Методические указания к выполнению лабораторных работ (1086236), страница 6
Текст из файла (страница 6)
В отношении правил именования следует всегда помнить, что используемые имена должны быть уникальными, длина их не должна превышать 20 символов, они не должны содержать символы типа ", \, /, [, ],;,:, „ =, +, ?, <, > и не должны быть чувствительными к регистру.
Максимальная длина пароля - 128 символов, рекомендуется использовать не менее восьми и всегда назначать пароль встроенным учетным записям. Пароль не должен быть связным контекстом, который легко подбирается программой-взломщиком по словарю. В этом смысле пароль типа белый@popygau считается очень удачным.
Локальные учетные записи. Создание новых локальных учетных записей производится с помощью окна Local Users and Groups оснастки Computer Management в меню Start\Programs \Administrative Tools (рис. 12). При желании для управления пользователями и группами можно применять Control Panel\Users and Passwords\ Properties Advanced (рис.13).
При создании нового пользователя употребляются следующие параметры (рис. 3.20);
-
имя пользователя - необходимо для входа в систему;
-
полное имя, включает имя и фамилию пользователя;
-
описание, заполнять его необязательно;
-
пароль - для повышения уровня защиты всегда назначайте пароль, длина не более 20 символов;
-
подтверждение пароля, если он был назначен;
-
потребовать смену пароля при следующем входе в систему, выставляется по умолчанию, может быть сброшен;
-
запретить смену пароля пользователю;
-
срок действия пароля не ограничен;
-
учетная запись отключена.
Далее, в диалоговом окне свойств локальной учетной записи пользователя имеются 3 вкладки: общие, членство в группах и профиль (рис. 3.21). В зависимости от функций, которые выполняет данный пользователь, можно определить его принадлежность к различным группам и установки профиля.
Каждый пользователь Windows 2003 работает в уникальном окружении, которое формируется из доступных ему разделяемых файлов и принтеров, значков Program Manager, автоматически устанавливаемых сетевых соединений, обоев, заставок, меню, личных данных и т. д.
. 
Рис. 12. Оснастка Computer Management
Рис.13. Консоль Local Users and Groups
При создании учетной записи пользователе остальные свойства бюджета система берет из специальной политики учетных записей, которая доступна с помощью оснастки Group Policy и Local Security Policy.
Но некоторые элементы пользовательского окружения проще контролировать через сценарии входа (logon scripts), которые выполняются каждый раз, когда пользователь входит в сеть командой WINLOGON. Каждому пользователю можно присвоить свой собственный сценарий входа, а можно создать сценарий на множество пользователей. Для назначения пользователю сценария входа, необходимо указать имя файла logon script в профиле пользовательского окружения.
Доменные учетные записи. Создание новых доменных учетных записей производится с помощью окна User and Groups оснастки Active Directory Users and Computers (рис. 3.23).
Рис.15. Оснастка Active Directory Users and Computers
В зависимости от того, для какой деятельности создается пользователь, вы задаете следующие свойства учетной записи:
-
First Name - имя;
-
Last Name - фамилию;
-
Full Name - полное имя;
-
User Logon Name - уникальное имя для входа в систему;
-
User Logon Name (pre-Windows 2000) - уникальное имя для входа в систему клиентов низшего уровня;
-
Password - пароль;
-
Conform Password - подтверждение пароля;
-
User Must Change Password At Next Logon - потребовать смену пароля при следующем входе в систему;
-
User Cannot Change Password - запретить смену пароля;
-
Password Never Expires - установить неограниченный срок действия пароля;
-
Account Is Disable - отключить учетную запись.
Свойства, которые задаются для доменных пользователей, применяются для поиска в хранилище Active Directory. Поэтому значение характеристик нужно задавать подробно. Такие вкладки, как General, Member of, Dial-In, задаются таким же образом, как и для локальных пользователей. Но остальные свойства определяются только для пользователей доменов. К ним относятся (рис. 3.24):
Published Certificates - список сертификатов, т. е. набор данных для аутентификации и передачи данных по Интернет, Х.509 для учетной записи пользователя;
Object - полное доменное имя пользователя и дополнительные сведения;
Security - разрешения для объекта пользователя в Active Directory;
Environment - начальная программа для работы с сервером Terminal;
Sessions - задаются параметры ограничения длительности соединения с системой;
Remote Control - удаленное управление службами терминала;
Terminal Services Profile - профиль для терминального сеанса.
Управление группами
Функциональные уровни доменов
В Windows Server 2003 доступны четыре функциональных уровня домена: смешанный Windows 2000 (выбирается по умолчанию), основной Windows 2000, промежуточный Windows Server 2003 и основной Windows Server 2003.
-
Смешанный режим Windows 2000. Поддерживает контроллеры доменов Windows NT 4/2000 и Windows Server 2003.
-
Основной режим Windows 2000. Поддерживает контроллеры доменов Windows 2000 и Windows Server 2003.
-
Промежуточный режим Windows Server 2003. Поддерживает контроллеры доменов Windows 4 и Windows Server 2003.
-
Windows Server 2003. Поддерживает контроллеры доменов Windows Server 2003.
Основным инструментом для управления возможностями пользователей в Windows 2000 является понятие группы: локальной, глобальной, встроенной и системной.
Под группой понимается набор учетных записей пользователей. Применение групп упрощает администрирование системы, когда права и разрешения присваиваются
Права (rights) дают возможность выполнять системную задачу, т. е. создавать новых пользователей или изменять системное время,
а разрешения (permissions) предоставляются для работы с ресурсами: папками, файлами и принтерами.
В домене Windows 2000 существует два типа групп: безопасности (для назначения прав и предоставления доступа к ресурсам) и распространения (для использования приложениями). Кроме того, для группы определяется область действия: локальная, глобальная или универсальная (рис. 16). Назначение и членство в группах отражено в табл. 2.
Таблица.2. Характеристики групп
| Группа | Стандартные члены | Назначение | ||
| Основной режим домена или Windows Server 2003 | ||||
| Локальная домена | Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы | Доступ к ресурсам одного домена | ||
| Глобальная | Учетные записи пользователей и компьютеров, глобальные группы из того же домена | Организация пользователей с одинаковыми требованиями к системе | ||
| Универсальная | Любые учетные записи пользователей и компьютеров, глобальные и универсальные группы | Доступ к ресурсам нескольких доменов | ||
| Смешанный или промежуточный режим домена | ||||
| Локальная домена | Любые учетные записи пользователей и компьютеров, глобальные группы | Доступ к ресурсам одного домена | ||
| Глобальная | Учетные записи пользователей и компьютеров из того же домена | Организация пользователей с одинаковыми требованиями к системе | ||
| Универсальная | Недоступны | — | ||
Локальные группы содержат набор учетных записей на локальном компьютере и предоставляют доступ к ресурсам именно этого компьютера. Windows 2000 создает локальные группы в локальной базе данных безопасности. Локальные группы бывают доменные и изолированные. Созданные на локальном компьютере изолированные группы не отображаются в Active Directory. Локальные группы домена создаются в хранилище Active Directory и используются всеми контроллерами домена. Локальной группе домена можно предоставить разрешения к любому ресурсу на контроллерах домена.
При инсталляции на изолированных или рядовых серверах, а также на компьютерах под управлением Windows Professional no умолчанию создаются 6 встроенных изолированных локальных групп:
-
гости - Guests;
-
простые пользователи - Users;
-
опытные пользователи - Power Users;
-
репликаторы - Replicator;
-
операторы архива - Backup operators;
-
администраторы - Administrators.
Рис.16. Типы групп и область действия в домене
Таблица.3. Возможности встроенных групп
| Группа | Стандартные члены | Описание | |
| Встроенные изолированные локальные группы | |||
| Administrators | Administrator, Domain Admins | Полностью управляют ресурсами компьютера ^ | |
| Users | Все локальные пользователи компьютера, Interactive, Authenticated Users, Domain Users | Имеют ограниченные права в пределах домена и своего компьютера. Могут создавать новые локальные группы | |
| Guests | Guest | Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы | |
| Replicator | Heт | Могут копировать файлы в домене. Используется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы | |
| Backup operators | Heт | Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы | |
| Power Users | Heт | Могут создавать новые локальные группы и локальных пользователей. Могут создавать и управлять разделяемыми каталогами и принтерами,, создавать общие программные группы, изменять переменные окружения | |
| Встроенные доменные локальные группы | |||
| Administrators | Administrator, Domain Admins, Enterprise Admins | Полностью управляют ресурсами своего домена | |
| Users | Domain Users, Interactive, Authenticated Users | Имеют ограниченные права в пределах домена. Могут создавать новые локальные группы. Доступ к серверу возможен только по сети | |
| Guests | Guest, Domain Guests | Имеют ограниченные права в пределах домена. Не могут изменять установки компьютера. Не могут создавать новые локальные группы | |
| Replicators | Heт | Могут копировать файлы в домене. Используется только службой репликации системы. Нельзя устанавливать членам группы пароль. Могут создавать новые локальные группы | |
| Print Operators | Heт | Могут управлять разделяемыми принтерами, закрывать систему | |
| Backup operators (Операторы архива) | Heт | Могут резервировать и восстанавливать любые файлы и каталоги, несмотря на установленные полномочия доступа. Могут создавать новые локальные группы | |
| Account Operators (Операторы бюджетов) | Heт | Могут управлять групповыми и индивидуальными бюджетами, кроме администраторских, операторов сервера, операторов бюджетов, операторов печати и операторов резервирования | |
| Server Operators (Операторы сервера) | Heт | Могут управлять разделяемыми папками и принтерами, резервировать и восстанавливать файлы, форматировать диски, блокировать сервер и переопределять блокировку | |
| Встроенные глобальные группы | |||
| Domain Admins | Administrator | Назначенные администраторы домена. Автоматически включаются в локальную группу Administrators | |
| Domain Guests | Guest | Все гости домена*: Автоматически включаются в локальную группу Guests. По умолчанию бюджет пользователя Guest заморожен | |
| Domain Users | Administrator | Все пользователи домена. Автоматически включаются в локальную группу Users | |
| Enterprise Admins | Administrators, Administrator | Администраторы масштаба предприятия. Автоматически включаются в локальную группу Administrators | |
Для создания новых локальных групп используется оснастка Computer Management. При создании новой локальной группы вводится имя, описание (рис.17) и добавляются новые члены группы. При попытке добавить членов открывается окно Select Users or Groups.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
