Hei alle sammen, jeg vil gjerne starte en serie artikler om Active Directory med Windows Server 2008R2 som eksempel. I det overveldende flertallet av tilfellene foretrekker systemadministratorer å bruke snapin-modulen Active Directory-brukere og datamaskiner for å lage grunnleggende sikkerhetsprinsipper, som legges til mappen Administrative Tools umiddelbart etter installasjon av Active Directory Domain Services-rollen og promotering av serveren til en domenekontroller. Denne metoden er mest praktisk fordi den bruker et grafisk brukergrensesnitt for å lage sikkerhetsprinsipper, og veiviseren for opprettelse av brukerkonto er veldig enkel å bruke. Ulempen med denne metoden er at når du oppretter en brukerkonto, kan du ikke umiddelbart angi de fleste attributtene, og du må legge til de nødvendige attributtene ved å redigere kontoen.
Følg disse trinnene for å opprette en egendefinert konto:
- Åpne snapin-modulen Active Directory-brukere og datamaskiner. For å gjøre dette må du åpne kontrollpanelet, åpne delen "System og sikkerhet" i den, deretter "Administrative verktøy" og åpne snapin-modulen "Active Directory-brukere og datamaskiner" i vinduet som vises. Du kan også bruke tastekombinasjonen + R for å åpne Kjør-dialogboksen og i Kjør-dialogboksen, skriv inn dsa.msc i Åpne-feltet, og klikk deretter på OK-knappen;
- I snapin-treet utvider du domenenoden din og navigerer til organisasjonsenheten der brukerkontoen skal opprettes. Det anbefales at du oppretter flere OU-er for å opprette brukerkontoer, og deretter legger til brukerkontoer til andre OU-er enn standard Users OU. Høyreklikk på denne enheten og velg Ny fra hurtigmenyen og deretter Bruker, som vist i følgende illustrasjon:
I dialogboksen Nytt objekt - Bruker som vises, skriv inn følgende informasjon:
- I "Navn"-feltet skriver du inn brukernavnet;
- I feltet "Initialer" skriver du inn initialene hans (oftest brukes ikke initialer);
- I feltet "Etternavn" skriver du inn etternavnet til brukeren som skal opprettes;
- Feltet Fullt navn brukes til å lage attributter for det nyopprettede objektet, for eksempel Common Name CN, og for å vise navneegenskaper. Dette feltet må være unikt i hele domenet, og fylles ut automatisk, og du bør kun endre det ved behov;
- Feltet Brukerpålogging er obligatorisk og er for brukerens domenepålogging. Her må du skrive inn brukernavnet og fra rullegardinlisten velge UPN-suffikset, som vil være plassert etter @-symbolet;
- Feltet "Brukerpålogging (Pre-Windows 2000)" er ment for pålogging for systemer tidligere enn Windows 2000-operativsystemet. denne attributten. Les om hvordan du legger til et patronymfelt her. Etter å ha fylt ut alle nødvendige felter, klikk på "Neste"-knappen:
På neste side av veiviseren for å opprette en brukerkonto, må du skrive inn det opprinnelige brukerpassordet i "Passord"-feltet og bekrefte det i "Bekreftelse"-feltet. I tillegg kan du velge et attributt som indikerer at første gang en bruker logger på systemet, må brukeren uavhengig endre passordet for kontoen sin. Det er best å bruke dette alternativet sammen med din lokale sikkerhetspolicy for "Passordpolicy" for å lage sterke passord for brukerne dine. Dessuten, ved å merke av i boksen på alternativet "Forhindre brukeren fra å endre passordet" gir du brukeren passordet ditt og forbyr å endre det. Hvis du velger alternativet "Passord utløper aldri", vil passordet for brukerkontoen aldri utløpe, og det vil ikke være nødvendig å endre det med jevne mellomrom. Hvis du merker av for "Deaktiver konto", vil ikke denne kontoen være ment for videre arbeid, og en bruker med en slik konto vil ikke kunne logge på før den er aktivert. Dette alternativet, som de fleste av attributtene, vil bli diskutert i neste del av denne artikkelen. Etter å ha valgt alle attributtene, klikk på "Neste"-knappen. Denne veivisersiden er avbildet i følgende illustrasjon:
Som vi ser at brukeren vår er opprettet, la oss nå fylle ut informasjonen om ham, husk at jo mer nøyaktig og fullstendig du fyller ut informasjonen om ham, jo lettere blir det for deg senere. La oss dobbeltklikke på ønsket bruker.
Generell. Denne fanen er beregnet på å fylle ut individuelle brukerdefinerte attributter. Disse attributtene inkluderer brukerens for- og etternavn, en kort beskrivelse av kontoen, brukerens kontakttelefonnummer, romnummer, deres e-postkonto og nettsted. På grunn av at denne informasjonen er individuell for hver enkelt bruker, blir ikke dataene som fylles ut på denne fanen kopiert;
Adresse. På gjeldende fane kan du fylle ut postkasse, by, stat, postnummer og bostedsland for brukere som skal opprettes basert på denne malen. Siden hver bruker vanligvis ikke har de samme gatenavnene, kan ikke dataene fra dette feltet kopieres;
Regnskap. I denne fanen kan du spesifisere det nøyaktige tidspunktet for brukerpålogging, datamaskiner som brukere vil få tilgang til, kontoparametere som lagring av passord, krypteringstyper osv., samt utløpsdatoen for kontoen;
Profil. Den gjeldende fanen lar deg spesifisere banen til profilen, påloggingsskriptet, den lokale banen til hjemmemappen, samt nettverksstasjoner hvor kontoens hjemmemappe skal ligge;
Organisasjon. På denne fanen kan du spesifisere stillingen til ansatte, avdelingen de jobber i, navnet på organisasjonen, samt navnet på avdelingslederen;
Gruppemedlemmer. Hovedgruppen og gruppemedlemskap er oppført her.
Og faneorganisasjonen, hvor du kan sette tilhørighet til avdeling og bedrift.
Bruken av brukerkontoer gjør det lettere for flere personer å jobbe på samme datamaskin. Hver bruker kan ha en egen konto med sine egne alternativer, for eksempel skrivebordsbakgrunn og skjermsparer. Kontoer bestemmer hvilke filer og mapper brukere har tilgang til og hvilke endringer de kan gjøre på datamaskinen. For de fleste brukere brukes vanlige kontoer.
Domener, arbeidsgrupper og hjemmegrupper representerer forskjellige metoder for å organisere datamaskiner i et nettverk. Hovedforskjellen deres er hvordan datamaskiner og andre ressurser administreres.
Windows-datamaskiner på nettverket må være en del av en arbeidsgruppe eller domene. Windows-datamaskiner på et hjemmenettverk kan også være en del av en hjemmegruppe, men dette er ikke nødvendig.
Datamaskiner på hjemmenettverk er vanligvis en del av arbeidsgrupper og muligens en hjemmegruppe, mens datamaskiner på nettverk på arbeidsplasser er en del av domener. Trinnene du må ta varierer avhengig av om datamaskinen er medlem av et domene eller en arbeidsgruppe.
I arbeidsgruppen:
· Alle datamaskiner er jevnaldrende på nettverket; ingen datamaskin kan kontrollere en annen.
· Hver datamaskin har flere brukerkontoer. For å logge på en datamaskin som tilhører en arbeidsgruppe, må du ha en konto på den datamaskinen.
· En arbeidsgruppe har vanligvis ikke mer enn tjue datamaskiner.
· Arbeidsgruppen er ikke passordbeskyttet.
· Alle datamaskiner må være på samme lokale nettverk eller subnett.
I hjemmegruppen:
· Datamaskiner på et hjemmenettverk må tilhøre en arbeidsgruppe, men de kan også tilhøre en hjemmegruppe. Å dele bilder, musikk, videoer, dokumenter og skrivere med andre er mye enklere med en hjemmegruppe.
· Hjemmegruppen er passordbeskyttet, men den legges kun inn én gang når du legger til en datamaskin i hjemmegruppen.
I domenet:
· En eller flere datamaskiner er servere. Nettverksadministratorer bruker servere til å kontrollere sikkerhet og tillatelser for alle datamaskiner i domenet. Dette gjør det enkelt å endre innstillinger ettersom endringer gjøres automatisk for alle datamaskiner. Domenebrukere må oppgi et passord eller annen legitimasjon hver gang de får tilgang til domenet.
· Hvis brukeren har en konto i domenet, kan han logge på hvilken som helst datamaskin. Dette krever ikke en konto på selve datamaskinen.
· Rettighetene til å endre datamaskininnstillinger kan være begrenset fordi nettverksadministratorer vil være sikre på at datamaskininnstillingene er konsistente.
· Det kan være tusenvis av datamaskiner i et domene.
· Datamaskiner kan tilhøre forskjellige lokale nettverk.
Bruksanvisning
Ved å opprette et hjemmenettverk kan du organisere tilgang til en nettverksskriver for alle datamaskiner i arbeidsgruppen. For å gjøre dette, må du konfigurere dem tilsvarende, nemlig angi ip-adresser, spesifisere datamaskinnavn og legge dem til en gruppe. Alle nødvendige innstillinger, verdiene du vil endre, er plassert i systemmappen "Kontrollpanel".
Først av alt må du navngi datamaskinene og definere arbeidsgruppen deres. For å gjøre dette, gå til skrivebordet og høyreklikk på "Min datamaskin"-ikonet. I kontekstmenyen som åpnes, velg "Egenskaper"-elementet. Du vil se appleten "Systemegenskaper", for en rask samtale som du kan bruke tastatursnarveien Win + Pause Break.
I denne appleten går du til kategorien Datamaskinnavn. Det er tilrådelig å lage en liste over datamaskiner der du spesifiserer ikke bare navnene deres, men også ip-adressene. Bruk denne listen til å navngi hver datamaskin. For å endre navnet, klikk på Endre-knappen nederst i appleten. I vinduet som åpnes erstatter du det gamle navnet med det som nylig er lagt til i listen.
Også i denne fanen kan du angi navnet på arbeidsgruppen. Standard er Workgroup. Det anbefales å erstatte det med et enklere navn som Net eller Connect. Klikk på "OK"-knappen for å lagre endringene. Et lite vindu vil dukke opp foran deg som varsler deg om å gå inn i en ny arbeidsgruppe. Nederst i vinduet "Systemegenskaper" vises et varsel om behovet for å starte systemet på nytt, men dette er ennå ikke verdt det, så etter å ha klikket på "OK" -knappen, velg "Nei".
Nå gjenstår det å tildele hver datamaskin sin egen ip-adresse slik at rekkefølgen på deres bestemmelse i nettverket ikke blir forstyrret. Klikk på "Start"-menyen, velg "Kontrollpanel". I mappen som åpnes, dobbeltklikker du på "Nettverkstilkoblinger"-ikonet, høyreklikker på elementet "Local Area Connection" og velger "Properties".
Høyreklikk på linjen "Protokoll (TCP / IP)" og velg "Egenskaper". Gå til "Bruk følgende IP-adresse"-blokken og skriv inn en individuell verdi for hver datamaskin med en forskjell på én enhet. For eksempel "Dmitry" - 192.168.1.3; "Paul" - 192.168.1.4, etc. Det skal bemerkes at i 192.168.1.x-lenken anbefales det å begynne å telle fra nummer 3, siden de to første verdiene brukes av ruteren og modemet.
I alle vinduer klikker du på "OK"-knappene og svarer positivt eller negativt på omstartsforespørselen hvis det er ulagrede dokumenter. Start deretter deg selv på nytt ved å bruke startmenyen.
Denne delen diskuterer metodene for å vedlikeholde brukerkontoer og funksjonene som tilbys
denne utvekslingen.
Opprett brukerkontoer koblet til postbokser og brukere koblet til post
For hver bruker som ønsker å jobbe med nettverksressurser, må du opprette en konto. La oss ta en titt på hvordan du setter opp domenekontoer koblet til postbokser og domenekontoer koblet til e-post. Hvis en bruker har behov for å sende og motta e-post, må han opprette en konto "koblet til postkassen. Ellers er det tilstrekkelig med en konto knyttet til post.
Påloggings- og passordkonsepter
Før du oppretter en domenekonto, bør du tenke på et nytt brukernavn og passord. Alle domener
kontoer gjenkjennes ved pålogging. Det kan (selv om det ikke trenger) være det samme som e-postadressen.
brukerens e-post. I Windows-domener har en pålogging to deler:
- Brukernavn - tekstetikett for kontoen;
- Brukerdomene - Domenet der brukerkontoen ligger.
Fullt kvalifisert Windows-pålogging for brukeren Williams i adatum.com-domenet [e-postbeskyttet] Med kontoer
brukere kan ha passord og offentlige sertifikater tilknyttet. Passordet er en tegnstreng for å bekrefte tilgangsrettighetene til kontoen. Et offentlig sertifikat er en kombinasjon av to nøkler (offentlig og privat) for å identifisere en bruker. Passordpålogginger er dialogbaserte, offentlige sertifikatpålogginger utføres ved hjelp av smartkort og smartkortleser.
Selv om Windows viser brukernavn når de beskriver rettigheter og tillatelser, er sikkerhetsidentifikatorer (SID-er) nøkkelkontoidentifikatorer. SID er en unik identifikator som genereres når kontoen opprettes. Den består av et domeneprefiks SID og en unik assosiert identifikator. Disse identifikatorene brukes av Windows for å holde styr på kontoer uavhengig av brukernavn. SID-er har mange funksjoner; de to viktigste er muligheten til enkelt å endre brukernavn og også slette kontoer uten frykt for at noen andre får uautorisert tilgang til ressurser bare ved å gjenopprette kontoen.
Når du endrer brukernavnet ditt, ber du Windows om å tilordne en bestemt SID til det nye navnet. Ved å slette oppføringen forteller du Windows at den aktuelle SID-en ikke lenger er gyldig. Hvis det etter det til og med opprettes en konto med samme brukernavn, vil ikke den nye kontoen motta de samme rettighetene og tillatelsene som den forrige, siden den nye kontoen vil ha en ny SID.
Opprette domenekontoer med og uten postbokser
Generelt sett er det to måter å opprette nye domenekontoer på.
- Opprette en ny konto. Høyreklikk beholderen der du vil plassere brukerkontoen, pek på Ny og velg Bruker. Dette vil starte New Object - User-veiviseren, vist i fig. 5-5. Når du oppretter en ny konto, brukes systemstandardene.
- Opprett en ny konto basert på en eksisterende konto. Åpne Active Directory-brukere og datamaskiner, høyreklikk på brukerkontoen du vil kopiere, og velg Coru (Kopier). Kopier objekt - brukerveiviseren vil starte
Ris. 5-5. Stille inn visningsnavn og registrering
brukernavn ved å bruke dialogboksen Nytt objekt -
Bruker
(Kopier objekt - Bruker), som er veldig lik dialogboksen Ny bruker. Men når du oppretter en kopi av en konto, blir de fleste verdiene for miljøinnstillingene til den nye kontoen tatt fra den eksisterende kontoen. De lagrede parameterne inkluderer: deltakelse i grupper av kontoer, verdier for profilparametere, tilkoblingsrettigheter
telefonlinje, kontoutløpsdato, tillatte påloggingstider og tillatte arbeidsstasjoner å logge på.
Slik oppretter du en ny brukerkonto ved å bruke veiviseren Nytt objekt - Bruker eller Kopier objekt - Bruker.
1. På den første siden er visningsnavnet og brukernavnet angitt (Figur 5-5). Skriv inn brukerens for- og etternavn i de aktuelle feltene. De må danne parameteren Fullt navn, som vises på skjermen som brukerens navn.
2. Endre feltet Fullt navn om nødvendig. Du kan for eksempel skrive inn et navn i formatet<фамилия><имя><второй инициал>eller i formatet<имя>
<второй инициал><фамшия>... Fullt navn er maksimalt 64 tegn.
3. I feltet Brukerpåloggingsnavn skriver du inn brukernavnet. Fra rullegardinlisten velger du domenet som kontoen skal knyttes til. Dette genererer det fullt kvalifiserte påloggingsnavnet.
4. De første 20 tegnene i påloggingen er påloggingen for operativsystemer tidligere enn Windows 2000. Det er
må være unik innenfor sitt domene. Endre innloggingen for operasjonssaler om nødvendig.
systemer tidligere enn Windows 2000.
5. Klikk på Neste. Konfigurer parametrene for brukerpassordet (Figur 5-6). Følgende alternativer er tilgjengelige for denne dialogboksen.
Ris. 5-6. Innstilling av brukerpassord
- Passord. Passord for denne kontoen. Det må oppfylle vilkårene i passordpolicyen din.
- Bekreft passord. Et felt for å bekrefte at du har tildelt riktig passord til kontoen. For å bekrefte passordet ditt, skriv det bare inn igjen.
- Bruker må endre passord ved neste pålogging. Hvis dette er merket av, må brukeren endre passordet når de logger på. Denne avmerkingsboksen er valgt som standard for alle nye brukere.
- Brukeren kan ikke endre passord. Hvis denne avmerkingsboksen er valgt, kan ikke brukeren endre passordet.
- Passord utløper aldri. Hvis denne avmerkingsboksen er merket av, har kontopassordet en ubegrenset gyldighetsperiode. Denne parameterverdien har forrang over domenekontoretningslinjene. Generelt sett er det ikke en god idé å angi passordet på ubestemt tid, da det kompromitterer sikkerheten, som er en viktig faktor.
- Kontoen er deaktivert. Hvis denne avmerkingsboksen er valgt, er kontoen låst og kan ikke brukes. Denne avmerkingsboksen brukes for å midlertidig nekte bruken av kontoen.
6. Klikk på Neste. Hvis du har konfigurert Exchange-utvidelsene riktig på denne datamaskinen, vil du kunne gi kontoen en postboks. Hvis du ikke vil gi brukeren en postboks, fjerner du merket for Opprett en Exchange-postboks og hopper over trinn 7 og 8.
7. Påloggingen er tildelt et standard Exchange-alias (Figur 5-7), du kan manuelt angi den nye verdien for å endre den. Exchange-aliaset kreves for å angi brukerens e-postadresse.
Merk I praksis er standard Exchange-alias tilordnet en pålogging for operativsystemer tidligere enn Windows 2000; det er vanligvis det samme som brukerens innlogging. Men hvis du endrer påloggingsnavnet for operativsystemer tidligere enn Windows 2000, vil standard Exchange-alias settes til verdien du skrev inn.
Ris. 5-7. Konfigurere en brukers Exchange-postboks
8. Hvis informasjonslageret er konfigurert til å fungere med flere Exchange-servere, må du spesifisere serveren hvor postkassen skal lagres i server-rullegardinlisten. Dessuten, hvis du har mer enn én postboksbutikk, må du angi butikken for postkassen i rullegardinlisten Mailbox Store.
9. Klikk på Neste og Fullfør for å fullføre kontoopprettelsen. Hvis du opprettet en konto koblet til en postboks, blir følgende e-postadresser automatisk konfigurert: SMTP, X.400 og knyttet til koblingen. Du kan deretter legge til, endre og slette disse adressene. I tillegg kan du definere flere adresser av samme type. For eksempel har Cindy Johnson, selskapets HR-administrator, to SMTP-adresser: [e-postbeskyttet] og
[e-postbeskyttet]
Merk Hvis du har konfigurert Exchange-koblinger, opprettes standardadresser også for disse koblingene. Koblinger for Exchange 2000 inkluderer en Lotus Notes-kontakt og en Novell GroupWise-kontakt.
10. Opprettelsen av en brukerkonto er ikke et siste trinn. På dette stadiet kan du:
- Legg til detaljert kontaktinformasjon om brukeren, for eksempel jobbtelefonnummer og tittel;
- legge brukeren til en sikkerhetsgruppe og en distribusjonsgruppe;
- koble kontoen med flere e-postadresser;
- aktivere eller deaktivere Exchange-funksjoner for kontoen;
- endre brukerens standardinnstillinger for fraktalternativer, lagringsgrenser og kontogrenser.
Sette opp kontaktinformasjon for en brukerkonto
Slik er kontaktinformasjonen for brukerkontoen satt.
1. Dobbeltklikk på brukernavnet i Active Directory-brukere og datamaskiner. Dialogboksen Egenskaper for kontoen åpnes.
2. Klikk kategorien Generelt. Generell kontaktinformasjon er spesifisert i følgende felt:
- Fornavn, Initialer, Etternavn spesifiserer brukerens fulle navn;
- Visningsnavn angir visningsnavnet til brukeren som vises i påloggingsøkter og i Active Directory;
- Beskrivelse angir en beskrivelse for brukeren;
- Office definerer brukerens plassering på kontoret;
- Telefonnummer angir brukerens primære arbeidstelefonnummer. Hvis brukeren har andre arbeidstelefonnumre som du vil legge til i oppføringen, klikker du på Annet, og bruker deretter dialogboksen Telefonnummer (Andre) til å angi flere telefonnumre;
- E-post angir brukerens forretnings-e-postadresse;
- Web-side – Angir URL-en til brukerens hjemmeside – på Internett eller på et lokalt bedriftsnettverk. Hvis brukeren har andre websider som du vil inkludere i oppføringen, klikker du Annet, og bruker deretter dialogboksen Websideadresse (Andre) til å angi flere websideadresser.
Tips Sørg for å fylle ut e-post- og webside-feltene hvis du har tenkt å bruke kommandoene Send e-post og Åpne startside i Active Directory-brukere og datamaskiner-konsollen.
3. Klikk på fanen Adresse (Figur 5-8). I feltene på denne fanen skriver du inn brukerens bedrifts- eller hjemme-e-postadresse. Vanligvis er bedriftsadressen til brukeren angitt. Dette vil tillate deg å ha data om plasseringen og postadressene til brukere som befinner seg på forskjellige kontorer.
Merk Før du legger inn privat informasjon, for eksempel en brukers hjemmeadresse og hjemmetelefonnummer, bør du diskutere saken med Human Resources og den juridiske avdelingen. Du må kanskje innhente brukersamtykke for dette.
4. Klikk kategorien Telefoner og ring om nødvendig brukerens primære kontaktnumre:
- Hjemmetelefon
- Personsøker
- Mobil (mobil);
- FAX (Faks);
- IP-telefon (IP-telefon).
5. For hver type telefon har du rett til å tildele andre numre. Klikk på den aktuelle knappen Annet, og skriv deretter inn flere telefonnumre i dialogboksen.
Ris. 5-8. På Adresse-fanen angir du arbeidet eller
brukerens hjemmeadresse
6. Klikk på Organisasjon-fanen. Angi, om nødvendig, brukerens tittel, avdeling og tittel
selskaper.
7. For å spesifisere lederen for denne brukeren, klikk Endre. Hvis du har gjort dette, så står brukeren oppført som direkte underordnet i veileders konto.
8. Klikk på Bruk eller OK for å godta endringene. Endre utvekslingsalias og visningsnavn
brukerkonto Hver brukerkonto koblet til en postboks har et Exchange-alias, fornavn, etternavn og visningsnavn knyttet til seg. Exchange-aliaset definerer SMTP- og X.400-e-postadresser. Påloggingen er standard SMTP-alias. Visningsnavnet identifiserer adressen X, 400.
Hvis navneinformasjonen endres, kan du opprette nye e-postadresser og angi dem som standardadresser for SMTP-, X.400- og Exchange-koblinger.
De gamle e-postadressene for kontoen slettes imidlertid ikke, men forblir som alternativer. Prosedyren for å endre eller fjerne disse tilleggs-e-postadressene er beskrevet i dette kapittelet, i avsnittet "Legge til, endre og fjerne e-postadresser".
Slik endrer du Exchange-aliaset og visningsnavnet til en brukerkonto.
1. Dobbeltklikk på brukernavnet i Active Directory-brukere og datamaskiner. Dialogboksen Egenskaper for kontoen åpnes.
2. Klikk kategorien Generelt. Bruk følgende felt for å endre navnet:
i Fornavn, Initialer, Etternavn (navn, Initialer, Etternavn) angi brukerens fulle navn;
Visningsnavn angir brukernavnet som vises i påloggingsøkter og i Active Directory.
3. Klikk på Exchange General-fanen, og skriv deretter inn et nytt Exchange-alias i Alias-feltet.
4. Klikk OK.
Legg til, endre og fjern e-postadresser
Når du oppretter en brukerkonto koblet til en postboks, opprettes standard e-postadresser for SMTP, X.400 og konfigurerte koblinger. Hver gang du oppdaterer visningsbrukernavnet eller Exchange-aliaset ditt, kan du opprette nye standard-e-postadresser. Dette fjerner ikke de gamle e-postadressene, men forblir som alternative e-postadresser for kontoen.
Slik legger du til, endrer eller fjerner en e-postadresse.
1. Åpne dialogboksen Egenskaper for kontoen ved å dobbeltklikke på brukernavnet i Active Directory-brukere og datamaskiner. Klikk deretter på fanen E-postadresser.
2. For å legge til en ny e-postadresse, klikk Ny. I dialogboksen Ny e-postadresse velger du typen e-postadresse og klikker OK. Fyll ut feltene i dialogboksen Egenskaper og klikk OK igjen.
Tips For standard Internett-e-postadresser, bruk SMTP-adressetypen. Andre typer e-postadresser er omtalt i detalj i kapittel 13.
3. For å endre en eksisterende e-postadresse, dobbeltklikk på adresseoppføringen og endre innstillingene i dialogboksen Egenskaper. Klikk OK.
4. For å fjerne en e-postadresse, velg den og klikk Fjern. Når du blir bedt om å bekrefte sletteoperasjonen, klikker du Ja.
Merk Du kan ikke fjerne standard SMTP-adresse. Exchange Server bruker en SMTP-adresse for å sende og motta meldinger.
Angi standard svar-til-adresse (avsender).
Det er én standard avsenderadresse for hver type e-postadresse. Slik endrer du standard avsenderadresse.
1. Åpne dialogboksen Egenskaper for kontoen ved å dobbeltklikke på brukernavnet i Active Directory-brukere og datamaskiner. Klikk deretter på fanen E-postadresser.
2. Gjeldende e-postadresser er med fet skrift som standard. E-postadresser som ikke er uthevet, brukes bare som alternative adresser for å levere meldinger til gjeldende postkasse.
3. For å endre gjeldende standardinnstillinger, velg ønsket uvalgt e-postadresse og klikk Angi som primær.
Blokker og opphev blokkering av tilkoblinger til Exchange Server-post
Brukere og kontakter koblet til e-post er definert som spesielle mottakere i Exchange Server. De har et Exchange-alias og en ekstern e-postadresse.
Slik kobler du en bruker eller kontakt til e-post.
1. Høyreklikk på den aktuelle oppføringen i Active Directory-brukere og datamaskiner, og velg deretter Exchange Tasks for å starte Exchange Task Wizard.
2. Hvis velkomstsiden åpnes, klikker du på Neste. For å hoppe over denne siden senere, bør du velge Ikke vis denne velkomstsiden igjen.
3. I Tilgjengelige oppgaver velger du Etabler e-postadresser og klikker på Neste igjen.
4. Skriv inn Exchange-aliaset for brukeren eller kontakten og klikk på Endre.
5. Dialogboksen Ny e-postadresse åpnes. Skriv inn typen e-postadresse og klikk OK.
6. Fyll ut feltene i dialogboksen Egenskaper for e-postadressen og klikk OK igjen.
7. På veiviseren for Exchange Task klikker du Neste og deretter Fullfør.
Hvis du senere ønsker å fjerne Exchange-aliaset og e-postadressene knyttet til brukeren eller
kontakt, her er hvordan du gjør det.
1. Dobbeltklikk på ønsket oppføring i Active Directory-brukere og datamaskiner, og velg deretter Exchange Tasks for å starte Exchange Task Wizard.
2. Hvis velkomstsiden åpnes, klikker du på Neste. For å hoppe over denne siden senere, kan du velge Ikke vis denne velkomstsiden igjen.
3. Under Tilgjengelige oppgaver velger du Slett e-postadresser og klikker på Neste.
4. Klikk Neste og deretter Fullfør.
Opprette en brukerkonto for å motta og videresende e-post
Spesielle mottakere, for eksempel e-posttilkoblede brukere og kontakter, mottar vanligvis ikke meldinger fra brukere utenfor organisasjonen din fordi den spesielle mottakeren ikke har en e-postadresse som samsvarer med en bestemt postboks i organisasjonen. Noen ganger vil du imidlertid at eksterne brukere, applikasjoner eller e-postsystemer skal kunne sende en melding til en adresse i organisasjonen din, og deretter videresender Exchange meldingen til en ekstern postboks.
Tips I min organisasjon har jeg opprettet postbokser for videresending av personsøkervarsel. Denne enkle løsningen lar ledere så vel som overvåkingssystemer i en organisasjon enkelt og raskt overføre sider med tekst til IT-fagfolk. For å gjøre dette opprettet jeg for eksempel en e-posttilkoblet kontakt for hver personsøker-e-postadresse [e-postbeskyttet], og opprettet deretter en postboks som videresender meldinger til en spesiell mottaker. Generelt ser det viste navnet på en kontakt koblet til e-post ut som "Alert User Name", for eksempel Alert William Stanek. Visningsnavnet og e-postadressen til postkassen har formen Z Etternavn og [e-postbeskyttet] som Z Stanek og [e-postbeskyttet] hhv. Deretter gjemte jeg postkassen slik at den ikke vises i den globale adresselisten eller andre adresselister, og slik at brukere bare ser William Stanek Alert-postkassen.
Slik oppretter du en brukerkonto for å motta og videresende e-post.
1. Opprett en kontakt for brukeren i Active Directory-brukere og datamaskiner. Gi kontakten et navn X - Brukernavn, for eksempel X - William Stanek. Sørg for at kontakten har en ekstern e-postadresse som er relatert til brukerens Internett-adresse.
2. Opprett en brukerkonto i domenet. Gi kontoen et passende visningsnavn, for eksempel William Stanek Opprett en Exchange-postboks for kontoen, men ikke tildel noen spesielle rettigheter. Du kan begrense rettighetene til en konto slik at brukeren ikke kan registrere seg på noen av serverne i domenet.
3. Åpne dialogboksen Egenskaper for kontoen ved å dobbeltklikke på brukernavnet i Active Directory-brukere og datamaskiner. Klikk på Exchange Generelt-fanen.
4. Klikk på Leveringsalternativer.
5. I dialogboksen Leveringsalternativer klikker du Videresend til og klikker deretter Endre.
6. I dialogboksen Velg mottaker velger du e-postkontakten du opprettet tidligere og klikker OK. Du kan nå bruke en brukerkonto til å videresende meldinger til en ekstern postkasse.
Endre innstillingene for trådløse tjenester og brukerprotokoller
Når du oppretter brukerkontoer med postbokser, bestemmes tilgjengelige trådløse tjenester og protokoller av globale innstillinger. Disse parameterne kan endres når som helst for individuelle brukere.
1. I Active Directory-brukere og cdmputers dobbeltklikker du på ønsket oppføring, og velger deretter Exchange-funksjoner-fanen.
Konfigurer trådløse tjenester og protokoller for brukeren (Figur 5-9):
Outlook Mobile Access gir brukeren muligheten til å se postkassen ved hjelp av en trådløs enhet;
Brukerinitiert synkronisering lar deg synkronisere postkassen med trådløse enheter;
Ris. 5-9. Ved å bruke Exchange Task Wizard kan du
endre parametrene for trådløse tjenester og protokoller
bruker
Oppdaterte varsler sikrer at dataene på den trådløse enheten holdes oppdatert. Dette alternativet er bare tilgjengelig hvis alternativet Brukerinitiert synkronisering er valgt;
Outlook Web Access gir muligheten til å få tilgang til postkassen din ved hjelp av en nettleser;
POPZ åpner tilgang til postkassen gjennom POPZ-postklienten;
IMAP4 gir en bruker muligheten til å få tilgang til postkassen ved hjelp av IMAP4-e-postklienten.
2. Velg et alternativ, og klikk deretter på Aktiver eller Deaktiver etter behov.
Hvis du vil endre protokollinnstillingene, velger du protokollen og klikker på Egenskaper.
3. Klikk OK.
Gi nytt navn til brukerkontoer
Slik gir du nytt navn til en brukerkonto i Active Directory-brukere og datamaskiner.
1. Høyreklikk på kontonavnet og velg Gi nytt navn. Når du blir bedt om det, skriv inn et nytt kontonavn.
2. Når du gir nytt navn til en konto, oppretter du en ny kontoetikett. Gi nytt navn påvirker ikke sikkerhetsidentifikatoren (SID), som kreves for å identifisere, spore og behandle kontoer uavhengig av brukernavn.
Merk Ekteskap er en vanlig årsak til endring av kontonavn. For eksempel, hvis Judy Liu (JUDYL) gifter seg, kan hun endre brukernavnet sitt til Judy Catler (JUDYK). Etter å ha endret brukernavnet fra JUDYL til JUDYK, vil alle tilhørende rettigheter og tillatelser bli tildelt det nye navnet.
For eksempel, når du ser på tillatelser på en fil som JUDYL tidligere hadde tilgang til, vil JUDYK nå ha tilgang (og JUDYL vil ikke vises i listen).
Fjerning av brukerkontoer og kontakter
Når den slettes, slettes kontoen permanent. Etter å ha slettet kontoen kan du ikke opprette en konto med samme navn og de samme tillatelsene som den opprinnelige kontoen, fordi sikkerhetsidentifikatoren (SID) til den nye kontoen ikke vil samsvare med sikkerhetsidentifikatoren til den gamle kontoen. Dette betyr ikke at du ikke kan opprette en konto med samme navn etter å ha slettet en oppføring. For eksempel sluttet en person i selskapet og kom tilbake etter en stund. Du står fritt til å opprette en konto med samme navn som før, men du må omdefinere tillatelsene for den.
Fordi sletting av innebygde kontoer kan ha vidtrekkende konsekvenser for domenet, tillater ikke Windows at de slettes. Du kan slette andre typer kontoer ved å velge dem og trykke på Del-tasten, eller ved å høyreklikke og velge Slett. Spørringen vist i fig. 5-10. Hvis du vil slette en brukers e-postadresse når avmerkingsboksen for å slette en postboks er valgt, klikker du Ja. Hvis du klikker Nei, vil ikke Windows slette kontoen.
Ris. 5-10. Når du sletter en brukerkonto
brukerens e-postadresse slettes også;
avmerkingsboksen for sletting knyttet til adressen er også satt
postkasse. Bekreft operasjonen ved å klikke Ja
Merk Exchange-sikkerhet er basert på domeneautentisering, så du kan ikke ha en postboks uten en konto. Hvis du fortsatt trenger en postkasse for kontoen du vil slette, bør du ikke slette den, men deaktivere den. Som følge av deaktivering av kontoen vil ikke brukeren kunne logge seg på systemet, men du vil om nødvendig få tilgang til postkassen. For å deaktivere en konto, høyreklikk på den kontoen
i Active Directory-brukere og datamaskiner og velg Deaktiver konto.
Når du logger på en datamaskin med en domenekonto, oppgir brukeren sin legitimasjon, som sendes til nærmeste domenekontroller for autentisering. Hvis det ikke er tilgjengelige domenekontrollere i nettverksmiljøet, er det ingen som kan sjekke legitimasjonen, og brukeren vil ikke kunne logge på systemet.
For å unngå denne situasjonen, etter en vellykket pålogging, bufres brukerens legitimasjon på den lokale datamaskinen. Dette lar deg logge på med domenelegitimasjon og få tilgang til ressursene til den lokale datamaskinen selv når du ikke er koblet til domenet.
Merk. For å være presis er det ikke selve legitimasjonen (pålogging og passord) som bufres, men resultatet av deres verifisering. Mer presist lagrer systemet en passordhash modifisert med et salt, som igjen genereres basert på brukernavnet. De hurtigbufrede dataene lagres i registernøkkelen HKLM \ SECURITY \ Cache, som bare systemet har tilgang til.
En registerparameter er ansvarlig for bufringsfunksjonen CashedLogonsCount lokalisert under HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Denne parameteren bestemmer mengden unik brukere hvis legitimasjon er lagret lokalt. Standardverdien for denne parameteren er 10, som betyr at legitimasjonen beholdes for de siste 10 brukerne som logget på, og når den ellevte brukeren logger på datamaskinen, vil legitimasjonen til den første brukeren bli overskrevet.
Drive verdi CashedLogonsCount kan gjøres sentralt ved hjelp av gruppepolicyer. For å gjøre dette, opprette en ny GPO (eller åpne en eksisterende), gå til Datamaskinkonfigurasjon \ Politikker \ Windows-innstillinger \ Sikkerhetsinnstillinger \ Lokale retningslinjer \ Sikkerhetsalternativer og finn innstillingen Interaktiv pålogging: Antall tidligere pålogginger til hurtigbuffer (i tilfelle domenekontrolleren ikke er tilgjengelig).
Som standard er denne parameteren ikke definert (Ikke definert); derfor brukes standardverdien på alle datamaskiner. For å endre den må du aktivere parameteren og spesifisere den nødvendige verdien i området fra 0 til 50. En verdi lik 0 betyr at påloggingsbufring er deaktivert, så denne verdien vil ikke tillate deg å logge på systemet hvis domenet kontrolleren er utilgjengelig.
Siden i teorien, hvis en angriper har fysisk tilgang til datamaskinen, er det mulig å bruke den lagrede legitimasjonen, anbefales det å deaktivere lokal caching for å forbedre sikkerheten. Et unntak kan gjøres av brukere av mobile enheter (bærbare datamaskiner, nettbrett osv.) som bruker enheter både på jobb og ute. For slike brukere kan antall hurtigbufrede pålogginger settes innenfor 1-2. Dette er nok for jobb.
Og til slutt, et par viktige punkter:
For at legitimasjonen skal bufres, er det nødvendig at brukeren logger på datamaskinen minst én gang under sin domenekonto med en tilgjengelig domenekontroller.
Ganske ofte parameteren CashedLogonsCount tolket som antall pålogginger i fravær av tilgang til domenet. Dette er ikke tilfelle, og hvis brukerens legitimasjon er bufret lokalt, vil han kunne logge på et ubegrenset antall ganger.
