Domeeni ja kodurühma kontod. Arvutikontode eemaldamine. Kohalikud kontod vs domeenikontod

Kõik teavad, et pärast operatsioonisüsteemi installimist lülitatakse arvuti algselt töörühma (vaikimisi WORKGROUP). Töörühmas on iga arvuti iseseisev autonoomne süsteem milles SAM (Security Accounts Manager) andmebaas on olemas. Kui inimene logib arvutisse sisse, kontrollitakse selle olemasolu konto SAM-is ja nende kirjete järgi antakse teatud õigused. Domeeni sisestatud arvuti jätkab oma SAM-i andmebaasi haldamist, kuid kui kasutaja logib sisse domeeni konto alt, siis kontrollitakse seda domeenikontrolleriga, s.t. Arvuti usaldab domeenikontrollerit kasutaja tuvastamisel.

Domeeni saab lisada arvuti erinevaid viise, kuid enne selle tegemist peate selles veenduma see arvuti vastab järgmistele nõuetele:

Teil on õigus liituda arvutiga domeeniga (vaikimisi on see õigus ettevõtte administraatoritel, domeeniadministraatoritel, administraatoritel, kontoadministraatoritel);

Arvutiobjekt luuakse domeenis;

Peate olema sisse logitud arvutisse, millega liitute, kohaliku administraatorina.

Paljudes administraatorites võib pahameelt tekitada teine ​​punkt – milleks luua arvutit AD-s, kui see ilmub pärast arvuti domeeni lisamist konteinerisse Arvutid. Asi on selles, et te ei saa arvutite konteineris jaotisi luua, kuid mis veelgi hullem, ei saa te konteineriga siduda rühmapoliitika objekte. Seetõttu on soovitatav luua arvutiobjekt vajalikus organisatsiooniüksuses, mitte rahulduda automaatselt loodud arvutikontoga. Loomulikult saab automaatselt loodud arvuti liigutada vajalikku osakonda, kuid administraatorid unustavad sageli sellised asjad ära teha.

Vaatame nüüd võimalusi AD-s arvuti (arvutite) loomiseks:

Arvutite loomine Active Directory kasutajate ja arvutite lisandmooduli abil.

Selle meetodi jaoks peame käivitama " Active Directory– kasutajad ja arvutid”, oma arvutis kasutades Administraatori pakett või domeenikontrolleris. Selleks klõpsake " Käivituspaneel kontrollsüsteem ja turvalisus – haldus –" valige vajalik osakond, klõpsake sellel paremklõps hiired, sisse kontekstimenüü vali " Loo – arvuti".

Sisestage arvuti nimi.

Looge arvutikonto käsuga DSADD.

Käsu üldvaade:

dsadd arvuti [-desc<описание>] [-loc<расположение>] [-liige<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>] [-p (<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Valikud:

Väärtuse kirjeldus
Nõutav parameeter. Määrab lisatava arvuti eristava nime (DN).
-kirjeldus<описание> Määrab arvuti kirjelduse.
-loc<размещение> Määrab arvuti asukoha.
-liige<группа...> Lisab arvuti ühte või mitmesse rühma, mis on määratletud tühikutega eraldatud keelunimekirjade loendiga<группа...>.
(-s<сервер>| -d<домен>}
-s <сервер>määrab ühenduse domeenikontrolleriga (DC).<сервер>.
-d <домен>määrab ühenduse alalisvooluga domeenis<домен>.
Vaikimisi: DC sisselogimisdomeenis.
-u<пользователь> Ühendus nime all<пользователь>. Vaikimisi: sisse logitud kasutajanimi. Võimalikud valikud: kasutajanimi, domeen\kasutajanimi, kasutaja põhinimi (UPN).
-p (<пароль> | *} Kasutaja parool<пользователь>. Kui sisestatakse *, küsitakse teilt parooli.
-q Vaikne režiim: kogu väljund asendatakse standardväljundiga.
(-uc | -uco | -uci)

-uc Määrab Unicode'is kanali sisendi või kanali väljundi vormingu.
-uco Määrab, kas toru või faili väljund on vormindatud Unicode'is.
-uci Määrab Unicode'is kanali või faili sisendi vormingu.

Näide käsu Dsadd kasutamisest:

Dsadd arvuti "CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com" –desc "IT-osakonna arvuti"

Loominetööjaama või serveri konto, kasutades käsku Netdom.

Käsu Netdom üldvaade:

NETDOM ADD<компьютер> ]
<компьютер> see on lisatava arvuti nimi
/Domeen määrab domeeni, kuhu soovite arvutikonto luua
/KasutajaD kasutajakonto, mida kasutada ühenduse loomisel /Domain argumendiga määratud domeeniga
/ParoolD Argumendiga /UserD määratud kasutajakonto parool. Märk * tähistab parooli küsimist
/Server Lisamisel kasutatud domeenikontrolleri nimi. Seda suvandit ei saa kasutada koos suvandiga /OU.
/OU osakond, kuhu soovite arvutikonto luua. Nõutav täielik erinevus Domeeninimi RFC 1779 divisjoni jaoks. Selle argumendi kasutamisel peate töötama otse määratud domeenikontrolleris. Kui seda argumenti ei täpsustata, luuakse konto selle domeeni arvutiobjektide vaikeorganisatsiooniüksuses.
/DC määrab, et soovite luua domeenikontrolleri arvutikonto. Seda suvandit ei saa kasutada koos suvandiga /OU.
/SecurePassword Prompt Kasutage mandaatide esitamiseks turvalist hüpikakent. Kasutage seda valikut, kui peate esitama kiipkaardi mandaadid. See parameeter toimib ainult siis, kui parool on määratud *.

Arvutiobjekti loomine kasutades Ldifde() ja Csvde().

Arvutikontode haldamine Active Directorys.

Arvuti ümbernimetamine AD-ks.

Käivitage käsurida ja kasutage käsku Netdom, et nimetada arvuti ümber AD-ks:

Netdomi ümbernimetamise arvuti<Имя компьютера>/Uusnimi:<Новое имя>

Näide: Netdomi ümbernimetatav arvuti COMP01 / Uus nimi: COMP02

Arvutikontode eemaldamine.

1 Kustutage lisandmooduli abil arvutikonto Active Directory – kasutajad ja arvutid". Käivitage lisandmoodul" Active Directory – kasutajad ja arvutid"leida vajalik arvuti paremklõpsake sellel ja valige " Kustuta", kinnitage kustutamine

2 Saate arvuti eemaldada käsuga DSRM:

DSRM

DSRM CN=COMP001,OU=Moskva,OU=osakonnad,DC=pk-help,DC=com
.

Vea "Ei saanud installida usaldussuhted selle vahel tööjaam ja põhidomeen."

Mõnikord saab kasutaja arvutisse sisselogimisel sõnumi " Selle tööjaama ja esmase domeeni vahel ei õnnestunud usaldussuhet luua". See viga ilmneb siis, kui turvaline kanal masina ja domeenikontrolleri vahel ebaõnnestub. Selle parandamiseks peate turvakanali lähtestama. Võite kasutada ühte järgmistest meetoditest:

1 Minge lisandmoodulisse "Active Directory kasutajad ja arvutid", leidke probleemne arvuti, paremklõpsake sellel ja valige "Lähtesta konto". Pärast seda tuleks arvuti uuesti domeeniga ühendada ja taaskäivitada.

2 Kasutades käsku Netdom:

Netdom lähtestamine<имя машины>/domeen<Имя домена>/Kasutaja0<Имя пользователя>/Parool0<Пароль> ilma jutumärkideta<>

Näide: Netdom lähtestamine COMP01 /domeeni veebisait /Kasutaja0 Ivanov /Parool *****

3 Kasutades käsku Nltest:

Nltest/server:<Имя компьютера>/sc_reset:<Домен>\<Контроллер домена>

Kõik uued domeeni kasutajad saavad domeeni kasutajate rühma liikmeteks; see on nende põhirühm. Täiendavate rühmade liikmesust saate määrata parameetri -Memberof abil (sellele peate lisama rühma DN). Kui rühma DN sisaldab tühikuid, tuleb see lisada jutumärkidesse, näiteks:

  • dsadd kasutaja "CN=u1,0U=Müük,DC=sait1,DC=com" -liige of "CN=Varuoperaatorid,CN=ehitatud,DC=cpandl,DC=com" "CN=DHCP administraatorid,CN=ehitatud,DC =sait1,DC=com"

Siin luuakse kasutajakonto ja lisatakse seejärel varuoperaatorite ja DHCP-administraatorite rühmadesse. See on kaheetapiline protsess: esmalt luuakse konto ja seejärel konfigureeritakse selle gruppidesse kuulumine. Kui rühmadesse sisestamisel ilmneb tõrge, teatab DSADD USER, et objekt loodi, kuid viga ilmnes pärast selle loomist. Kontrollige rühma DN-i määramise süntaksit, seejärel kasutage selleks käsku DSMOD USER õiged seadistused kasutajarühmade liikmelisus.

Turvakaalutlustel võib kasutajakonto loomisel vaja minna ka järgmisi sätteid.

  • -Mustchpwd (jah | ei) – vaikimisi ei pea kasutaja esmakordsel sisselogimisel parooli muutma, st eeldatakse parameeter -mustchpwd. Kui määrate -mustchpwd yes, peab kasutaja esmakordsel sisselogimisel oma parooli muutma.
  • -Canchpwd (jah | poolt) - vaikimisi saab kasutaja oma parooli muuta, st parameeter -canchpwd jah on ette nähtud. Funktsiooniga -canchpwd ei saa kasutaja oma parooli muuta.
  • -Pwdneverexpires (jah | poolt) - -pwdneverexpires by eeldatakse vaikimisi ja kasutaja parool on aegunud vastavalt rühmapoliitika sätetele. Kui määrate -pwdneverexpires jah, ei aegu selle konto parool kunagi.
  • -Keelatud (jah | poolt) - vaikimisi muutub see kasutamiseks kättesaadavaks niipea, kui loote parooliga konto (see tähendab väärtus - keelatud Kõrval). Kui määrate -disabled jah, on konto keelatud. See keelab ajutiselt selle konto kasutamise.

Vaatame mõnda näidet, et käsku DSADD USER paremini mõista.

Kasutaja1 konto loomine domeeni sit1.com kasutajate konteineris ja esmasel sisselogimisel kohustuslik parooli muutmine:

  • dsadd kasutaja "CN=Scott L. Bishop,CN=Kasutajad,DC=sait1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -kuva "kasutaja1" -pwd acornTree -mustchpwd jah

Kohalike kasutajakontode loomine

Kohalikud kasutajakontod luuakse üksikutes arvutites. Kui soovite konkreetses arvutis kohaliku konto luua, peate juurdepääsu saamiseks kohalikult või kaugühenduse looma

kohalik käsurida. Sisenemine õige süsteem, saate luua vajaliku konto, kasutades käsku NET USER. Mõnikord võimaldavad kohalikud arvutipoliitikad luua konto lihtsalt selle nime ja parameetriga /Add, näiteks:

võrgukasutaja kasutaja1 /lisa

Olete nüüd loonud tühja parooliga kohaliku konto nimega user1. Kuigi tühjad paroolid on vastuvõetavad, kujutavad need teie arvutile ja võib-olla ka teie võrgule turvariski. Seetõttu soovitan teil määrata uute kohalike kontode jaoks kasutajanimi ja parool. Parool peab järgnema konto nimele.

Kasutajakontode kasutamine muudab mitme inimese sama arvutiga töötamise lihtsamaks. Igal kasutajal võib olla eraldi konto oma seadetega, nagu töölaua taust ja ekraanisäästja. Kontod määravad, millistele failidele ja kaustadele kasutajad pääsevad juurde ning milliseid muudatusi nad saavad arvutis teha. Enamiku kasutajate jaoks kasutatakse tavalisi kontosid.

Domeenid, töörühmad ja kodurühmad esindavad erinevaid meetodeid arvutite võrgus korraldamiseks. Peamine erinevus seisneb selles, kuidas arvuteid ja muid ressursse hallatakse.

Arvutid all Windowsi juhtimine võrgus peab olema osa töörühmast või domeenist. Windowsi arvutid sisse koduvõrk võib olla ka osa kodurühm, kuid see on valikuline.

Koduvõrkudes olevad arvutid on tavaliselt osa töörühmadest ja võib-olla ka kodurühmast, samas kui töökohavõrkudes olevad arvutid on tavaliselt osa domeenidest. Toimingud, mida peate tegema, sõltuvad sellest, kas arvuti kuulub domeeni või töörühma.

Töörühmas:

· Kõik arvutid on võrgus peer-sõlmed; ükski arvuti ei saa teist juhtida.

· Igal arvutil on mitu kasutajakontot. Igasse töörühma kuuluvasse arvutisse sisselogimiseks peab teil olema selles arvutis konto.

· Töörühmas ei ole tavaliselt rohkem kui kakskümmend arvutit.

· Töögrupp pole parooliga kaitstud.

· Kõik arvutid peavad olema samas kohtvõrgus või alamvõrgus.

Kodurühmas:

· Teie koduvõrgu arvutid peavad kuuluma töörühma, kuid need võivad olla ka kodurühmas. Kodurühm muudab piltide, muusika, videote, dokumentide ja printerite jagamise teistega palju lihtsamaks.

· Kodurühm on parooliga kaitstud, kuid see sisestatakse ainult üks kord arvuti lisamisel kodurühma.

Domeenis:

· Üks või mitu arvutit on serverid. Võrguadministraatorid kasutavad serverite abil kõigi domeeni arvutite turvalisust ja lubasid. See muudab seadete muutmise lihtsaks, kuna muudatused tehakse automaatselt kõigi arvutite jaoks. Domeeni kasutajad peavad sisestama parooli või muud mandaadid iga kord, kui nad domeenile sisenevad.

· Kui kasutajal on domeenis konto, saab ta sisse logida mis tahes arvutisse. Selleks ei pea teil arvutis endal kontot olema.

· Arvuti sätete muutmise õigused võivad olla piiratud, kuna võrguadministraatorid tahavad tagada arvuti sätete järjepidevuse.

· Domeenis võib olla tuhandeid arvuteid.

· Arvutid võivad kuuluda erinevatesse kohtvõrkudesse.

Domeenikontoga arvutisse sisselogimisel sisestab kasutaja oma mandaadid, mis edastatakse autentimiseks lähimale domeenikontrollerile. Kui sisse võrgukeskkond Kui vabu domeenikontrollereid pole, siis pole kedagi, kes mandaate kontrolliks ja kasutaja ei saa süsteemi sisse logida.

Selle olukorra vältimiseks salvestatakse pärast edukat sisselogimist kasutaja mandaadid kohaliku arvuti vahemällu. See võimaldab teil domeeni mandaatidega sisse logida ja ressurssidele juurde pääseda kohalik arvuti isegi kui domeeniga ühendust pole.

Märge. Täpsustuseks ütlen, et vahemällu ei salvestata mitte mandaadid ise (sisselogimine ja parool), vaid nende kontrollimise tulemus. Rohkem täpsemalt süsteem salvestab soolaga muudetud parooliräsi, mis omakorda genereeritakse kasutajanime alusel. Vahemällu salvestatud andmed salvestatakse registrivõtmes HKLM\SECURITY\Cache, millele pääseb juurde ainult süsteem.

Vahemällu salvestamise funktsioonide eest vastutab registrisäte. CashedLogonsCount, mis asub jaotises HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. See parameeter määrab arvu ainulaadne kasutajad, kelle mandaadid on lokaalselt salvestatud. Vaikesäte on 10, mis tähendab, et 10 viimase sisseloginud kasutaja mandaadid salvestatakse ja kui üheteistkümnes kasutaja sisse logib, kirjutatakse esimese kasutaja mandaadid üle.

Halda väärtust CashedLogonsCount saab teha tsentraalselt, kasutades rühmapoliitikaid. Selleks tuleb luua uus GPO (või avada olemasolev), minna jaotisse Arvuti konfiguratsioon\Poliitikud\Windowsi sätted\Turvaseaded\Kohalikud eeskirjad\Turvavalikud ja leida parameeter Interaktiivne sisselogimine: eelmiste vahemällu sisselogimiste arv (juhul, kui domeenikontroller pole saadaval).

Vaikimisi pole see parameeter määratletud ( Ei ole defineeritud), kasutatakse vastavalt kõigis arvutites vaikeväärtust. Selle muutmiseks peate parameetri lubama ja määrama vajaliku väärtuse vahemikus 0 kuni 50. Väärtus 0 tähendab, et mandaatide vahemällu salvestamine on selle väärtusega keelatud, kui domeenikontroller pole saadaval on võimatu.

Kuna teoreetiliselt, kui ründajal on arvutile füüsiline juurdepääs, on võimalik salvestatud mandaate kasutada, on turvalisuse suurendamiseks soovitatav keelata kohalik vahemälu. Kasutajad võivad olla erand mobiilseadmed(sülearvutid, tahvelarvutid jne), kes kasutavad seadmeid nii tööl kui ka väljaspool seda. Selliste kasutajate jaoks saab vahemällu salvestatud sisendite arvuks määrata 1-2. See on tööks täiesti piisav.

Ja lõpuks paar olulist punkti:

Mandaatide vahemällu salvestamiseks on vajalik, et kasutaja logiks ligipääsetava domeenikontrolleriga vähemalt korra oma domeenikonto alt arvutisse sisse.
Üsna sageli parameeter CashedLogonsCount tõlgendatakse sisselogimiste arvuna domeenile juurdepääsu puudumisel. See ei vasta tõele ja kui kasutaja mandaadid on lokaalselt vahemällu salvestatud, saab kasutaja sisse logida piiramatu arv kordi.

Kontod (kontosid) kasutajad, arvutid ja rühmad - üks juurdepääsukontrolli peamisi elemente võrguressursse ja seega kogu võrgu turvasüsteemi tervikuna.

IN Windowsi keskkond 2003. aasta Active Directory kasutajakontosid on 3 peamist tüüpi:

  • Kohalikud kasutajakontod. Need kontod on olemas kohalikus andmebaasis SAM (Turvakontode haldur) igas süsteemis, kus töötab Windows 2003. Need kontod luuakse tööriista abil Kohalikud kasutajad ja rühmad (Kohalikud kasutajad ja rühmad) konsool Arvutihaldus (Arvutihaldus). Pange tähele, et kohaliku kontoga sisselogimiseks peab see konto olema selle süsteemi SAM-i andmebaasis, kuhu proovite sisse logida. See muudab kohalikud kontod ebapraktiliseks suured võrgud, kuna nende halduskulud on suured.
  • Domeeni kasutajakontod. Need kontod on salvestatud Active Directorysse ja neid saab kasutada kogu AD metsa ressurssidele sisselogimiseks ja juurdepääsemiseks. Seda tüüpi kontod luuakse tsentraalselt, kasutades konsooli " Active Directory kasutajad ja arvutid " (" ").
  • Sisseehitatud kontod. Need kontod loob süsteem ise ja neid ei saa kustutada. Vaikimisi loob iga süsteem, olenemata sellest, kas see on isoleeritud (eraldi) või osa domeenist, kaks kontot – Administraator (Administraator) Ja Külaline (Külaline). Vaikimisi on külaliskonto keelatud.

Keskendume domeeni kasutajakontodele. Need kontod on salvestatud domeenikontrolleritesse, mis salvestavad Active Directory andmebaasi koopia.

Olemas erinevaid formaate, mis võivad esindada kasutajate sisselogimisnimesid, kuna need võivad ühilduvuse huvides varasemate klientidega erineda Windowsi versioonid(näiteks 95, 98, NT). Kaks peamist sisselogimistüüpi kasutavad järelliidet Kasutaja põhinimi (esmane kasutajanimi) ja kasutaja sisselogimisnimi Windows 2000 eelsetes süsteemides.

Peamine kasutajanimi ( UPN, Kasutajapõhimõtte nimi) on samas vormingus kui meiliaadressil. See sisaldab kasutaja sisselogimisnime, seejärel ikooni "@" ja domeeninime. Vaikimisi on rippmenüü kastis esile tõstetud juurdomeeni domeeninimi, olenemata sellest, millises domeenis konto loodi (rippmenüü sisaldab ka selle domeeni nime, kuhu konto lõite) .

Samuti saate luua täiendavaid domeenisufikseid (nime osa, mis tuleb pärast @-märki), mis kuvatakse ripploendis ja mida saab kasutada UPN-i loomiseks, kui need valite (seda tehakse konsooli abil " Active Directory – domeenid ja usaldus " (" Active Directory domeen ja usaldusfondid ").

On ainult üks nõutav tingimus samal ajal peavad kõik metsas olevad UPN-id olema kordumatud (st mitte korduma). Kui kasutaja sisselogimiskonto kasutab Windows 2003 sisselogimiseks UPN-i, peate sisestama ainult UPN-i ja parooli – ei pea enam domeeninime meeles pidama ega sisestama. Selle nimetamissüsteemi teine ​​eelis on see, et UPN vastab sageli sellele e-posti aadress kasutaja, mis jällegi vähendab meelde jätmist vajava kasutajateabe hulka.

Kohalikud kontod

Iga arvuti koos operatsioonisüsteemid Windows NT/2000/XP/2003 (välja arvatud juhul, kui tegemist on serveriga, mis on domeenikontroller) sisaldab kohalikku kontode andmebaasi, mida nimetatakse SAM-i andmebaasiks. Neid andmebaase käsitleti töörühma turvamudeli kirjeldamisel. Kohalikke kasutajaid ja eriti rühmi kasutatakse konkreetse arvuti ressurssidele juurdepääsuõiguste määramisel, isegi domeeni turvamudelis. Üldreeglid kohalike ja domeenirühmad juurdepääsu kontrollimiseks kirjeldatakse allpool.

Domeeni kasutajakontode haldamine

Domeeni kasutajakontod (samuti arvuti- ja grupikontod) hoitakse spetsiaalsetes AD-konteinerites. Need võivad olla kas standardsed konteinerid Kasutajad kasutajatele ja Arvutid arvutite jaoks või administraatori loodud organisatsiooniüksus (OU). Erandiks on domeenikontrolleri kontod, mis salvestatakse alati OU-s koos nimega Domeenikontrollerid.

Vaatame näiteid kasutajakontode loomise protsessist Active Directory andmebaasis ja analüüsime domeenikontode põhiomadusi. Arvutite kontod luuakse arvuti domeeniga ühendamise käigus.

Domeenikonto loomine

Tähelepanu! Harjutustes laboritöödÜlesandeks on seatud poliitikad, mis vähendavad oluliselt paroolide ja kasutajaõiguste nõuete taset:

  • parooli keerukuse nõue on keelatud,
  • parooli minimaalne pikkus on seatud 0-le (st parool võib olla tühi),
  • on paigaldatud minimaalne tähtaeg paroolid kehtivad 0 päeva (st kasutaja saab parooli igal ajal muuta),
  • paroolide salvestamise ajalugu on seatud väärtusele 0 (st parooli muutmisel ei kontrolli süsteem varem kasutatud paroolide ajalugu),
  • Grupile "Kasutajad" antakse õigus kohalik sissekanne domeenikontrolleritele.

Need eeskirjad on kehtestatud üksnes õigustega sooritatavate harjutuste sooritamise mugavuse huvides tavakasutajatele domeenikontrolleri serverites. Tegelikus halduspraktikas ei tohiks paroolidele kunagi seada selliseid nõrku turvaparameetreid ja kasutajaõigused peaksid olema väga ranged (turvapoliitikat käsitletakse selles jaotises hiljem).

Parooli loomiseks märkide valimise reeglid:

  • Parooli pikkus - vähemalt 7 tähemärki;
  • parool ei tohiks kattuda süsteemi sisselogimise kasutajanimega, samuti tema tavalise nime, perekonnanime, sugulaste, sõprade jne nimedega;
  • parool ei tohiks koosneda ühestki sõnast (et välistada võimalus parooli sõnaraamatu abil ära arvata);
  • parool ei tohiks kattuda kasutaja telefoninumbriga (tavaline või mobiil), tema auto numbriga, passiga, juhiluba või muu dokument;
  • Parool peab olema kombinatsioon suurtähtedest ja väiketähtedega, numbrid ja erimärgid (nt @#$%^*&()_+ jne).

Ja veel üks turvareegel on parooli korrapärane muutmine (muutmise sagedus sõltub iga konkreetse ettevõtte või organisatsiooni turvanõuetest). Windowsi domeenidel on reegel, mis määrab, kui kaua kasutaja paroolid aeguvad.

Ülevaade kasutajakonto omadustest

Kasutajakonto atribuudid sisaldavad laia valikut erinevaid parameetreid, paigutatud mitmele järjehoidjale, kui seda konsoolis vaadata" Active Directory – kasutajad ja arvutid", ja mitmesuguste installimisel tarkvaratooted omaduste komplekti saab laiendada.

Vaatame kõige olulisemaid omadusi administreerimise vaatenurgast.

Avame konsooli" Active Directory – kasutajad ja arvutid" ja vaadake äsja loodud kasutaja atribuute.

Järjehoidja " On levinud". See vahekaart sisaldab peamiselt viiteandmeid, mis võivad olla väga kasulikud AD metsas kasutajate otsimisel. Huvitavamad neist on:

  • " Nimi "
  • " Perekonnanimi "
  • " Kuvatav nimi "
  • " Kirjeldus "
  • " Telefoninumber "
  • " Meil "

Järjehoidja " Aadress " - viiteteave otsida AD.

Järjehoidja " Konto" - väga oluline parameetrite komplekt (parameetrid " Kasutaja sisselogimine"Ja" Kasutaja sisselogimisnimi (eelnev Windows 2000)" arutati ülal kasutaja loomisel):

  • nupp " Sisenemise aeg" - päevad ja tunnid, millal kasutaja saab domeeni sisse logida;
  • nupp " Logi sisse…" - arvutite loend, millest kasutaja saab süsteemi sisse logida (registreeruda domeenis);
  • Märkeruudu tüübi väli " Blokeeri konto" - see valik pole saadaval enne, kui konto lukustatakse pärast teatud arvu eeskirjadega määratud ebaõnnestunud sisselogimiskatseid (katsed vale parooliga), kaitseb kellegi teise konto parooli häkkimise eest jõhkra jõu meetodil; kui tehakse teatud arv ebaõnnestunud katseid, siis kasutajakonto lukustatakse automaatselt, väli muutub vabaks ja sinna tehakse linnuke, mille administraator saab käsitsi eemaldada või see eemaldatakse automaatselt pärast määratud intervalli paroolipoliitika järgi;
  • " Konto seaded" (esimeseid kolme parameetrit käsitleti eespool):
    • " Nõua järgmisel sisselogimisel parooli muutmist "
    • " Takistage kasutajal parooli muutmist "
    • " Paroolil ei ole aegumiskuupäeva "
    • " Keela konto " - sunnitud seiskamine konto (kasutaja ei saa domeeni sisse logida);
    • " Internetis sisselogimiseks on vaja kiipkaarti" - domeeni sisselogimine toimub mitte parooli, vaid kiipkaardi abil (selleks peab kasutaja arvutis olema kiipkaardilugeja, kiipkaardid peavad sisaldama sertifitseerimiskeskuse loodud sertifikaate);
  • " Konto aegumiskuupäev" - määrab kuupäeva, millest alates see konto domeenis registreerimisel ei kehti (see parameeter on soovitatav määrata ajutiseks tööks palgatud töötajatele, ettevõttesse lähetusse saabuvatele inimestele, organisatsioonis praktikal olevatele üliõpilastele, jne.)

Järjehoidjad " Telefonid ", " Organisatsioon" - viiteteave kasutaja kohta AD-s otsimiseks.

Järjehoidja " Profiil "

Profiil (profiil) on kasutaja töökeskkonna seaded. Profiil sisaldab: töölaua sätteid (värv, ekraani eraldusvõime, taustapilt), arvuti kaustade vaatamise seaded, Interneti-brauseri ja muude programmide seaded (näiteks pereprogrammide kaustade paigutus Microsoft Office). Iga kasutaja jaoks luuakse automaatselt profiil, kui ta esimest korda arvutisse sisse logib. Eristama järgmised tüübid profiilid:

  • kohalik- on salvestatud kausta " Dokumendid ja Seaded" ketta partitsioonil, kuhu operatsioonisüsteem on installitud;
  • ümberpaigutatav(võrk või rändlus) - salvestatakse serverisse kaustas avalik juurdepääs, laaditakse kasutaja seanssi mis tahes arvutis, millest kasutaja on domeeni sisse loginud (registreerunud), võimaldades kasutajal sama töökeskkond mis tahes arvutis (profiili kausta tee on sellel vahekaardil näidatud aadressina \\server\share\%kasutajanimi% , kus server on serveri nimi, ühiskasutus on jagatud kausta nimi, % kasutajanimi% on nimi profiilikausta kasutamine; keskkonna muutuja Windowsi süsteemid nimega %kasutajanimi% võimaldab määrata kasutajanimele vastava profiilikausta nime);
  • kohustuslik (kohustuslik) - seaded seda tüüpi kasutaja saab profiili muuta ainult sisse praegune seanss töötab Windowsis, väljalogimisel muudatusi ei salvestata.

Sisselogimisskripti parameeter määratleb käivitatava faili, mis laaditakse arvutisse alla ja käivitatakse, kui kasutaja sisse logib. Käivitav fail Võib olla partiifail(.bat, .cmd), käivitatav programm(.exe, .com), skriptifail (.vbs, js).

Järjehoidja " Rühmade liige" - võimaldab hallata rühmade loendit, kuhu see kasutaja kuulub.

Järjehoidja " Sissetulevad kõned ".

Kasutaja juurdepääsu kontroll ettevõtte süsteem vahendite kaudu kaugjuurdepääs süsteemid Windows Server(näiteks modemi või VPN-ühenduse kaudu). IN segarežiim Windowsi domeen Saadaval on ainult valikud" Luba juurdepääs"Ja" Keela juurdepääs", samuti tagasihelistamise parameetrid (" Serveri tagasihelistamine"). Režiimides " Windows 2000 basic"Ja" Windows 2003"juurdepääsu saab juhtida kaugjuurdepääsu serveri poliitikate abil (mitte segi ajada rühmapoliitika). Rohkem detaile see küsimus käsitletakse kaugjuurdepääsu tööriistu käsitlevas jaotises.

Järjehoidjad " Terminaliteenuste profiil ", " kolmapäeval ", " Seansid ", " Pult " - need vahekaardid juhivad kasutaja töösätteid terminaliserveris:

  • kasutajaõiguste haldamine terminaliserveris töötamiseks;
  • profiili paigutus töötamise ajal terminali seanss,
  • kasutajakeskkonna seadistamine terminali seansis (käivitades konkreetne programm või töölauarežiim, ühendus kohalikud kettad ja kasutaja printerid terminali seansi);
  • kasutajaseansi haldamine terminaliserveris (seansi kestus, seansi passiivsuse ajalõpp, parameetrid taasühendamine katkestatud seansile);
  • Administraatoril kasutaja terminali seansiga ühenduse loomise lubamine.


SEOTUD ARTIKLID