Учетные записи (accounts ) пользователей, компьютеров и групп - один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.
В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных записей:
- Локальные учетные записи пользователей . Эти учетные записи существуют в локальной базе данных SAM (Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups (Локальные пользователи и группы ) консоли Computer Management (Управление компьютером ). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
- Учетные записи пользователей домена . Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли " Active Directory Users and Computers " (" ").
- Встроенные учетные записи . Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator (Администратор ) и Guest (Гость ). По умолчанию учетная запись Гость отключена.
Сосредоточим свое внимание на учетных записях пользователей домена. Эти учетные записи хранятся на контроллерах домена, хранящих копию базы данных Active Directory.
Существуют различные форматы, в которых могут быть представлены имена для входа пользователей в систему, потому что они могут отличаться для целей совместимости с клиентами, работающими под управлением более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа - это с использованием суффикса User Principal Name (основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.
Основное имя пользователя (UPN , User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок " @ " и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).
Также можно создавать дополнительные доменные суффиксы (та часть имени, которая стоит после знака @ ), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли " Active Directory – домены и доверие " (" Active Directory Domain and Trusts ").
Существует только одно обязательное условие при этом - все UPN в лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль - более нет нужды помнить и указывать доменное имя. Другое преимущество данной системы именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает количество информации о пользователе, которую необходимо запоминать.
Локальные учетные записи
Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности. Общие правила использования локальных и доменных групп для управления доступом будут описаны ниже.
Управление доменными учетными записями пользователей
Доменные учетные записи пользователей (а также компьютеров и групп) хранятся в специальных контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers .
Рассмотрим на примерах процесс создания учетных записей пользователей в БД Active Directory и разберем основные свойства доменных учетных записей. Учетные записи для компьютеров создаются в процессе включения компьютера в домен.
Создание доменной учетной записи
Внимание ! В упражнениях лабораторных работ дается задание настроить политики, которые сильно понижают уровень требований к паролям и полномочиям пользователей:
- отключается требование сложности паролей,
- устанавливается минимальная длина пароля, равная 0 (т.е. пароль может быть пустым),
- устанавливается минимальный срок действия паролей 0 дней (т.е. пользователь может в любой момент сменить пароль),
- устанавливается история хранения паролей, равная 0 (т.е. при смене пароля система не проверяет историю ранее используемых паролей),
- группе "Пользователи" дается право локального входа на контроллеры домена.
Данные политики устанавливаются исключительно для удобства выполнения упражнений, которые необходимо выполнять с правами простых пользователей на серверах-контроллерах домена. В реальной практике администрирования такие слабые параметры безопасности ни в коем случае устанавливать нельзя, требования к паролям и правам пользователей должны быть очень жесткими (политики безопасности обсуждаются далее в этом разделе).
Правила выбора символов для создания пароля:
- длина пароля - не менее 7 символов;
- пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
- пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
- пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
- пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).
И еще одно правило безопасности - регулярная смена пароля (частота смены зависит от требований безопасности в каждой конкретной компании или организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей.
Обзор свойств учетных записей пользователей
Свойства учетной записи пользователя содержат большой набор различных параметров, размещенных на нескольких закладках при просмотре в консоли " Active Directory – пользователи и компьютеры ", причем при установке различных программных продуктов набор свойств может расширяться.
Рассмотрим наиболее важные с точки зрения администрирования свойства.
Откроем консоль " Active Directory – пользователи и компьютеры " и посмотрим свойства только что созданного нами пользователя.
Закладка " Общие ". На данной закладке содержатся в основном справочные данные, которые могут быть очень полезны при поиске пользователей в лесу AD. Наиболее интересные из них:
- " Имя "
- " Фамилия "
- " Выводимое имя "
- " Описание "
- " Номер телефона "
- " Электронная почта "
Закладка " Адрес " - справочная информация для поиска в AD.
Закладка " Учетная запись " - очень важный набор параметров (параметры " Имя входа пользователя " и " Имя входа пользователя (пред-Windows 2000) " обсуждались выше при создании пользователя):
- кнопка " Время входа " - дни и часы, когда пользователь может войти в домен;
- кнопка " Вход на… " - список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
- Поле типа чек-бокс " Заблокировать учетную запись " - этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
- " Параметры учетной записи
" (первые три параметра обсуждались выше):
- " Требовать смену пароля при следующем входе в систему "
- " Запретить смену пароля пользователем "
- " Срок действия пароля не ограничен "
- " Отключить учетную запись " - принудительное отключение учетной записи (пользователь не сможет войти в домен);
- " Для интерактивного входа в сеть нужна смарт-карта " - вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
- " Срок действия учетной записи " - устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)
Закладки " Телефоны ", " Организация " - справочная информация о пользователе для поиска в AD.
Закладка " Профиль "
Профиль (profile ) - это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:
- локальные - хранятся в папке " Documents and Settings " на том разделе диска, где установлена операционная система;
- перемещаемые (сетевые, или roaming ) - хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username% , где server - имя сервера, share - имя папки общего доступа, %username% - имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);
- обязательные (mandatory ) - настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.
Параметр "Сценарий входа" определяет исполняемый файл, который при входе пользователя в систему загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл (.bat , .cmd ), исполняемая программа (.exe, .com), файл сценария (.vbs, js).
Закладка " Член групп " - позволяет управлять списком групп, в которые входит данный пользователь.
Закладка " Входящие звонки ".
Управление доступом пользователя в корпоративную систему через средства удаленного доступа системы Windows Server (например, через модем или VPN-соединение). В смешанном режиме домена Windows доступны только варианты " Разрешить доступ " и " Запретить доступ ", а также параметры обратного дозвона (" Ответный вызов сервера "). В режимах " Windows 2000 основной " и " Windows 2003 " доступом можно управлять с помощью политик сервера удаленного доступа (не надо путать с групповыми политиками). Подробнее данный вопрос обсуждается в разделе, посвященном средствам удаленного доступа.
Закладки " Профиль служб терминалов ", " Среда ", " Сеансы ", " Удаленное управление " - данные закладки управляют параметрами работы пользователя на сервере терминалов:
- управление разрешением пользователя работать на сервере терминалов;
- размещение профиля при работе в терминальной сессии,
- настройка среды пользователя в терминальной сессии (запуск определенной программы или режим рабочего стола, подключение локальных дисков и принтеров пользователя в терминальную сессию);
- управление сеансом пользователя на сервере терминалов (длительность сессии, тайм-аут бездействия сессии, параметры повторного подключения к отключенной сессии);
- разрешение администратору подключаться к терминальной сессии пользователя.
Локальная учетная запись пользователя дает пользователю возможность входить на локальный компьютер для доступа к локальным ресурсам. Однако в сетевой среде пользователям нужен доступ к ресурсам, расположенным в других местах сети. Для доступа к этим ресурсам необходима учетная запись пользователя домена. Когда создается учетная запись пользователя домена, она помещается в службу каталогов Active Directory и доступна с любого компьютера, принадлежащего к этому домену. В рабочей группе, наоборот, учетная запись пользователя существует только на локальном компьютере.
а) Учетные записи пользователя домена, определяемые пользователем
Учетные записи пользователя домена, определяемые пользователем - это учетные записи, которые администратор создает для того, чтобы пользователи могли входить в домен и получать доступ к ресурсам сети. Учетные записи пользователя домена, определяемые пользователем, создаются на контроллере домена. Этот контроллер домена реплицирует данные новой учетной записи пользователя на все контроллеры в домене. В процессе входа пользователь указывает имя пользователя и пароль, а также домен, в котором существует данная учетная запись. Первый доступный контроллер домена использует эти сведения для проверки подлинности учетной записи пользователя.
б) Встроенные учетные записи пользователя (домена)
Помимо возможности для администраторов определять новые учетные записи пользователя домена, операционная система Win2000 предлагает две встроенные учетные записи пользователя домена - Administrator и Guest. Эти встроенные учетные записи пользователя подобны встроенным учетным записям пользователя, существующим на локальных компьютерах в рабочих группах. Главное отличие состоит в том, что эти учетные записи дают возможность доступа к целому домену.
в) Администратор
Встроенная учетная запись Administrator управляет всей конфигурацией компьютера и домена. Пользуясь этой записью, администратор может создавать учетные записи пользователя и группы, управлять безопасностью, распоряжаться принтерами и назначать разрешения учетным записям пользователей. Эту учетную запись можно переименовать, но нельзя удалить.
Встроенная учетная запись Guest позволяет разовым пользователям получить доступ к сетевым ресурсам. Например, в системе с низким уровнем безопасности сотрудник, которому нужен кратковременный доступ к ресурсам, может воспользоваться учетной записью Guest. По умолчанию эта учетная запись является отключенной.
д) Служебная программа Active Directory Users and Computers
Операционная система Win2000 предлагает служебную программу под названием Active Directory UandC, с помощью которой администраторы могут управлять учетными записями пользователей в службе каталогов Active Directory. Эта служебная программа установлена на компьютерах, настроенных как контроллеры домена. Для работы со служебной программой Active Directory UandC необходимо войти в домен Win2000 (не на локал компьютер), имея при этом достаточные права для выполнения соответствующих задач.
С помощью служебной программы Active Directory Users and Computers можно выполнять в домене следующие задачи:
- добавлять или удалять учетные записи пользователя;
- включать и отключать учетные записи пользователя;
- находить или перемещать учетные записи пользователя;
- переименовывать учетные записи пользователя;
сбрасывать пароли пользователей.
12. Группы. Группы на локальном компьютере. Группы на контроллере домена. Встроенные и стандартные группы в домене. Создание групп в домене. Типы групп и области их действия.
Группа - это набор учетных записей пользователя. Разрешения на доступ можно задать одновременно всем членам группы, и нет необходимости задавать их индивидуально. Обеспечив доступ для группы, потом можно просто добавлять в эту группу соответствующих пользователей. Можно использовать принятые по умолчанию, или встроенные, группы, предлагаемые операционной системой Win2000, либо создать новые группы в соответствии с потребностями организации. Группа может существовать либо только на локальном компьютере, либо на компьютерах в пределах одного домена, либо на компьютерах в пределах нескольких доменов.
Группы на локальном компьютере:
На локальных компьютерах (компьютерах, являющихся контроллерами домена), можно создавать только локальные группы в локальной базе данных безопасности. Группа, расположенная на компьютере, не являющемся контроллером домена, обеспечивает безопасность и доступ только для этого локального компьютера. Например, чтобы дать пользователю права администратора на локальном компьютере, достаточно его добавить в группу Administrators (Администраторы) данного компьютера с помощью служебной программы Local Users and Groups (Локальные пользователи и группы).
Группы на контроллере домена:
На контроллере домена группы создаются в службе каталогов Active Directory. Группа, расположенная на контроллере домена, может включать в себя пользователей всего домена или нескольких доменов. Например, чтобы предоставить пользователям права администратора, их добавляют в группу Administrators на каком-нибудь контроллере домена с помощью служебной программы Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Встроенные и стандартные группы в домене:
Как и в случае с клиентскими компьютерами и рядовыми серверами, на контроллерах доменов имеются встроенные группы по умолчанию. В дополнение к встроенным группам на контроллерах доменов имеются стандартные группы по умолчанию. Когда компьютер становится контроллером домена, система Windows 2000 Advanced Server автоматически создает эти группы в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Как и встроенные локальные группы, эти группы предоставляют предопределенные права, определяющие, какие системные задачи может выполнять пользователь или встроенная либо стандартная группа.
Стандартные группы с глобальной областью действия располагаются в папке Users (Пользователи). Встроенные локальные группы домена располагаются в папке Builtin (Встроенные). В системе Windows 2000 группы домена по умолчанию включают в себя следующие группы.
- Встроенные локальные группы домена. Эти группы предоставляют пользователям предопределенные права и разрешения на выполнение задач в службе каталогов Active Directory и на контроллерах домена. Встроенные локальные группы домена располагаются только на контроллерах домена. Удалить эти группы невозможно.
- Специальные группы. Эти группы автоматически организуют учетные записи пользователей для нужд системы. Администраторы не назначают пользователей в эти группы. Вместо этого пользователи либо являются их членами по умолчанию, либо становятся таковыми вследствие своих действий в сети. Специальные группы имеются на всех компьютерах, работающих под управлением системы Windows 2000. Например, если пользователи подключаются к общей папке на удаленном компьютере, они становятся членами группы Network System (Сетевая система). Специальные группы не показываются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
- Стандартные глобальные группы. Эти группы позволяют администратору без труда управлять всеми пользователями в домене. Стандартные глобальные группы имеются только на контроллерах домена. Эти группы располагаются в папке User оснастки Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Создание групп в домене:
При создании групп для использования в домене руководствуйтесь следующими указаниями.
- Определяйте необходимую область действия группы, исходя из того, как она будет использоваться. Например, для группирования учетных записей пользователей примените глобальную группу. И, наоборот, для предоставления разрешений на ресурс используйте локальную группу домена.
- Определите, имеются ли необходимые разрешения на создание группы в соответствующем домене.
а) По умолчанию, необходимые разрешения на создание групп имеют члены групп Administrators (Администраторы) или Account Operators (Операторы учета).
б) Администратор может дать пользователю разрешение на создание групп в домене.
- Определите имя группы. Выберите интуитивно понятное имя, отражающее назначение создаваемой группы. Такой подход особенно полезен, если администраторы других доменов должны будут искать эту группу в службе каталогов Active Directory.
Группы создаются и удаляются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Можно создавать группы в папке Users (Пользователи) по умолчанию или в любой вновь созданной папке. Если группа больше не нужна, ее обязательно надо удалить, чтобы случайно не предоставить ей каких-либо разрешений.
Чтобы создать группу, откройте оснастку Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Щелкните правой кнопкой мыши папку, в которой будет размещена группа, выберите New (Создать) и щелкните Group (Группа). В следующей таблице описаны параметры диалогового окна New Object - Group (Новый объект - Группа).
Типы групп:
Служба каталогов Active Directory обеспечивает поддержку различных типов групп и областей действия групп в домене. Поскольку группы хранятся в службе Active Directory, их можно использовать на любом компьютере в сети. Тип группы определяет задачи, которыми можно управлять при ее помощи. Область действия группы определяет, охватывает ли группа несколько доменов или ограничена одним доменом. Каждый тип группы в домене имеет атрибут области действия, определяющий, как данная группа применяется в сети.
В службе каталогов Active Directory существуют два типа групп.
1) Группы безопасности. Группы безопасности следует использовать для целей, связанных с обеспечением безопасности, таких как предоставление разрешений на доступ к ресурсам. Кроме того, можно использовать их для рассылки по электронной почте сообщений нескольким пользователям. При рассылке электронной почты какой-либо группе сообщения посылаются всем членам этой группы. Таким образом, группы безопасности имеют некоторые общие возможности с группами распространения.
2) Группы распространения. Группы безопасности используются приложениями в качестве списков для выполнения функций, не связанных с обеспечением безопасности, таких как рассылка электронной почты группам пользователей. Предоставить разрешения, используя группы безопасности, невозможно. Хотя группы безопасности и обладают возможностями групп распространения, последние все же необходимы, поскольку некоторые приложения способны работать только с группами распространения.
Области действия групп:
Область действия группы определяет, где в доменах используется эта группа. Область действия влияет на членство в группах и на вложение групп. Вложение - это добавление группы в другую группу в качестве члена. В системе Windows 2000 имеется три области действия групп.
1) Область действия глобальной группы. Эта область действия используется для объединения пользователей, имеющих аналогичные требования к доступу в сети. Можно использовать глобальную группу для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.
а) Членство в глобальных группах ограничено. Учетные записи пользователей и глобальные группы добавляются только из того домена, в котором создается глобальная группа.
б) Глобальные группы могут быть вложенными в другие группы. Эта функция позволяет добавлять глобальную группу в другую глобальную группу в том же домене, либо в универсальные или локальные группы других доменов.
2) Область действия локальной группы домена. Эта область действия используется для предоставления разрешений на ресурсы домена, расположенные в том же домене, в котором создается локальная группа домена. Ресурс не обязательно должен быть расположен на контроллере домена.
а) Членство в локальных группах домена открытое. Учетные записи пользователей, универсальные группы и глобальные группы добавляются из любого домена.
б) Локальные группы домена не могут быть вложенными в другие группы; это означает, что локальную группу домена невозможно добавить в какую-либо другую группу, даже расположенную в том же домене.
3) Область действия универсальной группы. Предоставляются разрешения на связанные с ней ресурсы в нескольких доменах. Универсальные группы используются для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.
а) Членство в универсальных группах открытое. Их членом может быть любая учетная запись пользователя или группа.
б) Универсальные группы могут быть вложенными в другие группы. Эта возможность позволяет добавлять данную универсальную группу в универсальную группу или в локальную группу домена, расположенную в любом домене.
13. Общие права пользователя. Права, назначенные встроенным группам (по умолчанию).
Рабочая группа.
Права относятся не к конкретному ресурсу, а ко всей системе, и влияют на работу компьютера или домена в целом. Всем пользователям, обращающимся к сетевым ресурсам, нужны определенные общие права на тот компьютер, на котором они работают, например, право входить на компьютер или изменять на нем показания системного времени. Конкретные общие права администраторы могут назначать группам пользователей или отдельным пользователям. Кроме того, операционная система Windows 2000 предоставляет определенные права встроенным группам по умолчанию. Права пользователя определяют, какие пользователи могут выполнять ту или иную конкретную работу на компьютере или в домене.
Общие права пользователя :
Права позволяют пользователю, вошедшему на компьютер или в сеть, выполнять в этой системе определенные действия. Если у пользователя нет прав на выполнение какой-то операции, попытка выполнения этой операции будет блокирована.
Права пользователя могут относиться как к отдельным пользователям, так и к группам. Однако лучше всего управлять правами пользователя, работая с группами. Это гарантирует, что пользователь, входящий в систему как член группы, автоматически получит все связанные с этой группой права. Операционная система Windows 2000 дает администратору возможность назначать права пользователям и группам пользователей. Общие права пользователя включают право локального входа в систему, право на изменение системного времени, право на отключение системы и право доступа к данному компьютеру из сети.
- Локальный вход в систему
Это право позволяет пользователю входить на локальный компьютер или в домен с локального компьютера.
- Изменение системного времени
Это право позволяет пользователю устанавливать показания внутренних часов компьютера.
- Завершение работы системы
Это право позволяет пользователю завершить работу локального компьютера.
- Доступ к этому компьютеру из сети
Это право позволяет пользователю получить доступ к компьютеру, работающему под управлением Windows 2000, с любого другого компьютера в сети.
Права, назначенные встроенным группам (по умолчанию):
Операционная система Windows 2000 по умолчанию предоставляет определенные права таким встроенным группам, как Administrators (Администраторы), Users (Пользователи), Power Users (Опытные пользователи) и Backup Operators (Операторы архива).
1) Администраторы
Administrators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы имеют полный контроль над компьютером или доменом. Administrators . единственная встроенная группа, которой автоматически предоставляются все встроенные права в системе.
2) Пользователи
Users - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы могут выполнять только те задачи, на которые им предоставлены конкретные права, например, запускать приложения, использовать локальные и сетевые принтеры и выключать и блокировать рабочие станции. Члены группы Users могут создавать локальные группы и могут их изменять, но не могут объявлять папки общими или создавать локальные принтеры.
3) Опытные пользователи
Power Users - встроенная группа, существующая на компьютерах, не являющихся контроллерами домена. Члены группы Power Users могут выполнять конкретные административные функции, но не имеют прав, которые давали бы им полный контроль над системой. Группа Power Users обладает следующими правами.
- Создание учетных записей пользователя и групп на локальном компьютере.
- Изменение и удаление созданных ими учетных записей.
- Предоставление общего доступа к ресурсам. При этом члены группы Power Users не могут выполнять следующие действия.
- Изменять группы Administrators и Backup Operators.
- Архивировать или восстанавливать папки из архива.
4) Операторы архива
Backup Operators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены группы Backup Operators могут архивировать и восстанавливать из архива файлы вне зависимости от того, какими разрешениями эти файлы защищены. Члены группы Backup Operators могут входить на компьютер и завершать его работу, но не могут менять параметры безопасности.
Рабочая группа:
Рабочая группа - это небольшая группа объединенных сетью компьютеров, которые работают вместе и не нуждаются в централизованном администрировании.
Рабочая группа обладает следующими характеристиками.
- Распределение ресурсов, администрирование и проверка подлинности производятся на каждом компьютере рабочей группы в отдельности.
- На каждом компьютере установлена своя локальная база данных SAM (Security Accounts Manager . диспетчер учетных записей безопасности). Пользователь должен иметь учетную запись пользователя на каждом компьютере, на котором он собирается работать.
- Число компьютеров не превышает десяти. Эти компьютеры могут работать под управлением серверных продуктов Windows 2000, однако на каждом имеется своя база данных SAM. Если число компьютеров в рабочей группе превысит 10, ею становится труднее управлять. Число одновременных подключений для компьютера, работающего под управлением системы Windows 2000 Professional, не может превышать 10.
14. Настройка протокола TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP-адресация. Автоматическое назначение IP-адресов. Настройка протокола TCP/IP для использования статического IP-адреса. Проверка и тестирование протокола TCP/IP.
Настройка протокола TCP/IP. DHCP-адресация:
Если протокол TCP/IP был настроен на автоматическое получение IP-адреса, то после установки протокола TCP/IP клиентский компьютер получает IP-адрес одним из двух способов:
- от DHCP-сервера;
- при помощи автоматического назначения частных адресов APIPA (Automatic Private IP Addressing).
DHCP-сервер автоматически назначает IP-адрес и такие значения настройки протокола TCP/IP, как IP-адрес DNS-сервера, WINS-сервера и основного шлюза. Используется следующая процедура автоматического назначения IP-адреса DHCP-сервером.
1. Клиентский компьютер запрашивает IP-адрес у DHCP-сервера.
2. DHCP-сервер назначает IP-адрес клиентскому компьютеру.
Следует убедиться, что параметры протокола TCP/IP настроены таким образом, чтобы клиентский компьютер мог в автоматическом режиме получить IP-адрес от DHCP-сервера. По умолчанию эти параметры в Windows 2000 настраиваются автоматически. Если по какой-либо причине клиентский компьютер не настроен на автоматическое получение IP-адреса, протокол TCP/IP можно настроить вручную.
Автоматическое назначение IP-адресов:
Средство автоматического назначения частных IP-адресов позволяет создать IP-адрес в случае, если клиентский компьютер не может получить IP-адрес от DHCP-сервера. С помощью этого средства назначается только IP-адрес и маска подсети, но не предоставляются дополнительные сведения о настройках, например, основного шлюза. В результате ограничиваются возможности подключения клиентского компьютера к локальной сети: он не может подключиться к другим сетям или Интернету.
При запуске не имеющего IP-адреса компьютера происходит следующее:
1. Клиентский компьютер пытается обнаружить DHCP-сервер и получить от него сведения о настройках протокола TCP/IP.
2. Если клиентский компьютер не обнаружил DHCP-сервер, он настраивает свой IP-адрес и маску подсети, выбирая адрес 169.254.0.0 сети класса B из зарезервированного корпорацией Майкрософт диапазона IP-адресов с маской подсети 255.255.0.0.
Настройка протокола TCP/IP для использования статического IP-адреса:
Иногда возникает необходимость вручную настроить статические IP-адреса для компьютеров сети, в которой поддерживается служба сервера DHCP. Например, компьютер, на котором поддерживается служба сервера DHCP, нельзя настроить на автоматический прием IP-адреса. Кроме того, иногда необходимо сохранить одинаковый IP-адрес у почтового сервера и веб-сервера. В таких случаях следует настроить эти компьютеры со статическим IP-адресом.
При настройке статического IP-адреса необходимо настроить маску подсети и основной шлюз для каждой из имеющихся в компьютере сетевых плат, используя протокол TCP/IP. Ниже приведена таблица, в которой представлены параметры настройки протокола TCP/IP.
| Параметры настройки | Описание |
| IP-адрес | 32-битный адрес, определяющий узел TCP/IP. Каждой сетевой плате компьютера, на котором установлен протокол TCP/IP, требуется уникальный IP-адрес, который обычно имеет десятичное представление (например, 192.168.0.108). Каждый адрес состоит из двух частей: идентификатора сети, по которому определяются все узлы одной сети, и идентификатора узла, по которому определяется конкретный узел этой сети. В данном примере идентификатором сети является значение 192.168.0, а идентификатором узла - 108, в соответствии со стандартной маской подсети. |
| Маска подсети | Значение, по которому определяется, к какой подсети подключен компьютер. Большая интрасеть разделяется на некоторое число подсетей, связанных между собой маршрутизаторами. По значению маски подсети видно, какая часть IP-адреса узла является идентификатором сети, а какая - идентификатором узла. Когда узлы пытаются взаимодействовать друг с другом, используются их маски подсети, с помощью которых определяется, является конечный узел локальным или удаленным. |
| Основной шлюз | Маршрутизатор, которому узел будет направлять все IP-пакеты для удаленных сетей в том случае, когда у него не имеется конкретного маршрута для этих сетей. Основной шлюз обычно настраивается в соответствии с данными маршрутизации, что позволяет ему отправлять пакеты сети назначения или другим промежуточным маршрутизаторам. Чтобы была установлена связь с узлом в другой сети, следует настроить IP-адрес для основного шлюза. |
Проверка и тестирование протокола TCP/IP :
После настройки протокола TCP/IP следует воспользоваться командами ipconfig и ping, чтобы протестировать настройку локального компьютера и убедиться в том, что его можно подключать к сети с протоколом TCP/IP.
1) Команда Ipconfig:
Команда ipconfig позволяет отобразить на экране тестируемого компьютера данные о настройке свойств протокола TCP/IP и определить, инициализирован ли он на компьютере. Затем проверяется правильность отображенной информации.
2) Команда Ping:
Команда pingявляется средством диагностики, с помощью которого проверяется настройка свойств протокола TCP/IP между двумя компьютерами и определяются ошибки подключения. Посредством команды ping устанавливается возможность взаимодействия с другим узлом, использующим протокол TCP/IP.
Проверка и тестирование протокола TCP/IP:
Комбинируя команды ipconfig и ping, можно проверить настройку протокола IP локального компьютера и IP-подключение двух сетевых компьютеров. В соответствии с процедурой совместного использования команд ipconfig и ping необходимо выполнить следующие основные действия.
1) Введите команду ipconfig в командной строке. Вы получите следующий результат использования команды ipconfig.
- Если протокол TCP/IP инициализирован, то в результате применения команды ipconfig отобразится IP-адрес и маска подсети каждой сетевой платы вашего компьютера. Кроме того, отобразятся другие параметры настройки, такие как основной шлюз.
- Если имеется дублирование IP-адреса, то в результате выполнения команды ipconfig появится сообщение о том, что IP-адрес настроен; однако значение маски подсети равняется при этом 0.0.0.0., свидетельствуя о том, что данный адрес уже используется в сети. Служба автоматического назначения частных IP-адресов всегда имеет идентификатор сети 169.254.0.0. Если вы указываете идентификатор сети, значение которого начинается со 169.254.x.x., то получаете IP-адрес не от сервера DHCP, а через службу автоматического назначения частных IP-адресов.
2) Выполните команду ping 127.0.0.1 с адресом замыкания на себя, чтобы удостовериться в правильности установки протокола TCP/IP. Адрес замыкания на себя представляет собой тот адрес, который используется компьютером для собственной идентификации.
В команде ping используется синтаксис ping IP_адрес, где IP_адрес является адресом другого узла или компьютера с установленным протоколом TCP/IP.
3) Выполните команду ping с IP-адресом локального компьютера, чтобы убедиться, что ваш адрес настроен правильно.
4) Выполните команду ping с IP-адресом основного шлюза, чтобы убедиться, что ваш компьютер может взаимодействовать с локальной сетью. Чтобы убедиться в том, что компьютер можно подключить к локальной сети, следует направить запрос любому другому компьютеру этой локальной сети. Однако наиболее часто для данной цели используется основной шлюз, поскольку обычно он никогда не отключается.
5) Выполните команду ping с IP-адресом удаленного узла, чтобы удостовериться в том, что компьютер может взаимодействовать с маршрутизатором.
По умолчанию, в случае успешного прохождения команд ping, появляются четыре одинаковых сообщения следующего вида: Ответ, полученный с соответствующего IP-адреса
Похожая информация.
Windows network technology enables you to create network domains . A domain is a group of connected Windows computers that share user account information and a security policy. A domain controller manages the user account information for all domain members.
The domain controller facilitates network administration. By managing one account list for all domain members, the domain controller relieves the network administrator of the requirement to synchronize the account lists on each of the domain computers. In other words, the network administrator who creates or changes a user account must update only the account list on the domain controller rather than the account lists on each of the computers in the domain.
To log-in to a Windows database server, a user on another Windows computer must belong to either the same domain or a trusted domain . A trusted domain is one that has established a trust relationship with another domain. In a trust relationship, user accounts are located only in the trusted domain, but users can log on to the trusted domain.
A user who attempts to log-in to a Windows computer that is a member of a domain can do so either by using a local login and profile or a domain login and profile. However, if the user is listed as a trusted user or the computer from which the user attempts to log-in is listed as a trusted host, the user can be granted login access without a profile.
If you specify a user identifier but no domain name for a connection to a machine that expects both a domain name and a user name (domain\user), IBM Informix checks only the local machine and the primary domain for the user account. If you explicitly specify a domain name, that domain is used to search for the user account. The attempted connection fails with error -951 if no matching domain\user account is found on the local machine.
Use the CHECKALLDOMAINSFORUSER configuration parameter to configure how Informix searches for user names in a networked Windows environment. The following table lists the locations Informix searches for user names specified either alone or with a domain name with CHECKALLDOMAINSFORUSER set to 0 or 1.
| Domain\user specified | User name only specified | |
|---|---|---|
| CHECKALLDOMAINSFORUSER=0 | Informix searches for the user name on the local host only. | |
| CHECKALLDOMAINSFORUSER=1 | Informix searches for the user name only in the specified domain. | Informix searches for the user name in all domains. |
Omitting CHECKALLDOMAINSFORUSER from the onconfig file is the same as setting CHECKALLDOMAINSFORUSER to 0. See the IBM Informix Administrator"s Reference for more information about setting CHECKALLDOMAINSFORUSER.
For more information about domains, consult your Windows operating system manuals.
Important: The IBM Informix trusted client mechanism is unrelated to the trust relationship that you can establish between Windows domains. Therefore, even if a client connects from a trusted Windows domain, the user must have an account in the domain on which the database server is running. For more information about how the database server authenticates clients, see
Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.
Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:
У вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена (Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));
Объект компьютера создан в домене;
Вы должны войти в присоединяемый компьютер как локальный администратор.
У многих администраторов второй пункт может вызвать негодование, - зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.
Теперь разберем способы создания компьютера (компьютеров) в AD:
Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».
Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать "Пуск- Панель управления- Система и безопасность- Администрирование- " выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите "Создать- Компьютер ".
Впишите имя компьютера.
Создание учетной записи компьютера с помощью команды DSADD.
Общий вид команды:
dsadd computer
Параметры:
Значение Описание
-desc <описание>
Задает описание компьютера.
-loc <размещение>
Задает размещение компьютера.
-memberof <группа...>
Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN <группа...>.
{-s <сервер> | -d <домен>}
-s
<сервер> задает подключение к контроллеру домена(DC) с именем <сервер>.
-d
<домен> задает подключение к DC в домене <домен>.
По умолчанию: DC в домене входа.
-u <пользователь>
Подключение под именем <пользователь>. По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).
-p {<пароль> | *}
Пароль пользователя <пользователь>. Если введена *, будет запрошен пароль.
-q
"Тихий" режим: весь вывод заменяется стандартным выводом.
{-uc | -uco | -uci}
-uc
Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco
Задает форматирование вывода в канал или файл в Юникоде.
-uci
Задает форматирование ввода из канала или файла в Юникоде.
Пример использования команды Dsadd:
Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”
Создание учетной записи рабочей станции или сервера с помощью команды Netdom.
Общий вид команды Netdom:
NETDOM ADD <компьютер> ]
<компьютер>
это имя добавляемого компьютера
/Domain
указывает домен, в котором требуется создать учетную запись компьютера
/UserD
учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD
пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server
имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU
подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC
указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt
Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.
Создание объекта Компьютер с помощью Ldifde () и Csvde ().
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer <Имя компьютера> /Newname: <Новое имя>
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки "Active Directory – пользователи и компьютеры ". Запускаете оснастку "Active Directory – пользователи и компьютеры " находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете "Удалить ", подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.
Устранение ошибки "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом".
Иногда при попыдке войти в компьютер пользователь получает сообщение "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом ". Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать "Переустановить учетную запись" (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom :
Netdom reset <имя машины> /domain <Имя домена> /User0 <Имя пользователя> /Password0 <Пароль> без кавычек <>
Пример: Netdom reset COMP01 /domain сайт /User0 Ivanov /Password *****
3 С помощью команды Nltest :
Nltest /server:<Имя компьютера> /sc_reset:<Домен>\<Контроллер домена>
В этом разделе рассматриваются методы ведения учетных записей пользователей и возможности, предоставляемые для
этого Exchange.
Создание учетных записей пользователей, подключенных к почтовым ящикам, и пользователей, подключенных к почте
Для каждого пользователя, который хочет работать с сетевыми ресурсами, необходимо создать учетную запись. Рассмот рим, как настроить доменные учетные записи, подключенные к почтовым ящикам, и доменные учетные записи, подключенные к почте. Если пользователю требуется отправлять и принимать электронную почту, то необходимо создать учетную "запись, подключенную к почтовому ящику. В противном случае достаточно учетной записи, подключенной к почте.
Понятия имен входа и паролей
Прежде чем создавать доменную учетную запись, следует по
думать о новом имени входа и пароле. Все доменные
учетные записи распознаются по имени входа. Оно может
совпадать (хотя это не обязательно) с адресом электронной
почты пользователя. В доменах Windows имя входа состоит
из двух частей:
- User name (Имя пользователя) - текстовая метка учетной записи;
- User domain (Домен пользователя) - домен, в котором находится учетная запись пользователя.
Полное имя входа Windows для пользователя williams в
домене adatum.com [email protected].
С учетными записями
пользователей могут быть связаны пароли и открытые
сертификаты (public certificates). Пароль - это символьная
строка для подтверждения прав доступа учетной записи.
Открытый сертификат представляет собой комби-Нацию двух
ключей (открытого и секретного) для идентификации
пользователя. Вход с применением пароля осуществляется в
диалоговом режиме, вход с рименением открытого сертификата - с помощью смарт-карты и устройства считывания
смарт-карт.
Хотя при описании прав и разрешений Windows выводит на экран имена пользователей, ключевыми идентификаторами учетных записей являются идентификаторы безопасности (security identifiers, SID). SID - это уникальный идентификатор, который генерируется при создании учетной записи. Он состоит из доменного префикса идентификатора безопасности и уникального связанного идентификатора. Эти идентификаторы используются Windows для отслеживания учетных записей независимо от имен пользователей. SID выполняют множество функций; две наиболее важные из которых - возможность легко изменять имена пользователей, а также удалять учетные записи без опасения, что некто посторонний получит несанкционированный доступ к ресурсам просто путем воссоздания учетной записи.
При изменении имени пользователя вы даете указание Windows сопоставить конкретный SID новому имени. При удалении записи вы указываете Windows, что конкретный SID впредь недействителен. Если после этого будет даже создана учетная запись с тем же именем пользователя, новая учетная запись не получит те же права и разрешения, что предыдущая, так как новая учетная запись будет иметь новый SID.
Создание доменных учетных записей с почтовыми ящиками и
без них
Вообще говоря, существует два способа создания новых доменных учетных записей.
- Создание новой учетной записи. Щелкните правой кнопкой контейнер, в который вы хотите поместить учетную запись пользователя, укажите New (Создать) и выберите User (Пользователь). Запустится мастер New Object - User (Новый объект - Пользователь), показанный на рис. 5-5. При создании новой учетной записи применяются системные параметры настройки по умолчанию.
- Создание новой учетной записи на базе существующей учетной записи. Откройте Active Directory Users and Computers, щелкните правой кнопкой учетную запись пользователя, которую вы хотите копировать, и выберите Сору (Копировать). Запустится мастер Copy Object - User
Рис. 5-5. Настройка отображаемого имени и регистрационного
имени пользователя с помощью диалогового окна New Object -
User
(Копировать объект - Пользователь), окно которого очень
похоже на диалоговое окно New User (Новый пользователь). Однако при создании копии учетной записи большинство значений параметров окружения новой учетной
записи берутся из существующей учетной записи. К сохраняемым параметрам относятся: участие в группах учетных
записей, значения параметров профиля, права соединения
через телефонную линию, срок окончания действия учетной записи, разрешенное время входа в систему и разрешенные рабочие станции для входа в систему.
Вот как создать новую учетную запись пользователя посредством мастера New Object - User или Copy Object - User.
1. На первой странице задается выводимое имя и имя входа
пользователя (рис. 5-5). Ведите имя и фамилию пользователя в соответствующие поля. Они необходимы для формирования параметра Full Name (Полное имя), которое
выводится на экране как имя пользователя.
2. При необходимости внесите изменения в поле Full Name
(Полное имя). Например, можно ввести имя в формате <фамилия><имя><второй инициал> или в формате <имя>
<второй инициал><фамшия>. Длина записи в Full Name
(Полное имя) - не более 64 символов.
3. В поле User Logon Name (Имя входа пользователя) введи
те имя входа пользователя. В раскрывающемся списке выберите домен, с которым должна быть связана учетная запись. В результате генерируется полное имя входа.
4. Первые 20 символов имени входа образуют имя входа для
операционных систем более ранних, чем Windows 2000. Оно
должно быть уникальным в пределах своего домена. В случае необходимости измените имя входа для операционных
систем более ранних, чем Windows 2000.
5. Щелкните Next (Далее). Настройте параметры пароля
пользователя (рис. 5-6). Для этого диалогового окна возможны следующие варианты выбора.
Рис. 5-6. Настройка пароля пользователя
- Password (Пароль). Пароль для данной учетной записи. Он должен отвечать условиям вашей парольной политики.
- Confirm Password (Подтверждение). Поле для проверки того, что вы правильно назначили пароль учетной записи. Для подтверждения пароля просто наберите егоеще раз.
- User must change password at next logon (Требовать смену пароля при следующем входе в систему). Если помечен этот флажок, пользователь должен изменить пароль при входе в систему. Этот флажок установлен по умолчанию для всех новых пользователей.
- User cannot change password (Запретить смену пароля пользователем). Если установлен этот флажок, пользователь не может изменить пароль.
- Password never expires (Срок действия пароля неограничен). Если помечен этот флажок, то пароль учетной записи имеет неограниченный срок действия. Это значение параметра имеет приоритет над доменной политикой учетных записей. Вообще говоря, задавать неограниченный срок действия пароля - это не очень хорошая идея, так как при этом снижается безопасность, которая является важным фактором.
- Account is disabled (Отключить учетную запись). Если установлен этот флажок, то учетная запись заблокирована и ее не удастся использовать. Этот флажок применяется для временного запрета использования учетной записи.
6. Щелкните Next (Далее). Если вы надлежащим образом на
строили на этом компьютере расширения Exchange, то по
лучите возможность предоставить учетной записи почтовый ящик. Если вы не хоитите предоставлять пользователю
почтового ящика, сбросьте флажок Create an Exchange
mailbox (Создать почтовый ящик Exchange) и пропустите
пункты 7 и 8.
7. Имени входа присваивается псевдоним Exchange по умолчанию (рис. 5-7), чтобы изменить его, введите новое значение вручную. Псевдоним Exchange необходим для задания адреса электронной почты пользователя.
ПримечаниеНа практике значение по умолчанию псевдонима Exchange присваивается имени входа для операционных систем более ранних, чем Windows 2000; как правило,
оно совпадает с именем входа пользователя. Однако если
вы измените имя входа для операционных систем более
ранних, чем Windows 2000, то значение по умолчанию псевдонима Exchange будет присвоено веденному вами значению.
Рис. 5-7. Настройка почтового ящика Exchange пользователя
8. Если Information Store (Хранилище данных) настроено на
работу с несколькими серверами Exchange, в раскрывающемся списке серверов необходимо указать сервер, на котором должен храниться почтовый ящик. Кроме того, если
имеется несколько хранилищ почтовых ящиков, то следу
ет задать хранилище для почтового ящика - в раскрывающемся списке Mailbox Store (Хранилище очтовых ящиков).
9. Щелкните Next (Далее) и Finish (Готово), чтобы завершить
создание учетной записи. Если вы создали учетную запись,
подключенную к почтовому ящику, то автоматически настраиваются следующие адреса электронной почты: SMTP, X.400 и связанные с коннектором. Эти адреса вы сможете впоследствии добавлять, изменять и удалять. Кроме того, вы сможете задавать дополнительные адреса, имеющие эти же типы. Например, у Синди Джонсон - администратора отдела
кадров компании - два адреса SMTP: [email protected] и
[email protected].
ПримечаниеЕсли вы настроили коннекторы Exchange, то
адреса по умолчанию создаются и для этих них. В состав коннекторов для Exchange 2000 входят коннектор для Lotus
Notes и коннектор для Novell GroupWise.
10. Создание учетной записи пользователя не является финальной операцией. На данном этапе вы можете:
- добавить подробную контактную информацию о пользователе, например номер рабочего телефона и должность;
- внести пользователя в группу безопасности и в группу рассылки;
- связать учетную запись с дополнительными адресами электронной почты;
- включить или отключить функции Exchange для учетной записи;
- изменить для пользователя параметры настройки, заданные по умолчанию, в отношении вариантов доставки, предельного объема памяти и ограничений, налагаемых на учетную запись.
Настройка контактной информации для учетной записи пользователя
Вот как задается контактная информация для учетной записи
пользователя.
1. В Active Directory Users and Computers дважды щелкните
имя пользователя. Откроется диалоговое окно Properties
(Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Общая контактная
информация задается с помощью следующих полей:
- First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
- Display Name (Выводимое имя) задает выводимое имя пользователя, которое отображается в сеансах входа в систему и в Active Directory;
- Description (Описание) задает описание пользователя;
- Office (Комната) задает местонахождение пользователя в офисе;
- Telephone Number (Номер телефона) задает основной номер рабочего телефона пользователя. Если пользователь имеет другие номера рабочих телефонов, которые вы хотите внести в запись, щелкните Other (Другой), а затем с помощью диалогового окна Phone Number (Others) [Номер телефона (прочие)] введите дополнительные номера телефонов;
- E-Mail (Эл. почта) задает служебный адрес электронной почты пользователя;
- Web Page (Веб-страница) задает URL начальной Веб страницы пользователя - в Интернете или в локальной корпоративной сети. Если у пользователя есть другие Веб-страницы, которые вы хотите внести в запись, щелкните Other (Другой), а затем посредством диалогового окна Web Page Address (Others) [Адрес страницы в Интернете (прочие)] введите дополнительные адреса Веб-страниц.
Совет Обязательно заполните поля E-Mail (Эл. почта) и
Web Page (Веб-страница), если намереваетесь использовать
команды Send Mail (Отправить почту) и Open Home Page
(Открыть домашнюю страницу) консоли Active Directory
Users and Computers.
3. Щелкните вкладку Address (Адрес) (рис. 5-8). В полях на
этой вкладке задайте служебный или домашний почтовый
адрес пользователя. Обычно указывают служебный адрес
пользователя. Это позволит вам иметь данные о местонахождении и почтовых адресах пользователей, находящихся в различных офисах.
ПримечаниеПрежде чем вводить информацию частного
характера, например домашний адрес и домашний телефон
пользователя, необходимо обсудить этот вопрос с отделом
кадров и юридическим отделом. Возможно, на это следует
получить согласие пользователя.
4. Щелкните вкладку Telephones (Телефоны) и наберите, если требуется, основные контактные телефоны пользователя:
- Home Telephone (Домашний);
- Pager (Пейджер);
- Mobile (Мобильный);
- FAX (Факс);
- IP Phone (IP-телефон).
5. Для каждого типа телефона вы вправе задать и другие номера. Щелкните соответствующую кнопку Other (Другой), а затем в диалоговом окне введите дополнительные номера телефонов.
Рис. 5-8. На вкладке Address (Адрес) задайте рабочий или
домашний адрес пользователя
6. Щелкните вкладку Organization (Организация). Введите,
если требуется, должность пользователя, отдел и название
компании.
7. Чтобы указать руководителя данного пользователя, щелкните Change (Изменить). Если вы сделали это, то в учетной записи руководителя пользователь выведен в качестве
непосредственного подчиненного.
8. Щелкните Apply (Применить) или ОК, чтобы принять внесенные изменения.
Изменение псевдонима Exchange и выводимого имени
пользователя
Каждая учетная запись пользователя, подключенного к почтовому ящику, имеет связанные с ней псевдоним Exchange, имя,
фамилию и выводимое имя. Псевдоним Exchange определяет
адреса электронной почты SMTP и Х.400. Имя входа представляет собой псевдоним SMTP по умолчанию. Выводимое имя
определяет адрес Х,400.
В случае изменения информации об имени можно создать
новые адреса электронной почты и задать их в качестве адресов по умолчанию для SMTP, X.400 и коннекторов Exchange.
При этом старые адреса электронной почты для учетной записи не удаляются, а остаются в качестве альтернативных. Процедура изменения или удаления этих дополнительных адресов
электронной почты рассмотрены в этой главе, в разделе «Добавление, изменение и удаление адресов электронной почты».
Вот как изменить псевдоним Exchange и выводимое имя
учетной записи пользователя.
1. В Active Directory Users and Computers, дважды щелкните
имя пользователя. Откроется диалоговое окно Properties
(Свойства) учетной записи.
2. Щелкните вкладку General (Общие). Для изменения имени воспользуйтесь следующими полями:
в First Name, Initials, Last Name (Имя, Инициалы, Фамилия) задают полное имя пользователя;
в Display Name (Выводимое имя) указывают имя пользователя, которое отображается в сеансах входа в систему и в Active Directory.
3. Щелкните вкладку Exchange General, а затем введите новый псевдоним Exchange в поле Alias (Псевдоним).
4. Щелкните ОК.
Добавление, изменение и удаление адресов
электронной почты
Когда вы создаете учетную запись пользователя, подключенного к почтовому ящику, то создаются адреса электронной почты по умолчанию для SMTP, X.400 и настроенных коннекторов. Каждый раз, когда вы обновляете выводимое имя пользователя или псевдоним Exchange, можно создать новые адреса электронной почты по умолчанию. При этом старые адреса электронной почты не удаляются, а остаются в качестве альтернативных адресов учетной записи.
Вот как добавить, изменить или удалить адрес электронной почты.
1. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail
Addresses (Адреса электронной почты).
2. Чтобы добавить новый адрес электронной почты, щелкните New (Новый). В диалоговом окне New E-Mail Address
(Новый адрес электронной почты) выберите тип адреса электронной почты и щелкните ОК. Заполните поля диалогового окна Properties (Свойства) и снова щелкните ОК.
Совет Для стандартных адресов электронной почты Интернета используйте тип адреса SMTP. Другие типы адресов
электронной почты подробно рассмотрены в главе 13.
3. Чтобы изменить существующий адрес электронной почты, дважды щелкните запись адреса и измените параметры в
диалоговом окне Properties (Свойства). Щелкните ОК.
4. Чтобы удалить адрес электронной почты, выберите его и
щелкните Remove (Удалить). В ответ на предложение подтвердить операцию удаления щелкните Yes (Да).
ПримечаниеНельзя удалить адрес SMTP по умолчанию.
Exchange Server использует адрес SMTP для передачи и
приема сообщений.
Настройка адреса Reply-To (адреса отправителя) по умолчанию
Для каждого типа адреса электронной почты существует один
адрес отправителя по умолчанию. Вот как изменить адрес отправителя по умолчанию.
1. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active Directory Users and Computers. Затем щелкните вкладку E-Mail
Addresses (Адреса электронной почты).
2. Текущие адреса электронной почты по умолчанию выделены жирным шрифтом. Адреса электронной почты, которые не выделены, применяются только в качестве альтернативных адресов для доставки сообщений в текущий почтовый ящик.
3. Чтобы изменить текущие значения по умолчанию, выберите желаемый не выделенный адрес электронной почты и
щелкните Set As Primary (Задать в качестве основного).
Блокировка и разблокировка подключения к почте Exchange Server
Пользователи и контакты, подключенные к почте, в Exchange Server определяются как специальные получатели. Они имеют псевдоним Exchange и внешний адрес электронной почты.
Вот как подключить пользователя или контакт к почте.
1. В Active Directory Users and Computers щелкните правой
кнопкой соответствующую запись, затем выберите Exchange
Tasks (Задачи Exchange), чтобы запустить мастер Exchange
Task Wizard.
2. Если открывается страница Welcome, щелкните Next (Далее). Чтобы впоследствии пропускать эту страницу, стоит
выбрать Do Not Show This Welcome Page Again.
3. В Available Tasks (Доступные задачи) укажите Establish E-Mail
Addresses (Установить адреса электронной почты) и снова
щелкните Next (Далее).
4. Введите псевдоним Exchange для пользователя или контакта и щелкните Modify (Изменить).
5. Откроется диалоговое окно New E-Mail Address (Новый
адрес электронной почты). Наберите тип адреса электронной почты и щелкните ОК.
6. Заполните поля диалогового окна Properties (Свойства)
адреса электронной почты и снова щелкните ОК.
7. На странице мастера Exchange Task щелкните Next (Далее),
а затем - Finish (Готово).
Если вы впоследствии захотите удалить псевдоним Exchange и адреса электронной почты, связанные с пользователем или
контактом, то вот как это сделать.
1. В Active Directory Users and Computers дважды щелкните
нужную запись, затем выберите Exchange Tasks (Задачи
Exchange), чтобы запустить мастер Exchange Task Wizard.
2. Если открывается страница Welcome (Приветствие), щел
кните Next (Далее). Чтобы в последующем пропускать эту
страницу, можно выбрать Do Not Show This Welcome Page
Again.
3. В Available Tasks (Доступные задачи) выберите Delete E-Mail
Addresses (Удалить адреса электронной почты) и щелкните
Next (Далее).
4. Щелкните Next (Далее), а затем - Finish (Готово).
Создание учетной записи пользователя для приема и
переадресации почты
Специальные получатели, такие, как пользователи и контакты, подключенные к почте, обычно не получают сообщений от
пользователей за пределами организации, так как специальный
получатель не имеет адреса электронной почты, который соответствует конкретному почтовому ящику в вашей организации. Однако иногда возникает потребность в том, чтобы внешние пользователи, приложения или почтовые системы имели возможность отправить сообщение на адрес внутри вашей
организации, а затем Exchange переадресовал это сообщение на
внешний почтовый ящик.
Совет В своей организации я создал почтовые ящики переадресации для пейджерных предупреждений. Это простое
решение позволяет менеджерам, а также системам мониторинга в организации легко и быстро передавать страницы
текста специалистам ИТ. Для этого я создал контакт, подключенный к почте, для каждого адреса электронной почты пейджера, например [email protected], а затем создал
почтовый ящик, который переадресует сообщения специаль
ному получателю. В общем случае выводимое имя контакта,
подключенного к почте, имеет вид «Alert User Name», (Предупреждение Имя пользователя), например Alert William Stanek.
Выводимое имя и адрес электронной почты почтового ящика
имеют вид Z LastName и [email protected], например Z Stanek и [email protected] соответственно. Затем
я спрятал почтовый ящик, чтобы он не отображался в списке
глобальных адресов или в других списках адресов и чтобы
пользователи видели только почтовый ящик Alert William
Stanek.
Вот как создать учетную запись пользователя для приема и переадресации почты.
1. В Active Directory Users and Computers создайте контакт
для пользователя. Присвойте контакту имя X - Имя_Пользователя, например X - William Stanek. Убедитесь в том,
что для контакта существует внешний адрес электронной
почты, относящийся к адресу пользователя в Интернете.
2. Создайте учетную запись пользователя в домене. Присвойте учетной записи подходящее выводимое имя, например
William Stanek, Создайте почтовый ящик Exchange для
учетной записи, но не присваивайте никаких специальных
прав. Вы можете ограничить права учетной записи так, что
бы пользователь не имел возможности зарегистрироваться
ни на одном из серверов в домене.
3. Откройте диалоговое окно Properties (Свойства) учетной
записи, дважды щелкнув имя пользователя в Active
Directory Users and Computers. Щелкните вкладку
Exchange General (Общие).
4. Щелкните Delivery Options (Варианты доставки).
5. В диалоговом окне Delivery Options щелкните Forward To
(Переадресовать), а затем щелкните Modify (Изменить).
6. В диалоговом окне Select Recipient (Выбрать получателя)
выберите контакт, подключенный к почте, созданный ранее,
и щелкните ОК. Теперь вы можете применять учетную запись пользователя для переадресации сообщений на внешний почтовый ящик.
Изменение параметров сервисов беспроводной связи и
протоколов пользователя
Когда вы создаете учетные записи пользователей с почтовыми ящиками, доступные сервисы беспроводной связи и протоколы определяются глобальными параметрами настройки. Эти параметры в любое время разрешается изменять для отдельных пользователей.
1. В Active Directory Users and Cdmputers дважды щелкните
нужную запись, затем выберите вкладку Exchange Features.
Настройте для пользователя сервисы беспроводной связи
и протоколы (рис. 5-9):
Outlook Mobile Access предоставляет пользователю
возможность просматривать почтовый ящик с помощью
беспроводного устройства;
User Initiated Synchronization позволяет синхронизировать почтовый ящик с беспроводными устройствами;
Рис. 5-9. С помощью мастера Exchange Task Wizard можно
изменить параметры сервисов беспроводной связи и протоколов
пользователя
Up-To-Date Notifications обеспечивает постоянное обновление данных на беспроводном устройстве. Этот вариант доступен только при условии, что выбран вариант User Initiated Synchronization;
Outlook Web Access предоставляет возможность доступа к почтовому ящику с помощью Web-браузера;
РОРЗ открывает доступ к почтовому ящику посредством почтового клиента РОРЗ;
IMAP4 предоставляет пользователю возможность доступа к почтовому ящику с помощью почтового клиента
IMAP4.
2. Выберите параметр, затем щелкните Enable (Включить)
или Disable (Отключить) в зависимости от обстоятельств.
Если требуется изменить параметры протокола, выберите
протокол и щелкните Properties (Свойства).
3. Щелкните ОК.
Переименование учетных записей пользователей
Вот как переименовать учетную запись пользователя в Active
Directory Users and Computers.
1. Щелкните правой кнопкой имя учетной записи и выберите Rename (Переименовать). В ответ на приглашение введите новое имя учетной записи.
2. При переименовании учетной записи вы создаете новую
метку учетной записи. Переименование не влияет на идентификатор защиты (SID), который необходим для идентификации, отслеживания и обработки учетных записей не
зависимо от имен пользователей.
Примечание Распространенной причиной изменения имени учетной записи является замужество. Например, если Джуди Лью (JUDYL) выходит замуж, она может изменить свое имя пользователя на Джуди Кэтлер (JUDYK). После изменения имени пользователя JUDYL на JUDYK все связанные с ним права и разрешения будут назначены новому имени.
Например, при просмотре разрешений к файлу, к которому раньше имела доступ JUDYL, теперь будет иметь доступ JUDYK (причем имени JUDYL в списке не окажется).
Удаление учетных записей пользователей и контактов
При удалении учетная запись устраняется навсегда. После
удаления учетной записи вам не удастся создать учетную запись с тем же именем и теми же разрешениями, какие имела
исходная запись, так как идентификатор защиты (SID) новой
записи не будет совпадать с идентификатором защиты старой
записи. Это не означает, что после удаления записи вы не можете создать учетную запись с тем же именем. Например, человек уволился из компании, а через некоторое время вернулся. Вы вправе создать учетную запись с тем же именем, что
и раньше, но вам придется заново определить для нее разрешения.
Поскольку удаление встроенных учетных записей может
иметь далеко идущие последствия для домена, Windows не
допускает их удаления. Вы вправе удалить другие типы учетных записей, выбрав их и нажав клавишу Del или щелкнув
правой кнопкой и выбрав Delete (Удалить). Появится приглашение, показанное на рис. 5-10. Если вы хотите удалить адрес
электронной почты пользователя, когда флажок для удаления
почтового ящика установлен, щелкните Yes (Да). Если вы щелкните No (Нет), то Windows не удалит учетную запись.
Рис. 5-10. При удалении учетной записи пользователя
удаляется также и адрес электронной почты пользователя;
устанавливается также флажок удаления связанного с адресом
почтового ящика. Подтвердите операцию, щелкнув Yes (Да)
Примечание Защита Exchange основана на доменной
аутентификации, поэтому вы не можете иметь почтовый
ящик без учетной записи. Если вам все же необходим по
чтовый ящик для учетной записи, которую вы хотите удалить, то следует не удалять ее, а отключить. В результате
отключения учетной записи пользователю не удастся зарегистрироваться в системе, однако вы при необходимости
получите доступ к почтовому ящику. Чтобы отключить учетную запись, щелкните правой кнопкой эту учетную запись
в Active Directory Users and Computers и выберите Disable
Account (Отключить учетную запись).
