Nakonfigurujte zásady správy používateľských práv. Modul snap-in „miestni používatelia a skupiny“

13.07.2019

Modul snap-in sa nachádza v komponente „Správa počítačov“, čo je sada administratívnych nástrojov, ktoré možno použiť na správu jedného počítača, lokálneho alebo vzdialeného. zariadenie « Miestni používatelia a skupiny “ slúži na ochranu a správu používateľských účtov a skupín lokálne umiestnených v počítači. Môžete priradiť oprávnenia a práva účet miestny používateľ alebo skupina na konkrétnom počítači (a iba na tomto počítači).

Použitie Snap „Miestni používatelia a skupiny“ vám umožňuje obmedziť možné akcie používateľov a skupín ich pridelením práv a povolení. Toto právo umožňuje používateľovi vykonávať určité akcie na počítači, napríklad archivovať súbory a priečinky alebo vypnúť počítač. Povolenie je pravidlo spojené s objektom (zvyčajne so súborom, zložkou alebo tlačiarňou), ktoré určuje, ktorí používatelia a aký prístup k objektu sú povolené.

Vytvorenie lokálneho používateľského účtu pomocou modulu snap-in „Miestni používatelia a skupiny“, musíte urobiť nasledovné:

1. Otvorte západku „Miestni používatelia a skupiny“ jedným z nasledujúcich spôsobov:

o Stlačte tlačidlo "Štart" Ak chcete otvoriť menu, otvorte „Ovládací panel“ a zo zoznamu komponentov ovládacieho panela vyberte položku "Správa"potom otvorte komponent „Správa počítačov“, „Správa počítačov“ otvorený „Miestni používatelia a skupiny“;

o Otvorené Konzola MMC pre správu, Kliknite na tlačidlo "Štart", do vyhľadávacieho poľa zadajte mmca potom kliknite na tlačidlo «Enter», Otvorí sa prázdna konzola MMC. V ponuke "Konzola" vyberte tím Pridajte alebo odstráňte modul snap-in alebo použite klávesovú skratku Ctrl + M. V dialógu „Pridávanie a odstraňovanie modulov snap-in“ vyberte snímku „Miestni používatelia a skupiny“ a kliknite na tlačidlo "Pridať", Potom kliknite na tlačidlo "Hotovo"a potom na tlačidlo "OK", V strome konzoly otvorte uzol „Miestni používatelia a skupiny (lokálne)“;

o Na otvorenie dialógového okna použite kombináciu klávesov + R "Run", V dialógovom okne "Run"v teréne "Otvorená" vstúpiť lusrmgr.msc a kliknite na tlačidlo "OK";

2. Otvorte uzol "Užívatelia" a buď v ponuke "Action"alebo vyberte príkaz z kontextovej ponuky « Nový užívateľ» ;

3. V dialógovom okne „Nový používateľ“ zadajte príslušné informácie. Okrem zadaných údajov môžete použiť aj tieto príznaky: Pri nasledujúcom prihlásení požadovať zmenu hesla, Odmietnuť zmenu hesla používateľa, Heslo nevyprší, Zakázať účet a kliknite na tlačidlo "Vytvoriť"a potom "Close".

Ak chcete pridať používateľa do skupiny, dvakrát kliknite na meno používateľa, čím sa dostanete na stránku vlastností používateľa. pútko „Členstvo v skupine“ stlačte tlačidlo "Pridať".

V dialógu „Výber skupiny“ Skupinu pre používateľa môžete vybrať dvoma spôsobmi:

1. V teréne „Zadajte názvy voliteľných objektov“ zadajte názov skupiny a kliknite na tlačidlo Skontrolujte menáako ukazuje nasledujúci obrázok:

2. V dialógu „Výber skupiny“ stlačte tlačidlo "Advanced"otvoriť dialógové okno „Výber skupiny“, V tomto okne kliknite na tlačidlo "Search"Ak chcete zobraziť zoznam všetkých dostupných skupín, vyberte príslušnú skupinu a dvakrát kliknite na tlačidlo "OK".

Ide o nástroj určený na správu miestnych používateľov a skupín. Miestny používateľ alebo skupina je účet, ktorému môžu byť na vašom počítači udelené povolenia a práva.

Modul snap-in Local Users and Groups je dôležitým bezpečnostným nástrojom, pretože vám umožňuje obmedziť možné akcie používateľov a skupín tým, že im priradí práva a oprávnenia. Jeden používateľský účet môže byť členom niekoľkých skupín.

K tomuto modulu snap-in sa dostanete zadaním textu príkazový riadok lusrmgr.msc, V ľavej časti okna, ktoré sa otvorí, sa zobrazia dva priečinky - Používatelia a Skupiny.

V priečinku Users sa zobrazujú dva vstavané používateľské účty - Administrator a Guest, ktoré sa vytvoria automaticky, keď inštalácia systému Windows XP, ako aj všetky vytvorené používateľské účty.

účet správca používa sa pri prvej inštalácii operačný systém, Tento účet vám umožňuje vykonať potrebné akcie skôr, ako používateľ vytvorí svoj vlastný účet. Účet správcu nemožno odstrániť, odpojiť alebo odstrániť z miestnej skupiny správcov, čím sa vylučuje možnosť náhodného straty prístupu k počítaču po zničení všetkých účtov správcu. Táto vlastnosť odlišuje účet správcu od zvyšku členov miestnej skupiny správcov.

účet hosť používajú tí, ktorí nemajú skutočný počítačový účet. Ak je používateľský účet zakázaný (ale nebol odstránený), môže tiež použiť účet Hosť. Účet hosťa nevyžaduje heslo. V predvolenom nastavení je zakázaná, ale môžete ju povoliť.

Ak chcete pridať nové používateľské konto, kliknite pravým tlačidlom myši na priečinok Používatelia a v rozbaľovacej ponuke vyberte položku Nový užívateľ .... V otvorenom okne zadajte údaje a vytvorte nový účet. Ak chcete odstrániť používateľský účet, kliknite pravým tlačidlom myši na jeho názov v pravom okne programu a v rozbaľovacej ponuke vyberte príkaz Odstrániť.

Pre konkrétny účet môžete tiež priradiť cestu k profilu a prihlasovaciemu skriptu (ďalšie informácie nájdete v pomoci).

administrátori

Členstvo v tejto skupine predvolene poskytuje najširšiu množinu povolení a možnosť zmeniť svoje vlastné oprávnenia. Správcovia majú úplné a neobmedzené prístupové práva k počítaču alebo doméne. Práca v systéme Windows XP ako správca robí systém zraniteľným pre trójske kone a ďalšie programy, ktoré ohrozujú bezpečnosť. Iba návšteva webovej stránky môže skutočne poškodiť systém. Neznáme webové stránky môžu obsahovať trójske kone, ktoré sa stiahnu do systému a vykonajú. Ak sa momentálne nachádzate v systéme s právami správcu, takýto program sa môže preformátovať pevný disk, vymazať všetky súbory, vytvoriť nový používateľský účet s administratívnym prístupom atď.

inštalácia operačného systému a jeho komponentov (napríklad ovládače zariadení, systémové služby atď.);
nainštalujte servisné balíky
aktualizácie operačného systému;
obnova operačného systému;
nastavenia najdôležitejších parametrov operačného systému (politika hesiel, riadenie prístupu, politika auditu, nastavenie ovládačov v režime jadra atď.);
prevzatie vlastníctva nedostupných súborov;
správa protokolu zabezpečenia a auditu
zálohovanie a obnovenie systému.

V praxi by sa účty správcu mali často používať na inštaláciu a spúšťanie programov napísaných pre predchádzajúce verzie systému Windows.

Skúsení používatelia

Táto skupina je podporovaná hlavne kvôli kompatibilite s predchádzajúcimi verziami pre spúšťanie necertifikovaných aplikácií. Predvolené povolenia udelené tejto skupine umožňujú členom skupiny meniť nastavenia počítača. Ak sa vyžaduje podpora pre necertifikované aplikácie, koncoví používatelia by mali byť členmi skupiny Advanced Users.

Členovia skupiny Power Users majú viac povoleníako členovia skupiny Users a menej ako členovia skupiny Administrators. Skúsení používatelia môžu s operačným systémom vykonávať akékoľvek úlohy, s výnimkou úloh vyhradených pre skupinu Administrators.

Skúsení používatelia môžu:

spúšťať aplikácie certifikované pre Windows 2000 a Windows XP Professional, ako aj staršie aplikácie;
inštalovať programy, ktoré neupravujú súbory operačného systému a systémové služby;
nakonfigurujte prostriedky na úrovni systému vrátane tlačiarní, dátumu a času, možností napájania a ďalších prostriedkov ovládacieho panela
vytvárajte a spravujte účty miestnych používateľov a skupín
zastavenie a spustenie systémových služieb, ktoré nie sú predvolene spustené.

Skúsení používatelia sa nemôžu pridať do skupiny Administrators. Nemajú prístup k údajom iných používateľov na zväzku NTFS, ak nezískajú príslušné povolenia týchto používateľov. Keďže pokročilí používatelia môžu inštalovať a upravovať programy, práca pod skupinovým účtom „Pokročilí používatelia“ pri pripojení na internet môže spôsobiť zraniteľnosť systému voči trójskym koňom a iným programom, ktoré ohrozujú bezpečnosť.

užívatelia

Členovia tejto skupiny nemôžu zdieľať adresáre ani vytvárať miestne tlačiarne. Skupina Users poskytuje najbezpečnejšie prostredie pre spúšťanie programov. Pri hlasitosti pomocou súborový systém Predvolené bezpečnostné nastavenia NTFS novo nainštalovaného (neaktualizovaného) systému sú navrhnuté tak, aby zabránili narušeniu integrity operačného systému a systému nainštalované programy členovia tejto skupiny. Používatelia nemôžu meniť nastavenia registra na úrovni systému, operačného systému alebo programových súborov. Používatelia môžu vypnúť pracovné stanice, ale nie servery. Používatelia môžu vytvárať miestne skupiny, ale môžu ich spravovať iba tí, ktorých vytvorili. Užívatelia majú plný prístup do vašich dátových súborov a časti databázy Registry (HKEY_CURRENT_USER). Povolenia na úrovni používateľa však často bránia používateľovi v spúšťaní starších aplikácií. Členom skupiny Users je zaručené, že budú spúšťať iba aplikácie certifikované Windows.

Operátori archívu

Členovia tejto skupiny môžu zálohovať a obnovovať súbory v počítači bez ohľadu na všetky povolenia, ktoré ich chránia. Môžu sa tiež prihlásiť a vypnúť počítač, nemôžu však zmeniť nastavenia zabezpečenia. Na archiváciu a obnovu dátových súborov a systémové súbory vyžaduje sa oprávnenie na čítanie a zápis. Predvolené povolenia pre operátorov archívov, ktoré im umožňujú archivovať a obnovovať súbory, im umožňujú používať skupinové povolenia na iné účely, napríklad na čítanie súborov od iných používateľov a inštaláciu programov s vírusmi trójskych koní.

hostia

Členovia tejto skupiny majú v predvolenom nastavení rovnaké práva ako používatelia, s výnimkou účtu Hosť, ktorý má ešte obmedzené práva.

Operátori nastavenia siete

Členovia tejto skupiny môžu mať niektorých členov administratívne práva na ovládanie sieťových nastavení.

Používatelia vzdialenej pracovnej plochy

Členovia tejto skupiny majú právo na diaľkové prihlásenie.

Ak chcete pridať používateľský účet do konkrétnej skupiny, kliknite pravým tlačidlom myši na názov skupiny a v rozbaľovacej ponuke vyberte možnosť Pridať do skupiny. Podrobnejšia pomoc pri vykonávaní týchto a ďalších úloh týkajúcich sa používateľských a skupinových účtov, ako aj ďalšie úplný opis čítať používateľské a skupinové účty v pomocníkovi modulu snap-in Lokálni používatelia a skupiny.

Alexander Emelyanov

Správa účtu služby Active Directory

Jednou z najdôležitejších úloh správcu je správa miestnych a doménových účtov: audit, kvóty a vymedzenie užívateľských práv v závislosti od ich potrieb a firemných zásad. Čo môže služba Active Directory ponúkať v tomto ohľade?

V pokračovaní série článkov o službe Active Directory dnes hovoríme o ústrednom prepojení v procese správy - správe používateľských poverení v doméne. Zvážime:

tvorba a správa účtov;
typy užívateľských profilov a ich aplikácia;
skupiny zabezpečenia v doménach AD a ich kombinácie.

Nakoniec môžete tieto materiály použiť na vybudovanie funkčnej infraštruktúry alebo vylepšenie existujúcej infraštruktúry, ktorá bude vyhovovať vašim požiadavkám.

Pri pohľade do budúcnosti poviem, že téma úzko súvisí s využívaním skupinových politík na administratívne účely. Ale kvôli obrovskému množstvu materiálu, ktorý je im venovaný, bude uvedený v nasledujúcom článku.

Predstavujeme Active Directory - používatelia a počítače

Po nainštalovaní prvého radiča do domény (čím ste vlastne usporiadali doménu) sa v sekcii „Správa“ zobrazí päť nových prvkov (pozri obrázok 1).

Ak chcete spravovať objekty AD, používajte používateľov a počítače služby Active Directory (ADUC - používatelia a počítače AD, pozri obrázok 2), ktoré môžete vyvolať aj prostredníctvom ponuky Spustiť prostredníctvom služby DSA.MSC.

Pomocou služby ADUC môžete vytvárať a odstraňovať používateľov, priradiť prihlasovacie skripty k účtu a spravovať členstvo v skupinách a skupinové politiky.

Existuje tiež možnosť spravovať objekty AD bez priameho prístupu na server. Poskytuje ho balík ADMINPAK.MSI, ktorý sa nachádza v adresári "% SYSTEM_DRIVE% \\ Windows \\ system32". Nasadením do počítača a poskytnutím práv administrátora domény (ak neexistovali) môžete spravovať doménu.

Po otvorení služby ADUC sa zobrazí vetva našej domény, ktorá obsahuje päť kontajnerov a organizačné jednotky.

vstavaný, Obsahuje vstavané miestne skupiny, ktoré existujú na ľubovoľnom serverovom počítači vrátane radičov domén.
Používatelia a počítače, Sú to kontajnery, ktoré predvolene nastavujú hostitelia, skupiny a kontá počítačov pri inštalácii systému nad Windows NT. Ak však chcete vytvoriť a uložiť nové účty, nemusíte používať iba tieto kontajnery, môžete si vytvoriť používateľa aj v doménovom kontajneri. Keď zapnete počítač v doméne, zobrazí sa v kontajneri Počítače.
Radiče domény, Toto je organizačná jednotka (OU), ktorá v predvolenom nastavení obsahuje radiče domény. Keď vytvoríte nový radič, zobrazí sa tu.
ForeignSecurityPrincipals, Toto je predvolený kontajner pre objekty z externých dôveryhodných domén.

Je dôležité si uvedomiť, že objekt GPO je viazaný výlučne na doménu, organizačnú jednotku alebo web. Toto by sa malo zohľadniť pri vytváraní administratívnej hierarchie vašej domény.

Počítač zadáme do domény

Procedúra sa vykonáva priamo na lokálnom počítači, ktorý sa chceme pripojiť.

Vyberte „Tento počítač -\u003e Vlastnosti -\u003e Názov počítača“, kliknite na tlačidlo „Zmeniť“ a vyberte „doména“ v ponuke „Je členom“. Zadáme názov domény, do ktorej chceme pridať náš počítač, a potom dokážeme, že máme práva na pridanie pracovných staníc do domény zadaním autentifikačných informácií správcu domény.

Vytvorte používateľa domény

Ak chcete vytvoriť používateľa, musíte vybrať akýkoľvek kontajner, v ktorom sa bude nachádzať, kliknite naň pravým tlačidlom myši a vyberte príkaz Vytvoriť -\u003e Používateľ. Otvorí sa Sprievodca vytvorením používateľa. Tu môžete zadať veľa jeho atribútov, počnúc užívateľským menom a časovým rámcom pre vstup do domény a končiac nastavením pre terminálové služby a vzdialený prístup, Po dokončení sprievodcu dostanete nového používateľa domény.

Je potrebné poznamenať, že v procese vytvárania používateľa môže systém „prisahať“ na nedostatočnú zložitosť hesla alebo jeho stručnosť. Požiadavky môžete zmierniť otvorením „zásad zabezpečenia domény“ (predvolené nastavenia zabezpečenia domény) a potom „nastavenia zabezpečenia -\u003e zásady účtu -\u003e politika hesiel“.

Vytvorme používateľa Ivan Ivanov v kontajneri Users (prihlasovacie meno používateľa: [chránený e-mailom]). Ak v systémoch NT 4 tento názov hral iba úlohu dekorácie, potom v AD je súčasťou názvu vo formáte LDAP, ktorý vyzerá takto:

cn \u003d "Ivan Ivanov", cn \u003d "Používatelia", dc \u003d "hq", dc \u003d "local"

Tu je cn názov kontajnera, dc je komponent domény. Popisy objektov vo formáte LDAP sa používajú na spúšťanie skriptov WSH (hostitelia skriptov Windows) alebo pre programy, ktoré na komunikáciu s Active Directory používajú protokol LDAP.

Pre vstup do domény bude Ivan Ivanov musieť použiť meno vo formáte UPN (Universal Principal Name): [chránený e-mailom] Aj v AD doménach bude pravopis názvu v starom formáte NT 4 (pred Win2000), v našom prípade HQ \\ Ivanov, jasný.

Pri vytváraní používateľského účtu sa automaticky priradí bezpečnostný identifikátor (SID, Security Identifier) \u200b\u200b- jedinečné čísločím systém definuje používateľov. Toto je veľmi dôležité pochopiť, pretože keď odstránite účet, jeho SID sa tiež odstráni a už sa nikdy viac nepoužije. A každý nový účet bude mať svoje vlastné nové SID, a preto nebude schopný získať práva a privilégiá starého.

Účet možno presunúť do iného kontajnera alebo OU, deaktivovať alebo naopak povoliť, skopírovať alebo zmeniť heslo. Kopírovanie sa často používa na vytvorenie viacerých používateľov s rovnakými parametrami.

Pracovný priestor používateľa

Poverenia uložené centrálne na serveri umožňujú používateľom jedinečnú identifikáciu sa v doméne a získanie príslušných práv a prístupu k pracovnému prostrediu. Všetky operačné systémy rodiny Windows NT používajú užívateľský profil na vytvorenie pracovného prostredia na klientskom počítači.

Miestny profil

Zvážte hlavné komponenty profilu používateľa:

Kľúč databázy Registry, ktorý zodpovedá konkrétnemu používateľovi („úľ“ alebo „úľ“).Údaje tejto vetvy registra sú v skutočnosti uložené v súbore NTUSER.DAT. Nachádza sa v priečinku% SYSTEMDRIVE% \\ Documents a nastavenia\\ User_name, ktoré obsahuje užívateľský profil. Keď sa teda konkrétny používateľ prihlási do systému, NTDER.DAT "úľa" sa načíta do kľúča registra HKEY_CURRENT_USER z priečinka obsahujúceho jeho profil. A všetky zmeny v nastaveniach používateľského prostredia pre reláciu sa uložia presne do tohto „úľa“. Súbor NTUSER.DAT.LOG je protokol transakcií, ktorý existuje na ochranu súboru NTUSER.DAT. Pre predvoleného používateľa ho však pravdepodobne nenájdete, pretože ide o šablónu. O tom ďalej. Správca má možnosť upravovať „úľ“ konkrétneho používateľa priamo z jeho pracovného prostredia. Ak to chcete urobiť, pomocou editora databázy REGEDIT32 musí načítať „úľ“ do sekcie HKEY_USERS a po vykonaní zmien ju uvoľniť.
Priečinky súborového systému obsahujúce súbory používateľských nastavení. Sú umiestnené v špeciálnom adresári% SYSTEMDRIVE% \\ Documents and Settings \\ User_name, kde User_name je meno prihláseného používateľa. Tu sú uložené položky na pracovnej ploche, položky pri spustení, dokumenty atď.

Ak sa užívateľ prihlási prvýkrát, nastane toto:

Systém skontroluje, či existuje lokálny profil tohto používateľa.
Systém ho nenájde a kontaktuje radič domény pri hľadaní predvoleného profilu domény, ktorý by sa mal nachádzať v priečinku Default User na zdieľaní NETLOGON; Ak systém zistí tento profil, skopíruje sa lokálne do zariadenia v priečinku% SYSTEMDRIVE% \\ Documents and Settings s menom používateľa, inak sa skopíruje z lokálneho priečinka% SYSTEMDRIVE% \\ Documents and Settings \\ Default User.
Do podklíča registra HKEY_CURRENT_USER sa načíta vlastný podregister.
Po ukončení systému sa všetky zmeny uložia lokálne.

Pracovné prostredie používateľa je v konečnom dôsledku kombináciou jeho pracovného profilu a profilu Všetci používatelia, ktorý obsahuje nastavenia spoločné pre všetkých používateľov tohto zariadenia.

Teraz pár slov o vytvorení predvoleného profilu pre doménu. Vytvorte na svojom počítači fiktívny profil, nakonfigurujte ho podľa svojich potrieb alebo požiadaviek podnikovej politiky. Potom sa odhláste a prihláste sa ako správca domény. Na zdieľaní servera NETLOGON vytvorte priečinok Default User. Ďalej pomocou karty Používateľské profily v aplete Systém (pozri obrázok 3) skopírujte svoj profil do tohto priečinka a udeľujte mu právo používať ho v skupine Users Users alebo inej vhodnej bezpečnostnej skupine. To je všetko, bol vytvorený predvolený profil vašej domény.

Cestovný profil

Active Directory, ako flexibilná a škálovateľná technológia, vám umožňuje pracovať s cestovnými profilmi vo vašom podnikovom prostredí, o ktorých budeme diskutovať neskôr.

Zároveň bude vhodné hovoriť o presmerovaní priečinkov ako o jednej z možností technológie IntelliMirror na zabezpečenie odolnosti voči chybám a centralizované ukladanie užívateľských údajov.

Cestovné profily sú uložené na serveri. Cesta k nim je zadaná v užívateľských nastaveniach domény (pozri obr. 4).

Ak je to potrebné, môžete určiť roamingové profily pre viacerých používateľov súčasne výberom viacerých používateľov a vo vlastnostiach na karte Profil určte namiesto priečinka s používateľským menom% USERNAME% (pozri obr. 5).

Proces prvého prihlásenia sa k používateľovi s cestovným profilom je až na niektoré výnimky podobný miestnemu opísanému vyššie pre miestny.

Najprv, keď je zadaná cesta k profilu v objekte používateľa, systém skontroluje lokálnu kópiu profilu v stroji v pamäti, potom je všetko popísané.

Po druhé, po dokončení práce sa všetky zmeny skopírujú na server a ak skupinové politiky nenariadili odstránenie miestnej kópie, uložia sa do tohto počítača. Ak už užívateľ mal lokálnu kópiu profilu, porovnajú sa server a lokálne kópie profilu a skombinujú sa.

Technológia IntelliMirror systémy Windows najnovšie verzie vám umožňuje presmerovať určité priečinky používateľov, napríklad „Moje dokumenty“, „Moje obrázky“ atď., na sieťový prostriedok.

Pre používateľa budú teda všetky vykonané zmeny úplne transparentné. Uložením dokumentov do priečinka „Moje dokumenty“, ktorý bude samozrejme presmerovaný na sieťový prostriedok, nebude mať ani podozrenie, že sa všetko ukladá na server.

Presmerovanie môžete nakonfigurovať buď manuálne pre každého používateľa, alebo pomocou skupinových politík.

V prvom prípade musíte kliknúť na ikonu „Moje dokumenty“ na pracovnej ploche alebo v ponuke „Štart“ pravým tlačidlom myši a vybrať vlastnosti. Potom je všetko veľmi jednoduché.

V druhom prípade musíte otvoriť politiku OU alebo skupiny domén, pre ktorú chceme presmerovanie použiť, a rozšíriť hierarchiu „Konfigurácia používateľa -\u003e Konfigurácia systému Windows“ (pozri obrázok 6). Ďalej je presmerovanie nakonfigurované buď pre všetkých používateľov, alebo pre konkrétne skupiny bezpečnostných jednotiek OU alebo doménu, na ktorú sa bude uplatňovať toto skupinové pravidlo.

Pomocou presmerovania priečinkov na prácu s cestovnými užívateľskými profilmi môžete dosiahnuť napríklad zníženie času načítania profilu. Toto je za predpokladu, že cestovný profil sa vždy načíta zo servera bez použitia lokálnej kópie.

Príbeh o technológii presmerovania priečinkov by bol neúplný bez uvedenia súborov offline. Umožňujú používateľom pracovať s dokumentmi, aj keď nie sú pripojení k sieti. Synchronizácia so serverovými kópiami dokumentov nastane pri nasledujúcom pripojení počítača k sieti. Takáto organizačná schéma bude užitočná napríklad pre používateľov prenosných počítačov pracujúcich ako súčasť systému Windows 7 lokálna sieťtak doma.

Nevýhody roamingových profilov zahŕňajú:

môže nastať situácia, keď napríklad existujú skratky niektorých programov na pracovnej ploche používateľa a na inom počítači, kde chce vlastník cestovného profilu pracovať, takéto programy nie sú nainštalované, niektoré skratky nebudú fungovať;
veľa používateľov má vo zvyku ukladať dokumenty, ako aj fotografie a dokonca aj videá na pracovnú plochu. Výsledkom je, že pri načítaní cestovného profilu zo servera sa v sieti zakaždým vytvorí ďalší prenos a načítanie samotného profilu trvá veľmi dlho. na vyriešenie problému použite oprávnenie NTFS na obmedzenie uchovávania "smetí" na pracovnej ploche;
zakaždým, keď sa užívateľ prihlási do systému, pre neho sa vytvorí lokálny profil (presnejšie, profil zo servera sa skopíruje lokálne) a ak zmení pracovné stroje, potom je na každom z nich taký odpad; tomu sa dá vyhnúť určitým spôsobom nastavením skupinových politík (zásady „Konfigurácia počítača -\u003e Šablóny pre správu -\u003e Systém -\u003e Profily používateľov“, „Vymazať kópie cestovných profilov v pamäti“).

Zadanie existujúceho používateľa do domény

Pri zavádzaní adresárovej služby v existujúcej sieti založenej na pracovných skupinách často vyvstáva otázka zavedenia používateľa do domény bez straty nastavení jeho pracovného prostredia. To sa dá dosiahnuť pomocou cestovných profilov.

Na serveri vytvorte priečinok s menom používateľa v sieťovom zdieľaní servera (napríklad Profily) a nastavte pre neho oprávnenie na zápis pre skupinu Všetci. Nech sa volá HQUser a úplná cesta k nemu vyzerá takto: \\\\ Server \\ Profiles \\ HQUser.

Vytvorte doménového používateľa, ktorý bude korešpondovať s používateľom vašej lokálnej siete a ako cestu k profilu zadajte \\\\ Server \\ Profiles \\ HQUser.

V počítači obsahujúcom lokálny profil nášho používateľa sa musíte prihlásiť ako správca a pomocou karty Používateľské profily v aplete Systém skopírovať do priečinka \\\\ Server \\ Profiles \\ HQUser.

Je ľahké pochopiť, že nabudúce, keď sa prihlásite do systému pod novým doménovým účtom, náš užívateľ stiahne svoj pracovný profil zo servera a správca sa bude musieť rozhodnúť len o tom, či tento profil ponechá hnuteľný alebo lokálny.

citovať

Užívatelia často načítajú sieťové disky zbytočnými informáciami. Ak chcete zabrániť neustálym požiadavkám na čistenie osobných priečinkov od zbytočného odpadu (z nejakého dôvodu sa vždy ukazuje, že je to potrebné), môžete použiť mechanizmus kvót. Od systému Windows 2000 je to možné. štandardné prostriedky na zväzkoch NTFS.

Ak chcete povoliť a nakonfigurovať mechanizmus kvót, prejdite na vlastnosti miestneho zväzku a otvorte kartu Kvóta (pozri obr. 7).

Môžete tiež vidieť údaje na obsadenom disku a konfigurovať kvóty osobitne pre každého používateľa (pozri obr. 8). Systém vypočíta obsadené miesto na disku na základe údajov o vlastníkovi objektov a spočíta množstvo súborov a priečinkov, ktoré k nemu patria.

Skupiny používateľov v službe AD

Správa používateľov v doméne je jednoduchá úloha. Ak však potrebujete nakonfigurovať prístup k určitým zdrojom pre niekoľko desiatok (alebo dokonca stoviek) používateľov, distribúcia prístupových práv môže trvať veľa času.

A ak existuje potreba jemne rozlišovať práva účastníkov vo viacerých doménach v strome alebo lese, správca čelí úlohe podobnej úlohám z teórie množín. Na záchranu tu slúži skupina.

Hlavné charakteristiky stretnutí skupín v doméne boli uvedené v predchádzajúcom článku o architektúre adresárových služieb.

Dovoľte mi pripomenúť, že skupiny miestnych domén môžu zahrnúť používateľov svojej domény a ďalších domén do doménovej štruktúry, ale jej rozsah je obmedzený na doménu, do ktorej patrí.

Globálne skupiny môžu zahŕňať iba používateľov svojej domény, ale je možné ich použiť na zabezpečenie prístupu k zdrojom v rámci ich vlastnej aj inej domény v lese.

Univerzálne skupiny, ktoré zodpovedajú ich názvu, môžu obsahovať používateľov z ľubovoľnej domény a môžu sa tiež použiť na zabezpečenie prístupu v celej doménovej štruktúre. Nezáleží na tom, v ktorej doméne bude univerzálna skupina vytvorená. Jediné, čo je potrebné zvážiť, je to, že keď sa presunie, stratia sa prístupové práva a bude potrebné ich znovu prideliť.

Ak chcete pochopiť vyššie uvedené a základné princípy hniezdnych skupín, zvážte príklad. Predpokladajme, že máme štruktúru obsahujúcu dve domény HQ.local a SD.local (ktorá z nich je v tomto prípade root, na tom nezáleží). Každá z domén obsahuje zdroje, ku ktorým musí byť udelený prístup, a používateľov (pozri obr. 9).

Z obr. Obrázok 9 ukazuje, že všetci používatelia v lese (zelené a červené čiary) musia mať prístup k dokumentom a distribučným zdrojom, aby sme mohli vytvoriť univerzálnu skupinu obsahujúcu používateľov z oboch domén a použiť ju pri zadávaní prístupových povolení pre oba zdroje. Alebo môžeme v každej doméne vytvoriť dve globálne skupiny, ktoré budú obsahovať používateľov iba ich vlastnej domény a zahrnúť ich do univerzálnej skupiny. Ktorúkoľvek z týchto globálnych skupín možno použiť aj na pridelenie práv.

Prístup do adresára Base by mal byť prístupný iba pre používateľov z domény HQ.local (modré čiary), takže ich zahrneme do skupiny lokálnych domén a poskytneme prístup do tejto skupiny.

Členovia domény HQ.local aj členovia domény SD.local (oranžové čiary na obrázku 9) budú mať právo používať distribučný katalóg. Preto môžeme do globálnej skupiny domény HQ.local pridať manažérov a platov a potom túto skupinu pridať do lokálnej skupiny domény SD.local spolu s používateľom IT. Potom táto miestna skupina poskytuje prístup k prostriedku Distribúcia.

Teraz zvážime vnorenie týchto skupín podrobnejšie a zvážime ďalší typ skupiny - vstavané skupiny miestnych domén.

Tabuľka ukazuje, ktoré skupiny môžu byť vnorené. Tu horizontálne umiestnené skupiny, v ktorých sú skupiny usporiadané vertikálne. Plus znamená, že jeden druh skupiny môže byť vnorený do iného, \u200b\u200bmínus - nie.

Na niektorých internetových zdrojoch určených na certifikačné skúšky spoločnosti Microsoft som videl zmienku o takomto vzorci - AGUDLP, čo znamená: Účty sú umiestnené v globálnych skupinách, ktoré sú umiestnené v univerzálnych skupinách umiestnených v miestnych skupiny domén (Domain Local), na ktoré sa vzťahujú povolenia (Povolenia). Tento vzorec plne popisuje možnosť hniezdenia. Je potrebné dodať, že všetky tieto typy môžu byť vnorené do miestnych skupín jedného počítača (lokálna doména výlučne v rámci svojej vlastnej domény).

Vnorenie doménových skupín

hniezdenia	Miestne skupiny	Globálne skupiny	Univerzálne skupiny
účet
Miestne skupiny	+ (s výnimkou vstavaných miestnych skupín a iba v rámci vlastnej domény)
Globálne skupiny		+ (iba vo vlastnej doméne)
Univerzálne skupiny

Vstavané skupiny miestnych domén sa nachádzajú v zabudovanom kontajneri a v skutočnosti sú to skupiny miestnych počítačov, ale iba pre radiče domény. A na rozdiel od skupín miestnych domén z kontajnera Users ich nemožno presunúť do iných organizačných jednotiek.

Správne porozumenie procesu správy účtu vám umožní vytvoriť dobre vyladené podnikové pracovné prostredie, ktoré poskytne flexibilitu správy a čo je najdôležitejšie, odolnosť a bezpečnosť domény. V nasledujúcom článku budeme hovoriť o skupinových politikách ako o nástroji na vytvorenie používateľského prostredia.

prihláška

Nuansy autentifikácie domény

Pri používaní lokálnych profilov môže nastať situácia, keď sa užívateľ domény pokúsi prihlásiť na pracovnú stanicu, ktorá má svoj lokálny profil, ale z nejakého dôvodu nemá prístup k radiču. Prekvapivo bude používateľ úspešne overený a bude mu dovolené pracovať.

Táto situácia nastáva v dôsledku ukladania poverenia používateľa do vyrovnávacej pamäte a dá sa napraviť vykonaním zmien v registri. Ak to chcete urobiť, v priečinku HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon vytvorte (ak neexistuje) položku s názvom CachedLogonCount, typ údajov REG_DWORD a jeho hodnotu nastavte na nulu. Podobný výsledok sa dá dosiahnuť pomocou skupinových politík.

Emelyanov A. Zásady budovania domén služby Active Directory, // „Správca systému“, č. 2, 2007 - S. 38-43.

VKontakte

K tomuto modulu snap-in sa dostanete zadaním príkazu lusrmgr.msc do príkazového riadka

V ľavej časti okna, ktoré sa otvorí, sa zobrazia dva priečinky - Používatelia a Skupiny

V priečinku Users sa zobrazujú dva vstavané používateľské účty - administrátor a hosť, ktoré sa vytvárajú automaticky pri inštalácii systému Wundows XP, ako aj všetky vytvorené používateľské účty.

Účet správcu sa používa počas prvej inštalácie operačného systému. Tento účet vám umožňuje vykonať potrebné akcie skôr, ako používateľ vytvorí svoj vlastný účet. Účet správcu nemožno odstrániť, odpojiť alebo odstrániť z miestnej skupiny správcov, čím sa vylučuje možnosť náhodného straty prístupu k počítaču po zničení všetkých účtov správcu. Táto vlastnosť odlišuje účet správcu od ostatných členov miestnej skupiny správcov. Účet hosťa používajú tí, ktorí v počítači nemajú skutočný účet. Ak je používateľský účet zakázaný (ale nebol odstránený), môže tiež použiť účet Hosť. Účet hosťa nevyžaduje heslo. V predvolenom nastavení je zakázaná, ale môžete ju povoliť.

Pre konkrétny účet môžete tiež priradiť cestu k profilu a prihlasovaciemu skriptu (ďalšie informácie nájdete v pomoci).

Priečinok Skupiny zobrazuje všetky vstavané skupiny a skupiny vytvorené používateľmi. Vstavané skupiny sa vytvoria automaticky pri inštalácii systému Windows XP. Príslušnosť k skupine dáva používateľom práva a príležitosti na vykonávanie rôznych úloh na počítači. Nasledujú vlastnosti niektorých vstavaných skupín:
Správcovia - Členstvo v tejto skupine predvolene poskytuje najširšiu množinu povolení a možnosť zmeniť svoje vlastné oprávnenia. Správcovia majú úplné a neobmedzené prístupové práva k počítaču alebo doméne. Práca v systéme Windows XP ako správca robí systém zraniteľným pre trójske kone a ďalšie programy, ktoré ohrozujú bezpečnosť. Iba návšteva webovej stránky môže skutočne poškodiť systém. Neznáme webové stránky môžu obsahovať trójske kone, ktoré sa stiahnu do systému a vykonajú. Ak ste v súčasnosti v systéme s právami správcu, takýto program môže preformátovať pevný disk, odstrániť všetky súbory, vytvoriť nový používateľský účet s administratívnym prístupom atď.

inštalácia operačného systému a jeho komponentov (napríklad ovládače zariadení, systémové služby atď.);

nainštalujte servisné balíky

aktualizácie operačného systému;

obnova operačného systému;

nastavenia najdôležitejších parametrov operačného systému (politika hesiel, riadenie prístupu, politika auditu, nastavenie ovládačov v režime jadra atď.);

prevzatie vlastníctva nedostupných súborov;

správa protokolu zabezpečenia a auditu

zálohovanie a obnovenie systému.

V praxi by sa účty správcu mali často používať na inštaláciu a spúšťanie programov napísaných pre predchádzajúce verzie systému Windows.

Skúsení používatelia - táto skupina je podporovaná hlavne kvôli kompatibilite s predchádzajúcimi verziami pre spúšťanie necertifikovaných aplikácií. Predvolené povolenia udelené tejto skupine umožňujú členom skupiny meniť nastavenia počítača. Ak sa vyžaduje podpora pre necertifikované aplikácie, koncoví používatelia by mali byť členmi skupiny Advanced Users.
Členovia skupiny Advanced Users majú viac povolení ako členovia skupiny Users a menej ako členovia skupiny Administrators. Skúsení používatelia môžu s operačným systémom vykonávať akékoľvek úlohy, s výnimkou úloh vyhradených pre skupinu Administrators.

Skúsení používatelia môžu:

spúšťať aplikácie certifikované pre Windows 2000 a Windows XP Professional, ako aj staršie aplikácie;

inštalovať programy, ktoré neupravujú súbory operačného systému a systémové služby;

nakonfigurujte prostriedky na úrovni systému vrátane tlačiarní, dátumu a času, možností napájania a ďalších prostriedkov ovládacieho panela

vytvárajte a spravujte účty miestnych používateľov a skupín

zastavenie a spustenie systémových služieb, ktoré nie sú predvolene spustené.

Používatelia, ktorí sú členmi tejto skupiny, nemôžu zdieľať adresáre ani vytvárať miestne tlačiarne. Skupina Users poskytuje najbezpečnejšie prostredie pre spúšťanie programov. Na zväzku súborového systému NTFS sú predvolené bezpečnostné nastavenia novo nainštalovaného (neaktualizovaného) systému navrhnuté tak, aby členovia tejto skupiny zabránili integrite operačného systému a nainštalovaných programov. Používatelia nemôžu meniť nastavenia registra na úrovni systému, operačného systému alebo programových súborov. Používatelia môžu vypnúť pracovné stanice, ale nie servery. Používatelia môžu vytvárať miestne skupiny, ale iba tie, ktoré vytvoria, môžu spravovať. Používatelia majú plný prístup k svojim údajovým súborom a ich časti registra (HKEY_CURRENT_USER). Povolenia na úrovni používateľa však často bránia používateľovi v spúšťaní starších aplikácií. Členom skupiny Users je zaručené, že budú spúšťať iba aplikácie certifikované Windows.

Archivátori - členovia tejto skupiny môžu archivovať a obnovovať súbory v počítači bez ohľadu na všetky povolenia, ktoré tieto súbory chránia. Môžu sa tiež prihlásiť a vypnúť počítač, nemôžu však zmeniť nastavenia zabezpečenia. Archivácia a obnova dát a systémových súborov vyžaduje povolenie na čítanie a zápis. Predvolené povolenia pre operátorov archívov, ktoré im umožňujú archivovať a obnovovať súbory, im umožňujú používať skupinové povolenia na iné účely, napríklad na čítanie súborov od iných používateľov a inštaláciu programov s trójskymi vírusmi.

Hostia - členovia tejto skupiny, majú predvolene rovnaké práva ako používatelia, s výnimkou účtu Hosť, ktorý má ešte obmedzené práva.

Operátori konfigurácie siete - Členovia tejto skupiny môžu mať niektoré administrátorské práva na riadenie konfigurácie nastavení siete.

Používatelia vzdialenej pracovnej plochy - Členovia tejto skupiny majú právo na diaľkové prihlásenie.

Ak chcete pridať používateľský účet do konkrétnej skupiny, kliknite pravým tlačidlom myši na názov skupiny a v rozbaľovacej ponuke vyberte možnosť Pridať do skupiny.

Podrobnejšiu pomoc s vykonávaním týchto a ďalších úloh súvisiacich s používateľskými a skupinovými účtami, ako aj podrobnejší popis používateľských a skupinových účtov nájdete v pomocníkovi pre modul snap-in Lokálni používatelia a skupiny.

K tomuto modulu snap-in sa dostanete zadaním príkazu lusrmgr.msc do príkazového riadka

V ľavej časti okna, ktoré sa otvorí, sa zobrazia dva priečinky - Používatelia a Skupiny

Pre konkrétny účet môžete tiež priradiť cestu k profilu a prihlasovaciemu skriptu (ďalšie informácie nájdete v pomoci).

inštalácia operačného systému a jeho komponentov (napríklad ovládače zariadení, systémové služby atď.);

nainštalujte servisné balíky

aktualizácie operačného systému;

obnova operačného systému;

nastavenia najdôležitejších parametrov operačného systému (politika hesiel, riadenie prístupu, politika auditu, nastavenie ovládačov v režime jadra atď.);

prevzatie vlastníctva nedostupných súborov;

správa protokolu zabezpečenia a auditu

zálohovanie a obnovenie systému.

V praxi by sa účty správcu mali často používať na inštaláciu a spúšťanie programov napísaných pre predchádzajúce verzie systému Windows.

Skúsení používatelia môžu:

spúšťať aplikácie certifikované pre Windows 2000 a Windows XP Professional, ako aj staršie aplikácie;

inštalovať programy, ktoré neupravujú súbory operačného systému a systémové služby;

nakonfigurujte prostriedky na úrovni systému vrátane tlačiarní, dátumu a času, možností napájania a ďalších prostriedkov ovládacieho panela

vytvárajte a spravujte účty miestnych používateľov a skupín

zastavenie a spustenie systémových služieb, ktoré nie sú predvolene spustené.

Hostia - členovia tejto skupiny, majú predvolene rovnaké práva ako používatelia, s výnimkou účtu Hosť, ktorý má ešte obmedzené práva.

Operátori konfigurácie siete - Členovia tejto skupiny môžu mať niektoré administrátorské práva na riadenie konfigurácie nastavení siete.

Používatelia vzdialenej pracovnej plochy - Členovia tejto skupiny majú právo na diaľkové prihlásenie.

Ak chcete pridať používateľský účet do konkrétnej skupiny, kliknite pravým tlačidlom myši na názov skupiny a v rozbaľovacej ponuke vyberte možnosť Pridať do skupiny.

win-keys.ru