Учетные записи домена и домашней группы. Служба каталогов Active Directory

Инструкция

Создавая домашнюю сеть можно организовать доступ к сетевому принтеру всем компьютерам рабочей группы. Для этого необходимо настроить их соответствующим образом, а именно задать ip-адреса, указать имена компьютеров и добавить в одну группу. Все необходимые настройки, значения которых вы измените, находятся в системной папке «Панель управления».

Прежде всего вам необходимо задать имена компьютерам и определить их рабочую группу. Для этого перейдите к рабочему столу и нажмите правой кнопкой мыши на значке «Мой компьютер». В открывшемся контекстном меню выберите пункт «Свойства». Перед вами появится апплет «Свойства системы», для быстрого вызова которого используется сочетание клавиш Win + Pause Break.

В этом апплете перейдите к вкладке «Имя компьютера». Желательно создать список компьютеров, в котором вы укажите не только их имена, но и ip-адреса. Воспользовавшись этим списком, задайте имя каждому компьютеру. Чтобы изменить имя, нажмите кнопку «Изменить» в нижней части апплета. В открывшемся окне замените прежнее имя на недавно записанное в список.

Также в этой вкладке вы можете задать имя рабочей группы. По умолчанию - Workgroup. Рекомендуется заменить на более простое название, например, Net или Connect. Нажмите кнопку «ОК» для сохранения изменений. Перед вами появится небольшое окно с уведомлением о входе в новую рабочую группу. В нижней части окна «Свойства системы» появится уведомление о необходимости перезагрузки системы, но этого пока не стоит, поэтому после нажатия на кнопку «ОК», выберите «Нет».

Теперь осталось присвоить каждому компьютеру свой ip-адрес, чтобы не нарушался порядок их определения в сети. Нажмите меню «Пуск», выберите пункт «Панель управления». В открывшейся папке дважды щелкните по значку «Сетевые подключения», нажмите правой кнопкой мыши на элементе «Подключение по локальной сети» и выберите пункт «Свойства».

Нажмите правой кнопкой мыши на строке «Протокол (TCP/IP)» и выберите пункт «Свойства». Перейдите к блоку «Использовать следующий IP-адрес» и введите для каждого компьютера индивидуальное значение с разницей в одну единицу. Например, «Дмитрий» - 192.168.1.3; «Павел» - 192.168.1.4 и т.д. Стоит отметить, что в связке 192.168.1.x, рекомендуется начинать отсчет с цифры №3, т.к. первые два значения используются роутером и модемом.

Во всех окнах нажмите кнопки «ОК» и на запрос о перезагрузке ответьте положительно либо отрицательно, если есть несохраненные документы. Затем выполните перезагрузку самостоятельно, используя меню «Пуск».

Все новые пользователи домена становятся членами группы Domain Users (Пользователи домена); это их основная груп­па. Вы можете указывать членство в дополнительных группах через параметр -Memberof (к нему нужно добавить DN груп­пы). Если DN группы содержит пробелы, оно должно быть заключено в кавычки, например:

• dsadd user "CN=u1,0U=Sales,DC=site1,DC=com" -memberof "CN=Backup Operators,CN=Builtin,DC=cpandl,DC=com" "CN=DHCP Administrators,CN=Builtin,DC=site1,DC=com"

Здесь создается учетная запись пользователя, а затем до­бавляется в группы Backup Operators и DHCP Administrators. Это двухэтапный процесс: сначала создается учетная запись, а затем конфигурируется ее участие в группах. Если происхо­дит ошибка при включении в группы, DSADD USER сообщит, что объект создан, но после его создания возникла ошибка. Проверьте синтаксис задания DN группы, потом воспользуй­тесь командой DSMOD USER для правильной настройки членства пользователя в группах.

Из соображений безопасности при создании учетной запи­си пользователя вам также могут понадобиться следующие параметры.

• -Mustchpwd {yes | no} - по умолчанию пользователю не надо менять свой пароль при первом входе, т. е. подразуме­вается параметр -mustchpwd по. Если вы укажете -mustchpwd yes, пользователю придется сменить свой па­роль при первом входе.
• -Canchpwd {yes | по} - по умолчанию пользователь может сменить свой пароль, т. е. подразумевается параметр -canchpwd yes. При -canchpwd по пользователь не сможет сменить свой пароль.
• -Pwdneverexpires {yes | по} - по умолчанию предполага­ется -pwdneverexpires по, и пароль пользователя устаре­вает в соответствии с настройками политик групп. Если же вы установите -pwdneverexpires yes, пароль для этой учет­ной записи никогда не устареет.
• -Disabled {yes | по} - по умолчанию, как только вы созда­ете учетную запись с паролем, она становится доступна для использования (подразумевается значение -disabled по). Если вы укажете -disabled yes, учетная запись отключает­ся. Это временно запретит использование данной учетной записи.

Рассмотрим несколько примеров, чтобы лучше понять ко­манду DSADD USER.

Создание учетной записи для user1 в контейнере Users домена sit1.com и обязательная смена пароля при первом входе в систему:

• dsadd user "CN=Scott L. Bishop,CN=Users,DC=site1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd yes

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются на инди­видуальных компьютерах. Если вы хотите создать локальную учетную запись на конкретном компьютере, вы должны под­ключиться локально или удаленно для получения доступа к

локальной командной строке. Войдя в нужную систему, вы можете создать необходимую учетную запись командой NET USER. Иногда политики локальных компьютеров позволяют создать учетную запись просто по ее имени и с параметром /Add, например:

net user user1 /add

Сейчас вы создали локальную учетную запись с именем user1 и пустым паролем. Хотя пустые пароли допустимы, они создают риск для безопасности компьютера и, возможно, сети. Поэтому, советую указывать имя пользователя и пароль для новых локальных учетных записей. Пароль должен следо­вать за именем учетной записи.

Windows network technology enables you to create network domains . A domain is a group of connected Windows computers that share user account information and a security policy. A domain controller manages the user account information for all domain members.

The domain controller facilitates network administration. By managing one account list for all domain members, the domain controller relieves the network administrator of the requirement to synchronize the account lists on each of the domain computers. In other words, the network administrator who creates or changes a user account must update only the account list on the domain controller rather than the account lists on each of the computers in the domain.

To log-in to a Windows database server, a user on another Windows computer must belong to either the same domain or a trusted domain . A trusted domain is one that has established a trust relationship with another domain. In a trust relationship, user accounts are located only in the trusted domain, but users can log on to the trusted domain.

A user who attempts to log-in to a Windows computer that is a member of a domain can do so either by using a local login and profile or a domain login and profile. However, if the user is listed as a trusted user or the computer from which the user attempts to log-in is listed as a trusted host, the user can be granted login access without a profile.

If you specify a user identifier but no domain name for a connection to a machine that expects both a domain name and a user name (domain\user), IBM Informix checks only the local machine and the primary domain for the user account. If you explicitly specify a domain name, that domain is used to search for the user account. The attempted connection fails with error -951 if no matching domain\user account is found on the local machine.

Use the CHECKALLDOMAINSFORUSER configuration parameter to configure how Informix searches for user names in a networked Windows environment. The following table lists the locations Informix searches for user names specified either alone or with a domain name with CHECKALLDOMAINSFORUSER set to 0 or 1.

Omitting CHECKALLDOMAINSFORUSER from the onconfig file is the same as setting CHECKALLDOMAINSFORUSER to 0. See the IBM Informix Administrator"s Reference for more information about setting CHECKALLDOMAINSFORUSER.

For more information about domains, consult your Windows operating system manuals.

Important: The IBM Informix trusted client mechanism is unrelated to the trust relationship that you can establish between Windows domains. Therefore, even if a client connects from a trusted Windows domain, the user must have an account in the domain on which the database server is running. For more information about how the database server authenticates clients, see

Я получаю от читателей множество писем с описанием проблем, с которыми они сталкиваются при создании или управлении учетными записями. Многие администраторы испытывают затруднения из-за того, что неосторожно пропускают важные элементы при настройке или не придерживаются системы. Поэтому я решила еще раз обратиться к основам создания и управления учетными записями и дать несколько советов, которые помогут упростить эти процессы.

Пользовательская учетная запись содержит имя и пароль для регистрации на локальном компьютере или в домене. В Active Directory (AD) учетная запись пользователя может также содержать дополнительную информацию, такую как полное имя пользователя, адрес электронной почты, номер телефона, отдел и физический адрес. Кроме того, учетная запись пользователя служит средством для назначения разрешений, сценариев регистрации, профилей и домашних каталогов.

Локальные учетные записи против доменных

Когда пользователи регистрируются на локальном компьютере, а не в домене, они задействуют локальные учетные записи. В среде рабочих групп (с равноправными узлами - P2P) локальные учетные записи обеспечивают функции регистрации для пользователей локальных компьютеров и предоставляют удаленным пользователям доступ к ресурсам компьютера. Определенные пользователи, например, могут иметь доступ к данным на сервере и применять локальную учетную запись для регистрации на такой системе.

Однако большинство пользовательских учетных записей в корпоративной сети являются доменными и предоставляют права и разрешения в масштабах домена. Если только доменная учетная запись явно не запрещает этого, пользователи могут регистрироваться в домене с доменной учетной записью на любой рабочей станции. После регистрации пользователи получают конкретные разрешения по отношению к сетевым ресурсам для доменной учетной записи.

Но доменные учетные записи имеют не только пользователи. В домене учетные записи представляют физические записи, которые могут соответствовать компьютеру, пользователю или группе. Пользовательские учетные записи, учетные записи компьютеров и учетные записи групп являются принципалами (элементами доступа) - объектами службы каталогов, автоматически получающими идентификаторы SID, которые и определяют доступ к ресурсам домена.

Два наиболее важных применения доменных учетных записей - аутентификация пользователей и разрешение или отказ в доступе к ресурсам домена. Аутентификация позволяет пользователям регистрироваться на компьютерах и в доменах с характеристиками, подлинность которых установлена службами домена. Домен разрешает или запрещает доступ к доменным ресурсам на основании разрешений, получаемых пользователем через членство в одной или нескольких доменных группах.

Встроенные доменные учетные записи

Когда создается домен, Windows автоматически генерирует несколько пользовательских учетных записей. В Windows 2000 встроенными являются учетные записи Administrator и Guest. Домены Windows Server 2003 имеют третью встроенную учетную запись с именем HelpAssistant, которая автоматически создается при первом запуске функции Remote Assistance. Каждая из этих встроенных учетных записей имеет разный набор разрешений.

Учетная запись Administrator имеет набор разрешений Full Control на все ресурсы домена и может назначать разрешения пользователям в домене. По умолчанию учетная запись Administrator является членом следующих групп:

• Administrators
• Domain Admins
• Domain Users
• Enterprise Admins
• Group Policy Creator Owners
• Schema Admins

Некоторые администраторы переименовывают или отключают учетную запись Administrator, чтобы усложнить пользователям доступ к контроллеру домена (DC). Вместо этого администраторы могли бы регистрироваться с учетными записями, которые являются членами тех же групп, что давало бы им достаточно прав для администрирования домена. Если учетную запись Administrator отключить, при необходимости получение доступа к DC можно будет пользоваться этой учетной записью, загружая DC в режиме Safe Mode (учетная запись Administrator всегда доступна в режиме Safe Mode).

Учетная запись Guest позволяет регистрироваться в домене пользователям, не имеющим учетной записи. Учетная запись Guest не требует пароля, но можно установить для нее разрешения точно так же, как для любой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests. Понятно, что возможность регистрироваться в домене любому лицу, не имеющему реальной учетной записи, создает определенный риск, поэтому большинство администраторов эту учетную запись не используют. В Windows 2003 учетная запись Guest по умолчанию отключена. Для того чтобы отключить учетную запись Guest в Windows 2000, нужно щелкнуть по ней правой кнопкой в оснастке Microsoft Management Console (MMC) Active Directory Users and Computers, затем в меню выбрать Disable.

Учетная запись HelpAssistant появилась только в Windows 2003. Служба Remote Desktop Help Session Manager создает эту учетную запись и управляет ею, когда пользователь запрашивает сеанс Remote Assistance.

Создаем учетные записи пользователя домена

Учетные записи пользователей домена создаются на DC как функция AD. Необходимо открыть оснастку Active Directory Users and Computers, затем раскрыть подходящий домен (если их несколько). В отличие от Windows NT 4.0, в Windows 2000 и Windows 2003 процессы создания и настройки учетных записей разделены: сначала администратор создает пользователя и соответствующий пароль, затем выполняет настройку, задавая членство в группах.

Чтобы создать нового пользователя домена, следует щелкнуть правой кнопкой по контейнеру Users, затем выбрать New, User, чтобы открыть диалоговое окно New Object - User, изображенное на экране 1. Далее требуется ввести имя пользователя и регистрационное имя. Windows автоматически добавляет к регистрационному имени суффикс текущего домена, который называется суффиксом принципала пользователя (UPN-суффиксом). Можно создать дополнительные UPN-суффиксы и выбрать суффикс для нового пользователя в поле со списком. Можно также ввести другое имя пользователя для регистрации в домене с компьютеров NT 4.0 и Windows 9.x (по умолчанию подставляется предыдущее имя).

Далее следует щелкнуть Next, чтобы выполнить настройку пароля пользователя, как показано на экране 2. По умолчанию Windows вынуждает пользователей менять пароль при следующей регистрации, поэтому для каждого нового пользователя можно брать некий стандартный пароль компании, а затем дать пользователям возможность ввести новый пароль после первой самостоятельной регистрации. Далее следует выбрать параметры пароля, которые нужно задать для этого пользователя. Наконец, требуется щелкнуть Next, чтобы увидеть общую картину выбранных настроек, затем щелкнуть Finish, чтобы создать учетную запись пользователя в AD.

Свойства учетной записи пользователя

Чтобы выполнить настройку или изменить свойства учетной записи пользователя домена, необходимо выбрать ее в списке и дважды щелкнуть правой кнопкой мыши. На экране 3 видны категории настройки.

Вкладка Member Of управляет членством пользователя в группах (и, следовательно, разрешениями и правами пользователя в домене). По умолчанию Windows помещает учетную запись нового пользователя в группу Domain Users. Для одних пользователей этого достаточно, и больше ничего делать не нужно. Другим пользователям, например руководителям отделов или ИT-персоналу, нужно обеспечить такое членство в группах, которое позволило бы им выполнять необходимые задачи. Чтобы установить членство в группе, следует щелкнуть Add, затем выбрать для пользователя, учетная запись которого редактируется, подходящую группу. Если встроенные группы не обеспечивают точно соответствующего имеющимся требованиям набора разрешений, следует сформировать собственные группы.

Создаем шаблоны

Windows позволяет копировать учетные записи пользователей, что делает процесс создания шаблонов более быстрым и эффективным. Наилучший способ воспользоваться преимуществами этой функции - создать ряд шаблонов учетных записей пользователей, а потом превращать эти учетные записи в реальные. Поскольку разрешения и права являются наиболее важными (и потенциально опасными) свойствами, следует создавать шаблоны в категориях в соответствии с членством в группах. Начать нужно с шаблона для стандартного пользователя (т. е. члена только группы Domain Users), затем следует создать шаблоны, имеющие конкретные комбинации принадлежности к группам. Например, можно создать шаблон пользователя под именем Power с принадлежностью к группе Power Users без ограничений часов регистрации или шаблон пользователя под именем DialUp с заранее установленными параметрами коммутируемого доступа. Впоследствии, по мере создания новых учетных записей, можно выбирать подходящий шаблон и модифицировать его.

Я обнаружила несколько полезных приемов создания и копирования шаблонов:

• присваивать шаблонам имена, которые начинаются с 0, чтобы они все вместе появлялись поверх списка пользовательских файлов;
• назначать всем шаблонам один и тот же пароль;
• отключать все учетные записи шаблонов (щелкнуть правой кнопкой файл, затем выбрать Disable).

Для того чтобы создать учетную запись для нового пользователя из шаблона, следует щелкнуть правой кнопкой по списку шаблонов, затем выбрать Copy. В диалоговом окне Copy Object - User нужно ввести имя пользователя и регистрационное имя для вновь создаваемой записи, затем щелкнуть Next, чтобы задать пароль нового пользователя, как описано ниже.

1. Введите стандартный пароль компании и назначьте его новому пользователю.
2. Очистите ячейки Password never expires (срок действия не ограничен) и Account is disabled (учетная запись отключена).
3. Поставьте флажок User must change password at next logon.
4. Щелкните Next, затем Finish.

Не стоит возиться с вкладкой Member Of, поскольку система уже скопировала членство в группах из шаблона пользователя. По сути, если нет необходимости записывать телефон и адрес пользователя, на оставшихся вкладках можно ничего не делать. Система копирует все общие атрибуты. Однако можно добавить для автоматического копирования другие атрибуты или сделать так, чтобы определенные атрибуты не копировались, модифицируя схему AD.

Кэти Ивенс - редактор Windows 2000 Magazine. Участвовала в написании более 40 книг по компьютерной тематике, включая «Windows 2000: The Complete Reference» (Osborne/McGraw-Hill). С ней можно связаться по адресу:

Применение учетных записей пользователей позволяет упростить работу нескольких человек на одном компьютере. Каждый пользователь может иметь отдельную учетную запись с собственными параметрами, такими как фон рабочего стола и экранная заставка. Учетные записи определяют, к каким файлам и папкам имеют доступ пользователи, и какие изменения они могут выполнять на компьютере. Для большинства пользователей используются обычные учетные записи.

Домены, рабочие группы и домашние группы представляют разные методы организации компьютеров в сети. Основное их различие состоит в том, как осуществляется управление компьютерами и другими ресурсами.

Компьютеры под управлением Windows в сети должны быть частью рабочей группы или домена. Компьютеры под управлением Windows в домашней сети также могут быть частью домашней группы, но это не обязательно.

Компьютеры в домашних сетях обычно входят в состав рабочих групп и, возможно, домашней группы, а компьютеры в сетях на рабочих местах - в состав доменов. Действия, которые потребуется выполнить, различаются в зависимости от того, входит ли компьютер в домен или рабочую группу.

В рабочей группе:

· Все компьютеры являются одноранговыми узлами сети; ни один компьютер не может контролировать другой.

· На каждом компьютере находится несколько учетных записей пользователя. Чтобы войти в систему любого компьютера, принадлежащего к рабочей группе, необходимо иметь на этом компьютере учетную запись.

· В составе рабочей группы обычно насчитывается не больше двадцати компьютеров.

· Рабочая группа не защищена паролем.

· Все компьютеры должны находиться в одной локальной сети или подсети.

В домашней группе:

· Компьютеры в домашней сети должны принадлежать рабочей группе, но они также могут состоять в домашней группе. С помощью домашней группы предоставлять доступ к рисункам, музыке, видео, документам и принтерам другим пользователям намного проще.

· Домашняя группа защищена паролем, но он вводится только один раз при добавлении компьютера в домашнюю группу.

В домене:

· Один или несколько компьютеров являются серверами. Администраторы сети используют серверы для контроля безопасности и разрешений для всех компьютеров домена. Это позволяет легко изменять настройки, так как изменения автоматически производятся для всех компьютеров. Пользователи домена должны указывать пароль или другие учетные данные при каждом доступе к домену.

· Если пользователь имеет учетную запись в домене, он может войти в систему на любом компьютере. Для этого не требуется иметь учетную запись на самом компьютере.

· Права изменения параметров компьютера могут быть ограничены, так как администраторы сети хотят быть уверены в единообразии настроек компьютеров.

· В домене могут быть тысячи компьютеров.

· Компьютеры могут принадлежать к различным локальным сетям.