Методические указания к выполнению лабораторных работ (1086236), страница 7
Текст из файла (страница 7)
Создав группу и добавив в эту группу пользователей, присвойте группе какие-либо права на работу - например, право локального входа в систему.
Помимо прав на работу, группе нужно присвоить какие-либо разрешения доступа к принтерам, папкам или файлам.
На контроллере домена порождаются следующие доменные встроенные локальные группы:
-
простые пользователи - Users;
-
гости - Guests;
-
репликаторы - Replicator;
-
операторы архива - Backup operators;
-
администраторы - Administrators;
-
операторы бюджетов - Account Operators;
-
операторы печати - Print Operators;
-
операторы сервера - Server Operators;
-
клиенты младших версий - Pre_Windows
..
Рис. 17. Добавление членов в локальную группу
Состав локальных встроенных групп домена и их свойства доступны в оснастке Active Directory Users and Computers Built-in обладают открытым членством, т. е. в них можно добавлять членов из любого домена, а разрешить доступ - только к ресурсам домена, где они были созданы.
Все права на работу с системой пользователь получает как член соответствующих встроенных локальных групп. Большую часть прав групп мы определяем с помощью оснастки Local Security Settings. Остальные права получаем по умолчанию.
Права пользователей и групп назначаются в окне User Rights Assignments оснастки Local Security Settings:
-
сетевой вход;
-
локальный вход;
-
архивирование файлов и каталогов;
-
восстановление файлов и каталогов;
-
добавление рабочих станций к домену;
-
завершение работы системы;
-
загрузка и выгрузка драйверов;
-
работа с системным временем;
-
овладение объектами;
-
управление аудитом и журналом безопасности и т. д.
Любому пользователю после создания можно явно назначить дополнительные права. Такое назначение можно сделать косвенно, включив этого пользователя в какую-либо встроенную локальную группу. Например, назначение пользователю с именем New привилегий администратора возможно включением в состав группы "Администраторы" (Administrators).
При создании домена Windows 2003 создает встроенные глобальные группы в Active Directory. Чтобы присвоить глобальной группе права, ее нужно включить в локальную встроенную группу или сделать явное назначение. К наиболее распространенным глобальным встроенным группам относятся :
-
администраторы домена - Domain Admins;
-
пользователи домена - Domain Users;
-
гости домена - Domain Guests;
-
администраторы сети в масштабе предприятия - Enterprise Admins.
Глобальная группа обладает ограниченным членством, т.е. в нее можно добавлять пользователей из того домена, где она была создана. Но доступ к ресурсам для нее возможен в любом домене.
Универсальные группы возможны только в основном (или Windows Server2003) режиме домена, в смешанном (или промежуточном) они недоступны. Такие группы обладают открытым членством, для них возможен доступ к ресурсам любого домена.
Специальные группы
Существует также несколько специальных групп (special identity), которые управляются самой ОС. Их нельзя создать, удалить или изменить их состав. Специальные группы не отображаются в консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и другими средствами управления компьютером, однако им можно назначить разрешения в ACL ресурса. Некоторые специальные группы Windows Server 2003 (их также называют особыми) перечислены в табл. 4.
Табл. 4 Специальные группы и их представление
| Специальная группа | Представление |
| Все (Everyone) | Представляет всех пользователей сети, в том числе вошедших под гостевой учетной записью, а также пользователей из других доменов. Каждый раз при входе в систему пользователь автоматически добавляется в группу Все (Everyone) |
| Сеть (Network) | Представляет пользователей, которые в настоящий момент обращаются к данному ресурсу по сети (в отличие от тех, кто обращается к ресурсу локально). При любом обращении к данному ресурсу по сети пользователь автоматически добавляется в группу Сеть (Network) |
| Интерактивные (Interactive) | Представляет всех пользователей, которые локально обращаются к ресурсу (в отличие от тех, что обращаются к ресурсу по сети). При любом обращении к данному ресурсу пользователь автоматически добавляется в группу Интерактивные (Interactive) |
| Анонимный вход (Anonymous Logon) | В эту группу зачисляются те, кто использует сетевые ресурсы, не пройдя проверку подлинности. |
| Прошедшие проверку (Authenticated Users) | В эту группу входят все пользователи, которые прошли проверку подлинности при входе в сеть, предоставив действительную учетную запись. При назначении разрешений можно вместо Все (Everyone) использовать группу Прошедшие проверку (Authenticated Users), чтобы избежать анонимного доступа к ресурсам |
| Создатель-владелец (Creator Owner) | В эту группу зачисляется пользователь, который создал ресурс или получил право владения им. Например, если пользователь создал ресурс, но Администратор (Administrator) получил право владения им, в группе Создатель-владелец (Creator Owner) будет указан Администратор |
| Удаленный доступ (Dialup) | В группу Удаленный доступ. (Dialup) зачисляют всех, кто подключен к сети через коммутируемое соединение |
Внимание! Этим группам можно назначить разрешения'на сетевые ресурсы, однако соблюдайте при этом осторожность. Члены этих групп могут не всегда проходить проверку подлинности в домене. Например, если вы предоставите все права на общий ресурс группе Все (Everyone), пользователи, подключающиеся из других доменов, также получат доступ к этому ресурсу.
Лабораторная работа №3
Создание учетной записи пользователя и управление группами
Войдите в сеть, указав:
labstudent
пароль:111
Создание учетной записи локального пользователя в домене
-
При помощи оснастки Администрирование - Active Directory выбрать - Пользователи и компьютеры. Изучить иерархический список.
-
Создать на объекте типа домен (lab) подразделение 1group (или 2group). Если такое подразделение существует перейти к пункту 3.
-
Создать учетную запись домена. В окне диалога заполнить поля: Имя, Фамилия, Имя входа пользователя, Описание (обычный парень) и затем кнопку Далее. В следующем окне указать Пароль и его Подтверждение. Установите флажки Срок действия пароля не ограничен и Запретить смену пароля пользователем.
-
Переместить пользователя из подразделения, где он находится, в другое (IT7), нажав правую кнопку мыши и выбрав команду Переместить, и ОК.
-
Изучите все встроенные локальные группы домена в папке Builtin объекта домена и встроенные глобальные группы в папке Users. Выпишите их. Создайте собственную новую группу, добавьте в группу вновь созданного пользователя и любую группу.
-
Добавить вновь созданную группу в локальную группу Администраторы. Для этого указать группу, в которую вы хотите добавить пользователя и, нажав правую кнопку мыши, выбрать команду Свойства. Перейти на вкладку Члены группы и нажать кнопку Добавить. Выбрать имя добавляемого пользователя и нажать кнопку Добавить и ОК.
-
С помощью оснастки Администрирование – Политика безопасности домена – Локальные назначения прав пользователя и групп) дать группе право добавления рабочих станций к домену и право на архивирование файлов и каталогов.
Создание учетной записи локального пользователя
-
При помощи оснастки Программы – Инструменты администрирования – Управление компьютером. Раскройте дерево Служебные документы – Локальные пользователи и группы. Нажав правую кнопку, выберите команду Создать пользователя.
-
Создать новую учетную запись указав: Имя, Фамилия, Описание (обычный парень), флажки Срок действия пароля не ограничен и Запретить смену пароля пользователем.
-
Поместите вновь созданного пользователя в группу опытных пользователей.
-
Выпишите свойства пользователя.
-
Убедитесь в том, что пользователь создан.
Закрепление материала
Вопросы
-
Вы используете универсальные группы в своем домене или в лесу, и вам нужно предоставить санкционированный доступ членам универсальной группы. Какая конфигурация (тип группы, область действия) необходима для использования универсальной группы?
-
Какие участники безопасности могут быть членами глобальной группы в домене, работающем в режиме Windows Server 2003?
-
На какой вкладке в окне свойств группы можно добавить в нее пользователей?
-
Вы хотите, чтобы группа IT Administrators, члены которой администрируют участников группы Sales, была вложена в Sales и имела доступ к тем же ресурсам (определенным разрешениями в ACL), что и Sales. На какой вкладке в окне свойств группы IT Administrators можно выполнить такую настройку?
-
Если в вашей системе два домена (на базе Windows Server 2003 и Windows NT 4), группы какой области действия можно использовать, чтобы назначить разрешения для любого ресурса на любом компьютере в домене?
Задание 1
Пользователю домена Джеймсу Бонду необходимо дать возможность управлять разделяемыми принтерами на компьютере СОМР_2.
Решение
Для решения задачи необходимо пользователя включить во встроенную изолированную локальную группу опытных пользователей (Power Users) на СОМР_2. При этом Джеймс Бонд получит еще ряд возможностей, не указанных в задании, но назначить ему только право управления принтерами невозможно - такого права в списке прав нет!
Задание 2
Пользователю домена Джеймсу Бонду необходимо дать возможность управлять всеми разделяемыми принтерами на всех компьютерах домена IT_DOMAIN.
Решение
Решение задачи проводится в несколько шагов:
• включить Джеймса Бонда во встроенную доменную локальную группу "Операторы печати" (Print Operators) на контроллере домена IT_DOMAIN, для того чтобы пользователь смог управлять принтерами на всех контроллерах домена;
• на всех рабочих станциях домена включить Джеймса Бонда во встроенные локальные группы "Опытные пользователи" (Power Users).
Задание 3
Пользователю домена Джеймсу Бонду необходимо дать возможность создавать и управлять бюджетами пользователей на всех компьютерах домена IT_DOMAIN.
Задание 4
Пользователю домена Tiger необходимо дать возможность архивировать данные на Сотр_5.
Задание 5
В домене elab.cyber.mephi.ru созданы два организационных подразделения (OU): ONE и TWO. В каждом из OU существуют общие- папки, в которых имеются документы, которые пользователи этих подразделений могут только просматривать. Вам необходимо дать возможность доступа пользователям ONE и TWO к этим документам.
Решение
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
