipient varem loodud meiliga ühendatud kontakt ja klõpsake nuppu OK. Nüüd saate kasutada oma kasutajakontot sõnumite edastamiseks välisesse postkasti.
Raadioteenuse sätete ja kasutajaprotokollide muutmine
Kui loote postkastidega kasutajakontosid, määratakse saadaolevad traadita ühenduse teenused ja protokollid globaalsete sätetega. Neid seadeid saab igal ajal kasutajapõhiselt muuta.
1. Topeltklõpsake jaotises Active Directory kasutajad ja CDmputers soovitud kirjet ja seejärel valige vahekaart Exchange'i funktsioonid.
Konfigureerige kasutaja jaoks traadita side teenused ja protokollid (joonis 5-9):
Outlook Mobile Access annab kasutajale võimaluse vaadata oma postkasti juhtmevaba seadme abil;
Kasutaja algatatud sünkroonimine võimaldab teil sünkroonida oma postkasti traadita seadmetega;
Riis. 5-9. Exchange Task Wizardi abil saate
traadita teenuste ja protokollide seadete muutmiseks
kasutaja
Ajakohased teatised hoiavad teie juhtmeta seadme alati ajakohasena. See suvand on saadaval ainult siis, kui valitud on suvand Kasutaja algatatud sünkroonimine;
Outlook Web Access võimaldab juurdepääsu oma postkastile veebibrauseri abil;
POPZ võimaldab juurdepääsu postkastile POP3 meilikliendi kaudu;
IMAP4 annab kasutajale võimaluse pääseda juurde oma postkastile IMAP4 meilikliendi abil.
2. Valige suvand ja seejärel klõpsake vastavalt vajadusele nuppu Luba või Keela.
Kui soovite muuta protokolli sätteid, valige protokoll ja klõpsake nuppu Atribuudid.
3. Klõpsake nuppu OK.
Kasutajakontode ümbernimetamine
Siit saate teada, kuidas kasutajakontot Active Directory kasutajad ja arvutid ümber nimetada.
1. Paremklõpsake konto nimel ja valige Nimeta ümber. Kui küsitakse, sisestage oma uus konto nimi.
2. Kui nimetate konto ümber, loote uue konto sildi. Ümbernimetamine ei mõjuta turvaidentifikaatorit (SID), mis on vajalik kontode tuvastamiseks, jälgimiseks ja töötlemiseks sõltumata kasutajanimedest.
Märkus. Tavaline põhjus konto nime muutmiseks on abielu. Näiteks kui Judy Liu (JUDYL) abiellub, saab ta muuta oma kasutajanime Judy Cutleriks (JUDYK). Pärast kasutajanime JUDYL muutmist JUDYK-ks määratakse kõik sellega seotud õigused ja load uuele kasutajanimele.
Näiteks kui vaatate õigusi failile, millele JUDYLil oli varem juurdepääs, on JUDYKil nüüd juurdepääs (ja JUDYLi nime loendis ei kuvata).
Kasutajakontode ja kontaktide kustutamine
Kustutamisel kustutatakse konto jäädavalt. Pärast konto kustutamist ei saa te luua algse kontoga sama nime ja samade õigustega kontot, kuna uue konto turvaidentifikaator (SID) ei ühti vana konto turva-ID-ga. See ei tähenda, et pärast kirje kustutamist ei saa luua sama nimega kontot. Näiteks lahkus inimene ettevõttest ja naasis mõne aja pärast. Saate luua sama nimega konto nagu varem, kuid peate selle õigused uuesti määratlema.
Kuna sisseehitatud kontode kustutamisel võivad domeeni jaoks olla kaugeleulatuvad tagajärjed, ei luba Windows neid kustutada. Teist tüüpi kontosid saate kustutada, valides need ja vajutades klahvi Del või paremklõpsates ja valides Kustuta. Ilmub joonisel näidatud viip. 5-10. Kui soovite kustutada kasutaja e-posti aadressi, kui postkasti kustutamise märkeruut on märgitud, klõpsake nuppu Jah. Kui klõpsate Ei, ei kustuta Windows kontot.
Riis. 5-10. Kasutajakonto kustutamisel
Samuti kustutatakse kasutaja meiliaadress;
valitud on ka aadressiga seotud kustutamislipp
postkasti. Kinnitage toiming, klõpsates nuppu Jah
Märkus. Exchange'i turvalisus põhineb domeeni autentimisel, nii et teil ei saa olla postkasti ilma kontota. Kui teil on siiski vaja kustutatava konto jaoks postkasti, siis ärge seda kustutage, vaid keelake. Konto keelamine takistab kasutajal süsteemi sisse logimist, kuid vajadusel pääsete siiski postkasti juurde. Konto keelamiseks paremklõpsake seda kontot
jaotises Active Directory kasutajad ja arvutid ja valige Keela konto.
