Varje dator som kör Windows NT / 2000 / XP / 2003 operativsystem (såvida det inte är en server som är en domänkontrollant) har en lokal databas med konton som kallas basen SAM-data... Dessa databaser diskuterades när arbetsgruppens säkerhetsmodell beskrevs. Lokala användare och särskilt grupper används när man tilldelar åtkomsträttigheter till resurser på en specifik dator, även i domänsäkerhetsmodellen. Generella regler användningen av lokala grupper och domängrupper för att kontrollera åtkomst kommer att beskrivas nedan.
Hantering av domänanvändarkonto
Domänanvändarkonton (liksom datorer och grupper) lagras i speciella AD-behållare. Dessa kan vara antingen standardbehållare Användare för användare och Datorer för datorer eller en organisationsenhet (OU) skapad av administratören. Undantaget är konton för domänkontrollanter, de lagras alltid i OP med namnet Domänkontrollanter.
Låt oss titta på exempel på processen att skapa användarkonton i databasen. Active Directory och analysera de grundläggande egenskaperna för domänkonton. Datorkonton skapas under processen att ansluta en dator till en domän.
Skapa domänkonto
Låt oss öppna den administrativa konsolen " Active Directory-användare och datorer ".
Låt oss klicka Högerklicka musen på behållaren där vi kommer att skapa ett konto, välj kommandot från menyn " Skapa"och vidare -" Användare ".
Fyll i fälten " namn ", " Efternamn", till exempel, " Ivan" och " Ivanov" (v engelsk version - Förnamn, Efternamn), fält " Fullständiga namn " (Fullständiga namn) kommer att fylla sig själv.
Låt oss presentera " Användarens inloggningsnamn " (Användarinloggningsnamn), till exempel, Användare 1... Detta namn tilldelas automatiskt en del av formuläret "@<имя домена>", i vårt exempel -" @ world.ru "(det resulterande namnet måste vara unikt över hela skogen).
I processen att skapa inloggningsnamnet fylls det automatiskt i " Användarinloggningsnamn (pre-Windows 2000) " (Användarinloggningsnamn (före Windows 2000)) skapad för kompatibilitet med tidigare Windows-versioner (förnamn måste vara unik över hela domänen). Varje organisation bör utveckla system för användarnamn (efter namn, efternamn, initialer, befattning, avdelning, etc.) I vårt exempel kommer namnet att vara " VÄRLD \ Användare1". Tryck på knappen" Ytterligare"(fig. 6.43):
Ris. 6,43.
Ange användarens lösenord (två gånger, för bekräftelse).
Låt oss ange de initiala kraven för lösenordet:
Kräv lösenordsändring vid nästa inloggning (användbart när administratören tilldelar användaren initialt lösenord, och sedan väljer användaren själv ett lösenord, endast känt för honom);
Förhindra användaren från att ändra lösenordet (användbart och till och med nödvändigt för konton för olika systemtjänster);
Lösenordet upphör inte att gälla (används även för tjänstkontolösenord så att domänpolicyer inte påverkar funktionen av dessa tjänster, denna parameter har högre prioritet jämfört med säkerhetspolicyer);
Inaktivera konto.
Ris. 6,44.
Vi får den slutliga sammanfattningen för objektet som skapas och klickar på " Redo ".
Uppmärksamhet! I övningar laboratoriearbete uppgiften ges att konfigurera policyer som kraftigt minskar kraven på lösenord och användarbehörigheter:
kravet på lösenordskomplexitet är inaktiverat,
den minsta lösenordslängden är inställd på 0 (dvs lösenordet kan vara tomt),
är etablerad minimiperiod lösenord som är giltiga i 0 dagar (dvs användaren kan ändra lösenordet när som helst),
lösenordslagringshistoriken är inställd på 0 (dvs. när lösenordet ändras kontrollerar systemet inte historiken för tidigare använda lösenord),
Användargruppen ges rätt att logga in lokalt på domänkontrollanter.
Dessa policyer är inställda enbart för bekvämligheten med att utföra övningar som måste utföras med vanliga användarrättigheter på domänkontrollanters servrar. I praktiken av administration, t.ex svaga parametrar I inget fall kan du ställa in säkerhet, kraven för lösenord och användarrättigheter måste vara mycket strikta (säkerhetspolicyer diskuteras senare i detta avsnitt).
Regler för att välja tecken för att skapa ett lösenord:
lösenordslängd - minst 7 tecken;
lösenordet får inte sammanfalla med användarnamnet för att logga in i systemet, liksom med hans vanliga namn, efternamn, namn på hans släktingar, vänner etc.;
lösenordet bör inte bestå av något ord (för att utesluta möjligheten att gissa lösenordet med hjälp av en ordbok);
lösenordet får inte sammanfalla med användarens telefonnummer (vanligt eller mobilt), numret på hans bil, pass, körkort eller annat dokument;
lösenordet måste vara en kombination av stora och små bokstäver, siffror och specialtecken (som @ # $% ^ * & () _ +, etc.).
Och ytterligare en säkerhetsregel är det vanliga lösenordsbytet (frekvensen av bytet beror på säkerhetskraven i varje specifikt företag eller organisation). Windows-domäner har en policy som bestämmer hur länge användarlösenord ska upphöra att gälla.
Hej alla, jag skulle vilja starta en serie artiklar om Active Directory på exempel på fönster server 2008R2. I de allra flesta fall systemadministratörer för att skapa grundläggande säkerhetsprinciper föredrar de att använda snapin-modulen Active Directory Users and Computers, som läggs till i mappen Administrativa verktyg direkt efter installationen av Domäntjänster Active Directory ”och marknadsföring av servern till en domänkontrollant. Den här metoden är den mest bekväma eftersom den använder grafik för att skapa säkerhetsprinciper. användargränssnitt och guiden för att skapa ett användarkonto är mycket lätt att använda. Till nackdelen den här metoden kan hänföras till det ögonblick som när man skapar konto användare kan du inte omedelbart ställa in de flesta av attributen, och du måste lägga till de nödvändiga attributen genom att redigera kontot.
För att skapa ett anpassat konto, följ dessa steg:
- Öppna snapin-modulen Active Directory Användare och datorer. För att göra detta måste du öppna kontrollpanelen, öppna avsnittet "System och säkerhet" i den, sedan "Administrativa verktyg" och öppna snapin-modulen "Active Directory-användare och -datorer" i fönstret som visas. Du kan också använda tangentkombinationen + R för att öppna dialogrutan Kör och i dialogrutan Kör, ange dsa.msc i fältet Öppna och klicka sedan på OK-knappen;
- Expandera din domännod i snapin-trädet och navigera till den organisationsenhet där användarkontot kommer att skapas. Det rekommenderas att du skapar ytterligare organisationsenheter för att skapa användarkonton och sedan lägger till användarkonton till andra organisationsenheter än standardanvändarorganisationen. Högerklicka på denna underavdelning och från innehållsmeny välj Ny och sedan Användare, som visas i följande illustration:
I den visade dialogrutan " Nytt objekt- Användare ”ange följande information:
- I fältet "Namn" anger du användarnamnet;
- I fältet "Initialer" anger du hans initialer (oftast används inte initialer);
- I fältet "Efternamn" anger du efternamnet på användaren som ska skapas;
- Fältet "Fullständigt namn" används för att skapa sådana attribut objektet som skapas som Common Name CN och visa egenskaperna för namnet. Detta fält måste vara unikt i hela domänen, och fylls i automatiskt, och du bör bara ändra det om det behövs;
- Fältet Användarinloggning är obligatoriskt och är för användarens domäninloggning. Här måste du ange användarnamnet och från rullgardinsmenyn välja UPN-suffixet, som kommer att finnas efter @-symbolen;
- Fältet Användarinloggning (Pre-Windows 2000) är för inloggning för system före operativ system Windows 2000. In senaste åren i organisationer är ägare av sådana system mindre och mindre vanliga, men fältet är obligatoriskt, eftersom vissa programvara använder detta attribut för att identifiera användare. Läs om hur du lägger till ett patronymfält här. Efter att ha fyllt i alla obligatoriska fält, klicka på knappen "Nästa":
På nästa sida i guiden för att skapa användarkonto måste du ange det ursprungliga användarlösenordet i fältet "Lösenord" och bekräfta det i fältet "Bekräftelse". Dessutom kan du välja ett attribut som indikerar att första gången en användare loggar in på systemet måste användaren självständigt ändra lösenordet för sitt konto. Det är bäst att använda detta alternativ tillsammans med lokala politiker säkerhet "Password Policy", som gör att du kan skapa starka lösenord för dina användare. Dessutom, genom att markera rutan på alternativet "Förhindra användaren från att ändra lösenordet" ger du användaren ditt lösenord och förbjuder att ändra det. Om du väljer alternativet "Lösenord går aldrig ut" kommer lösenordet för användarkontot aldrig att upphöra att gälla och det kommer inte att behövas periodisk förändring... Om du markerar rutan "Inaktivera konto" är detta konto inte avsett för ytterligare arbete och en användare med ett sådant konto kommer inte att kunna logga in förrän det är aktiverat. Detta alternativ, liksom de flesta attribut, kommer att diskuteras i nästa avsnitt av den här artikeln. När du har valt alla attribut klickar du på knappen "Nästa". Denna guidesida visas i följande illustration:
Som vi ser att vår användare har skapats, låt oss nu fylla i informationen om honom, tänk på att ju mer exakt och fullständigt du fyller i informationen om honom, desto lättare blir det för dig senare. Låt oss dubbelklicka på önskad användare.
Allmän. Denna flikär avsedd för att fylla i individuella användardefinierade attribut. Dessa attribut inkluderar användarens förnamn och efternamn, kort beskrivning för ett konto, kontaktnummer användare, rumsnummer, hans e-post samt hemsidan. På grund av det faktum att denna informationenär individuell för varje enskild användare, uppgifterna som fylls i denna flik kopieras inte;
Adress. I den aktuella fliken kan du fylla i brevlåda, stad, region, postnummer och bosättningsland för användarna som kommer att skapas baserat på av denna mall... Eftersom varje användare vanligtvis inte har samma gatunamn kan data från detta fält inte kopieras;
Konto. På den här fliken kan du ange den exakta tidpunkten för användarinloggning, datorer som användare kommer att kunna komma åt, kontoparametrar som lagring av lösenord, krypteringstyper etc., samt kontots giltighetstid;
Profil. Den aktuella fliken låter dig ange profilsökväg, inloggningsskript, lokal sökväg till hemmapp och nätverksenheter som kommer att läggas upp på hemmapp konto;
Organisation. På den här fliken kan du ange de anställdas position, avdelningen där de arbetar, organisationens namn, samt namnet på avdelningschefen;
Gruppmedlemmar. Huvudgruppen och gruppmedlemskapen listas här.
Och flikorganisationen, där du kan ställa in tillhörighet till avdelning och företag.
Användningen av användarkonton gör det lättare för flera personer att arbeta på samma dator. Varje användare kan ha ett separat konto med sina egna alternativ som skrivbordsbakgrund och skärmsläckare... Konton avgör vilka filer och mappar användare har tillgång till och vilka ändringar de kan göra på datorn. För de flesta användare används vanliga konton.
Domäner, arbetsgrupper och hemgrupper representerar olika metoder för att organisera datorer i ett nätverk. Deras huvudsakliga skillnad är hur datorer och andra resurser hanteras.
Datorer under Windows kontroll nätverket måste vara en del av arbetsgrupp eller domän. Windows-datorer i hemnätverk kan också ingå i en hemgrupp, men detta är inte obligatoriskt.
Datorer i hemnätverk är vanligtvis en del av arbetsgrupper och eventuellt en hemgrupp, medan datorer i nätverk på arbetsplatser är en del av domäner. Stegen du behöver ta varierar beroende på om datorn är medlem i en domän eller en arbetsgrupp.
I arbetsgruppen:
· Alla datorer är peers i nätverket; ingen dator kan styra en annan.
· Varje dator har flera användarkonton. För att logga in på en dator som tillhör en arbetsgrupp måste du ha ett konto på den datorn.
· En arbetsgrupp har vanligtvis inte fler än tjugo datorer.
· Arbetsgruppen är inte lösenordsskyddad.
· Alla datorer måste vara på samma lokala nätverk eller undernät.
V hemmagrupp:
· Datorer i ett hemnätverk måste tillhöra en arbetsgrupp, men de kan också tillhöra en hemgrupp. Att dela dina bilder, musik, videor, dokument och skrivare med andra är mycket enklare med en hemgrupp.
· Hemgruppen är lösenordsskyddad, men den läggs bara in en gång när du lägger till en dator i hemgruppen.
I domänen:
· En eller flera datorer är servrar. Nätverksadministratörer använder servrar för att kontrollera säkerhet och behörigheter för alla datorer i domänen. Detta gör det enkelt att ändra inställningar eftersom ändringar görs automatiskt för alla datorer. Domänanvändare måste ange ett lösenord eller andra referenser varje gång de kommer åt domänen.
· Om användaren har ett konto i domänen kan han logga in på vilken dator som helst. Detta kräver inget konto på själva datorn.
· Rättigheterna att ändra datorinställningar kan vara begränsade eftersom nätverksadministratörer vill vara säkra på att datorinställningarna är konsekventa.
· Det kan finnas tusentals datorer i en domän.
· Datorer kan tillhöra olika lokala nätverk.
användarkonton
V Windows Server 2003 definierar två typer av användarkonton:
Domänuppgifter rekord ( domän användarkonton) definieras i Active Directory. Genom ett lösenordssystem med enkel inloggning kan dessa konton komma åt resurser över hela domänen. De skapas i Active Directory Users and Computers-konsolen.
Lokala konton (lokal användarekonton) är definierade på den lokala datorn, har endast tillgång till dess resurser och måste autentisera innan de kan komma åt nätverksresurser... Lokala användarkonton skapas i snapin-modulen Lokala användare och grupper.
Lokala användar- och gruppkonton lagras endast på medlemsservrar och arbetsstationer. På den första domänkontrollanten flyttas de till Active Directory och konverteras till domänkonton.
Inloggningsnamn, lösenord och öppna certifikat
Alla användarkonton känns igen av deras inloggningsnamn. I Windows Server 2003 har den två delar:
Användarnamn - textkontonamn;
domän eller arbetsgrupp ,vvilket konto som finns.
För användaren westanecvars konto har skapats i microsoft.com-domänen, WindowsServer 2003 fullständiga inloggningsnamn ser ut så här - vistanec@ microsoft.com. När du arbetar med Active Directory, ibland det fullt kvalificerade domännamnet (fullt kvalificeraddomännamn, FQDN) användare, bestående av DNS-domännamnet kombinerat med namnen på behållaren (eller OP) och gruppen. Användare microsoft.co m \ Användare \ westanec, microsoft.com - DNS-domännamn, Användare - containernamn, en westanec- Användarnamn.
Ett användarkonto kan matchas med ett lösenord och offentligt intyg (offentligt intyg). Ett öppet certifikat kombinerar öppet och privat nyckel för att identifiera användaren. Att logga in i systemet med ett lösenord är interaktivt. Inloggning med ett offentligt certifikat använder ett smartkort och en läsare.
Säkerhetsidentifierare och användarkonton
Även om användarnamn används för att tilldela privilegier och behörigheter i Windows Server 2003, är nyckelkontoidentifieraren den som genereras när eskapa en unik säkerhetsidentifierare (SID). Den består av ett domän-SID och en unik relativ identifierare som har tilldelats av den relativa identifierarmästaren.
Genom att använda SID kan Windows Server 2003 spåra konton oavsett användarnamn. Med SID:n kan du ändra användarnamn och ta bort konton utan att oroa dig för att någon ska få tillgång till resurser genom att skapa ett konto med samma namn.
När ett användarnamn ändras mappar Windows Server 2003 det gamla SID till det nya namnet. När ett konto tas bort, anser Windows Server 2003 att det specifika SID är större inte giltig. Om du sedan skapar ett konto med samma namn kommer det inte att få privilegierna från det tidigare kontot, eftersom det har ett annat SID.
Koncernkonton
Förutom användarkonton använder Windows Server 2003 grupper för att automatiskt ge behörigheter till liknande typer av användare och för att förenkla kontoadministrationen. Om en användare är medlem i en grupp som har rätt att få tillgång till en resurs kan han också hänvisa till den. För att ge användaren tillgång till nödvändiga resurser behöver du bara inkludera den lämplig grupp... Eftersom olika Active Directory-domäner kan ha grupper med samma namn, refereras ofta till grupper av fullständiga namn - domän \ gruppnamn , till exempel motsvarar WORK \ GMarketing gruppen GMarketing i WORK-domänen. När man arbetar med Active Directory behöver en grupp ibland adresseras med sitt fullständiga namn, som består av DNS-domännamnet, container- eller OP-namnet och gruppnamnet. I gruppens namn microsoft.com \ Users \ GMarkcting, microsoft.com - DNS-namn domän, Users är behållaren eller OP och GMarketing är namnet på gruppen.
Marknadsanställda kommer sannolikt att behöva tillgång till alla marknadsföringsrelaterade resurser. Istället för att öppna åtkomst till dem individuellt är det värt att kombinera användare till en grupp. Om användaren senare flyttar till en annan avdelning räcker det med att helt enkelt utesluta honom från gruppen, och alla åtkomstbehörigheter kommer att återkallas.
Grupptyper
V Windows Server 2003 använder tre typer av grupper:
Lokala grupper definieras och används endast på den lokala datorn, skapade i snapin-modulen Lokala användare och grupper;
Säkerhetsgrupper har säkerhetsbeskrivningar och definieras över domäner via Active Directory-användare och -datorer (Active Katalog Användareoch Datorer);
Distributionsgrupper (distribution grupper) används som e-postlistor E-post, har inga säkerhetsbeskrivningar och är definierade i domäner via Active Directory-användare och -datorer (ActiveKatalog Användareoch Datorer).
Gruppens omfattning
Grupper kan ha olika omfattning - lokal domän (domänlokal), inbyggd lokal (byggd- ilokal), en global (global) och universell (universell). Det beror på vilken del av nätverket de är giltiga.
Lokala domängrupper ger behörigheter i en enda domän. Lokala domängrupper inkluderar endast konton (både användare och datorer) och grupper från den domän där de är definierade.
Inbyggda lokala grupper har speciella behörigheter lokal domän... För enkelhetens skull hänvisas de ofta till som lokala domängrupper, men till skillnad från vanliga grupper kan inbyggda lokala grupper inte skapas eller tas bort – du kan bara ändra deras sammansättning. Vanligtvis, när man talar om lokala domängrupper, menar de vanliga och inbyggda lokala grupper, om inte annat anges.
Globala grupper används för att tilldela behörigheter till objekt i valfri domän i ett träd eller skog. Den globala gruppen inkluderar endast konton och grupper från den domän där de är definierade.
Generiska grupper kontrollerar behörigheter över ett helt träd eller skog; de inkluderar konton och grupper från valfri domän i domänträdet eller skogen. Universella grupper är endast tillgängliga i Active Directory i inbyggt lägeWindows 2000 eller i läge Windows Server 2003.
Universella grupper är mycket användbara i stora företag med flera domäner. Sammansättningen av universella grupper bör inte ändras ofta, eftersom varje förändring måste replikeras till alla globala kataloger(HA) i ett träd eller skog.
SID och gruppkonton
V Windows Server 2003-gruppkonton, liksom användarkonton, kännetecknas av unika säkerhetsidentifierare (SID). Det betyder att du inte kan ta bort ett gruppkonto och sedan skapa en grupp med samma namn så att den har samma behörigheter och privilegier. Den nya gruppen kommer att ha ett nytt SID och alla behörigheter och privilegier för den gamla gruppen kommer att gå förlorade.
För varje användarsession på Windows Server 2003 genereras en säkerhetstoken som innehåller användarkonto-ID och SID för alla säkerhetsgrupper som användaren tillhör. Tokenen växer i storlek när användaren läggs till i nya säkerhetsgrupper. Detta leder till följande konsekvenser:
För att en användare ska kunna logga in måste en säkerhetstoken skickas till inloggningsprocessen. Därför, när användarens säkerhetsgruppsmedlemskap ökar, tar inloggningsprocessen längre tid;
För att ta reda på åtkomstbehörigheterna skickas en säkerhetstoken till varje dator som användaren kommer åt. Därför, ju större säkerhetstoken, desto högre nätverkstrafik.
När ska du använda lokala, globala och universella domängrupper
Lokala, globala och universella domängrupper innehåller många alternativ för att konfigurera grupper över hela företaget. Helst bör du använda gruppomfång för att skapa hierarkier som liknar organisationsstrukturen och ansvarsområden för användargrupper.
Lokala domängrupper har den minsta inflytandesfären och är väl lämpade för att kontrollera åtkomst till resurser som skrivare och delade mappar.
Globala grupper optimal för att hantera användar- och datorkonton i en separat domän.
Universella grupper har det bredaste inflytandet. De används för att centralisera grupper definierade över flera domäner. Vanligtvis görs detta genom att lägga till en global grupp till en universell grupp. Sedan, när sammansättningen av globala grupper ändras, kommer ändringarna inte att replikeras till alla GC, eftersom sammansättningen av universella grupper inte ändras formellt.
Om din organisation bara har en domän behöver du inte universella grupper; det rekommenderas att använda strukturen på lokala och globala domängrupper.
Standardanvändar- och gruppkonton
På Windows installation Server 2003 skapar standardanvändar- och gruppkonton. De är avsedda för den initiala installationen som krävs för utvecklingen av nätverket. Det finns tre typer av standardkonton:
inbyggt användar- och gruppkonton installeras med OS, applikationer och tjänster;
fördefinierad användar- och gruppkonton är installerade med operativsystemet;
implicit- Särskilda grupper som skapas implicit vid åtkomst till nätverksresurser; de kallas också särskilda anläggningar (särskilda identiteter).
Du kan inte ta bort användare och grupper som skapats av operativsystemet.
Inbyggda konton
De inbyggda användarkontona i Windows Server 2003 har specifika syften. Alla Windows Server 2003-system har tre inbyggda konton.
Lokalt system- pseudopost att köra systemprocesser och bearbetning av uppgifter på systemnivå, endast tillgängliga på lokalt system... Den här posten har rättigheten Logga in som en tjänst. De flesta tjänsterna körs under det lokala systemkontot och har rätt att interagera med skrivbordet.
Tjänster som kräver ytterligare privilegier eller inloggningsrättigheter körs under kontonLokal Service eller Nätverk Service.
Lokal Service -Ett pseudokonto för att starta tjänster som behöver ytterligare privilegier eller inloggningsrättigheter på det lokala systemet. Tjänster som körs under detta konto har som standard rättigheter och privilegier att logga in som en tjänst, ändra systemtiden och generera säkerhetsloggar. Tjänster som körs under Local Service-kontot inkluderar Alerter, Messenger, Remote Registry, Smart Card, Smart Card Helper, Service SSDP Discovery Service, TCP/IP NetBIOS Helper, Avbrottsfri strömförsörjning och WebClient.
Nätverk Service - ett pseudokonto för tjänster som kräver ytterligare privilegier eller inloggningsrättigheter på det lokala systemet och på nätverket. Tjänster som körs under detta konto har rättigheter att logga in som en tjänst, ändra systemtiden och skapa säkerhetsloggar. Under kontot Nätverksingång Service driver tjänster som Distributed Transaction Coordinator (DistribueradTransaktionSamordnare), DNS-kund( DNSKlient), Prestandaloggar och varningar och RPC Locator (AvlägsenProcedurRing upp Locator). När du installerar tillägg eller andra applikationer på servern är det tillåtet att installera andra standardkonton. Du kan vanligtvis radera dem senare. Efter installation IIS (Internet InformationTjänster), nya konton visas: det första är det inbyggda kontot för anonym åtkomst till IIS, och det andra är för IIS att köra tillämpade processer... Dessa konton definieras i Active Directory när de är konfigurerade på en domän och som lokala konton när de är konfigurerade på en fristående server eller arbetsstation... Ett annat inbyggt konto är TSInternetAnvändare - Krävs av Terminal Services.
Fördefinierade användarkonton
Tillsammans med Windows Server 2003 installerar några poster: Administratör (Administratör), Gästen ( Gäst), ASPNET och Stöd... På medlemsservrar är fördefinierade konton lokala för systemet där de är installerade. De fördefinierade kontona har motsvarigheter i Active Directory som har domänövergripande åtkomst och är helt oberoende av lokala konton på separata system.
Administratörskonto
Detta fördefinierade konto har full tillgång till filer, mappar, tjänster och andra resurser; den kan inte inaktiveras eller raderas. I Active Directory har den domänomfattande åtkomst och privilegier. Annars har administratören vanligtvis bara tillgång till det lokala systemet. Filer och mappar kan tillfälligt stängas av administratören, men han har rätt att när som helst återta kontrollen över alla resurser genom att ändra åtkomstbehörigheter.
För att förhindra obehörig åtkomst till systemet eller domänen måste den administrativa posten ha starkt lösenord... Förutom, vanligt namn Alla känner till denna post, så det rekommenderas att byta namn på den.
Vanligtvis behöver du inte ändra grundinställningarna för administratörskontot, men ibland behöver du ändra dessa Extra tillval gillar hennes medlemskap i vissa grupper. Som standard ingår en domänadministratör i grupperna Administratörer, Domänadministratörer, Domänanvändare, Företagsadministratörer, Schemaadministratörer och Skaparägare. gruppolicy (Grupp PolitikSkapareÄgare).
ASPNET-konto
ASPNET-konto används i NET Framework och är utformad för att köra ASP.NET-arbetarprocesser. Hon är medlem i gruppen Domänanvändare och har som sådan samma privilegier som vanliga användare i domänen.
Gästkonto
Detta konto är avsett för användare som behöver engångs- eller sällsynt åtkomst till dator- eller nätverksresurser. Gästkontot har mycket begränsade systembehörigheter, men det måste användas med försiktighet eftersom det potentiellt äventyrar säkerheten. Därför är gästposten initialt inaktiverad när du installerar Windows Server 2003.
Gästkontot är som standard medlem i grupperna Domängäster och Gäster. Det är viktigt att notera att alla gästkonton är medlemmar i den implicita gruppen Alla, som vanligtvis har tillgång till filer och mappar som standard och lokaliserar standarduppsättning användarrättigheter.
Supportkonto
Supportkontot används av den inbyggda hjälp- och supporttjänsten (Hjälp ochStöd). Hon är medlem i HelpServicesGroup och Domänanvändare och har rätt att logga in som ett batchjobb. Detta gör att supportkontot kan köra batchjobb relaterade till systemuppdateringar.
Inbyggda och fördefinierade grupper
Inbyggda grupper installeras med alla Windows-system Server 2003. För att ge en användare privilegier och behörigheter för en inbyggd grupp behöver du bara inkludera den i gruppen.
Till exempel, för att ge en användare administrativ åtkomst till systemet måste det inkluderas i den lokala administratörsgruppen. För att ge en användare administrativ åtkomst till en domän måste den inkluderas i den lokala domängrupp Administratörer (Administratörer) v AktivaKatalog.
Implicita grupper och speciella identifierare
V Windows NT implicita grupper tilldelades automatiskt vid inloggning baserat på hur användaren fick åtkomst till nätverksresursen. Så om han fick åtkomst via den interaktiva inloggningen, blev han automatiskt medlem i den implicita gruppen Interactive (Interaktiv).
V Windows 2000 och WindowsServer2003 års objektbaserade tillvägagångssätt för katalogstruktur ändrade de ursprungliga reglerna för implicita grupper. Även om du fortfarande inte kan se sammansättningen av de implicita systemgrupperna, kan du inkludera användare, grupper och datorer.
Sammansättningen av en anpassad inbyggd grupp kan konfigureras implicit, till exempel vid inloggning, eller explicit genom åtkomstbehörigheter. Som med andra standardgrupper beror tillgängligheten av implicita grupper på din nätverkskonfiguration.
Kontofunktioner
För att tilldela vissa rättigheter till en användare räcker det att lägga till honom i grupperna och att beröva honom - ta bort honom från motsvarande grupper.
V Följande typer av rättigheter kan tilldelas ett Windows Server 2003-konto.
Privilegium låter dig utföra en specifik administrativ uppgift, som att stänga av systemet. Behörigheter kan tilldelas både användare och grupper.
Inloggningsrättigheter (inloggningsrättigheter) bestämma möjligheten att logga in på systemet, till exempel lokalt. Inloggningsrättigheter kan tilldelas både användare och grupper.
Inbyggda funktioner avsedd för grupper. De är förutbestämda och oföränderliga, men de är tillåtna delegera till användare med behörighet att hantera föremål, OP eller andra behållare. Till exempel ges administratörer och kontooperatörer möjligheten att skapa, ta bort och hantera användarkonton. Med andra ord, en användare som ingår i gruppen Administratörer har rätt att skapa och ta bort användarkonton.
Behörigheter tillgång (åtkomstbehörigheter) bestämma vilka åtgärder som kan utföras på nätverksresurser, till exempel skapa en fil i en mapp. Du kan tilldela åtkomstbehörigheter till användare, datorer och grupper.
Du kan inte ändra de inbyggda funktionerna för en grupp, men du kan ändra dess standardrättigheter. Så administratören kan avbryta nätverkstillgång till en dator genom att ta bort gruppens rätt att komma åt den här datorn från nätverket.
Standardgruppkonton
Den huvudsakliga egenskapen hos standardgrupper är flexibilitet. Om du tilldelar användare till rätt grupper, hantera team eller Windows-domäner Server 2003 kommer att bli mycket enklare. Men i en sådan mängd olika grupper är det inte lätt att förstå syftet med var och en av dem. Låt oss ta en närmare titt på de grupper som används av administratörer och implicita grupper.
Administrativa grupper
Administratören har bred åtkomst till nätverksresurser. Administratörer kan skapa konton, ändra användarrättigheter, installera skrivare, hantera resurser och mer. De huvudsakliga administratörsgrupperna är administratörer, domänadministratörer och företagsadministratörer.
Administratörer) - lokal grupp, beroende på dess plats, ger full administrativ åtkomst till till en separat dator eller en specifik domän. Att utse någon som administratör lokal dator eller domän, inkludera det bara i denna grupp... Endast medlemmar i gruppen Administratörer kan ändra detta konto.
Domain Admins global grupp är utformad för att hjälpa dig att administrera alla datorer på domänen. Den här gruppen har administrativ kontroll över alla datorer i domänen eftersom den är medlem i gruppen Administratörer som standard.
Enterprise Admins global grupp låter dig administrera alla datorer i ett träd eller en skog. Den har administrativ kontroll över alla datorer i företaget, eftersom den som standard ingår i gruppen Administratörer.
Implicita grupper
V Windows Server 2003 har flera inbyggda systemgrupper som låter dig tilldela behörigheter i specifika situationer. Behörigheter för dessa grupper är vanligtvis implicita, men du kan tilldela dem själv när du ändrar Active Directory-objekt.
Själv - innehåller själva objektet och låter det modifiera sig självt.
Anonym inloggning - användare som kommer åt systemet via anonym inloggning... Används för anonym åtkomst till resurser som webbsidor på företagsservrar.
allt ( Alla) - alla interaktiva, nätverksanslutna, uppringda och autentiserade användare. Denna grupp ger bred åtkomst till systemresurser.
Skapargrupp (Skapargrupp) - grupp som används för att automatiskt ge åtkomstbehörigheter till användare som är medlemmar i samma grupp(er) som skaparen av filen eller mappen.
Interaktiv - användare som registrerat sig lokalt. Tillåter åtkomst till resursen endast lokalt användare.
Styrenheter domän företag (Enterprise Domain Controllers) - domänkontrollanter med roller och ansvar över hela företaget. Inkludering i denna grupp gör det möjligt för kontrollanter att utföra specifika uppgifter med hjälp av transitivt förtroende.
Begränsad - användare och datorer med begränsad åtkomst. På en medlemsserver eller arbetsstation inkluderar denna grupp en lokal användare från gruppen Användare.
Batchfiler(Omgång) - användare eller processer som kommer åt systemet som ett batchjobb (eller genom en batchkö).
Terminal Server-användare - Användare som kommer åt systemet via Terminal Services. Tillåter terminalserveranvändare att komma åt serverapplikationer och utföra andra uppgifter.
Ombud - användare och datorer som kommer åt resurser via en proxyserver (används när det finns proxyservrar på nätverket).
Autentiserade användare - användare som kommer åt systemet genom inloggningsprocessen. Den används för att organisera åtkomst till delade resurser och en domän, till exempel filer i en delad mapp som ska vara tillgänglig för alla i organisationen.
nätverk ( Nätverk) - användare som kommer åt systemet via nätverket. Tillåter åtkomst till resursen bara fjärrkontroll användare.
Systemet ( Systemet) - själva operativsystemet Windows Server 2003. Används när operativsystemet behöver utföra en funktion på systemnivå.
Service ( Service) - tjänster som får tillgång till systemet. Ger tillgång till processer som körs Windows-tjänster Server 2003.
Skapare Ägare - användaren som skapade den här filen eller mapp. Används för att automatiskt ge behörigheter till skaparen av en fil eller mapp.
Avlägsen tillgång ( Ringa upp) - användare som kommer åt systemet via en uppringd anslutning.
