Всем известно, после установки операционной системы, компьютер изначально включен в рабочую группу (по умолчанию в WORKGROUP). В рабочей группе каждый компьютер это независимая автономная система в которой существует база данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). При входе человека на компьютер выполняется проверка наличия учетной записи в SAM и в соответствии с этими записями даются определенные права. Компьютер который введен в домен продолжает поддерживать свою базу данных SAM, но если пользователь заходит под доменной учетной записью то о проходит проверку на уже на контроллер домена, т.е. компьютер доверяет контроллеру домена идентификацию пользователя.
Ввести компьютер в домен можно различными способами, но перед тем как это делать вы должны убедиться, что данный компьютер соответствует следующим требованиям:
У вас есть право на присоединение компьютера к домену (по умолчанию это право имеют Администраторы предприятия (Enterperise Admins), Администраторы домена (Domain Admins), Администраторы (Administrators), Операторы Учета (Account Admins));
Объект компьютера создан в домене;
Вы должны войти в присоединяемый компьютер как локальный администратор.
У многих администраторов второй пункт может вызвать негодование, - зачем создавать компьютер в AD, если он появиться в контейнере Computers после ввода компьютера в домен. Все дело в том, что в контейнере Computers нельзя создать подразделения, но еще хуже, что к контейнеру нельзя привязать объекты групповой политики. Именно поэтому рекомендуется создать объект компьютер в необходимом подразделении, а не довольствоваться автоматически созданной учетной записью компьютера. Конечно можно переместить автоматически созданный компьютер в необходимое подразделение, но зачастую подобные вещи администраторы забывают делать.
Теперь разберем способы создания компьютера (компьютеров) в AD:
Создание компьютеров при помощи оснастки «Active Directory – пользователи и компьютеры».
Для этого способа нам понадобится запустить оснастку «Active Directory – пользователи и компьютеры», у себя на компьютере с помощью Admin Pack или на контроллере домена. Для этого необходимо нажать "Пуск- Панель управления- Система и безопасность- Администрирование- " выберите необходимое подразделение, нажмите на нем правой кнопкой мыши, в контекстном меню выберите "Создать- Компьютер ".
Впишите имя компьютера.
Создание учетной записи компьютера с помощью команды DSADD.
Общий вид команды:
dsadd computer
Параметры:
Значение Описание
-desc <описание>
Задает описание компьютера.
-loc <размещение>
Задает размещение компьютера.
-memberof <группа...>
Добавляет компьютер в одну или несколько групп, определяемых разделяемым пробелами списком имен DN <группа...>.
{-s <сервер> | -d <домен>}
-s
<сервер> задает подключение к контроллеру домена(DC) с именем <сервер>.
-d
<домен> задает подключение к DC в домене <домен>.
По умолчанию: DC в домене входа.
-u <пользователь>
Подключение под именем <пользователь>. По умолчанию: имя пользователя, вошедшего в систему. Возможные варианты: имя пользователя, домен\имя пользователя, основное имя пользователя (UPN).
-p {<пароль> | *}
Пароль пользователя <пользователь>. Если введена *, будет запрошен пароль.
-q
"Тихий" режим: весь вывод заменяется стандартным выводом.
{-uc | -uco | -uci}
-uc
Задает форматирование ввода из канала или вывода в канал в Юникоде.
-uco
Задает форматирование вывода в канал или файл в Юникоде.
-uci
Задает форматирование ввода из канала или файла в Юникоде.
Пример использования команды Dsadd:
Dsadd computer “CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com” –desc “Компьютер отдела IT”
Создание учетной записи рабочей станции или сервера с помощью команды Netdom.
Общий вид команды Netdom:
NETDOM ADD <компьютер> ]
<компьютер>
это имя добавляемого компьютера
/Domain
указывает домен, в котором требуется создать учетную запись компьютера
/UserD
учетная запись пользователя, используемая при подключении к домену, заданному аргументом /Domain
/PasswordD
пароль учетной записи пользователя, заданной аргументом /UserD. Знак * означает приглашение на ввод пароля
/Server
имя контроллера домена, используемого для добавления. Этот параметр нельзя использовать одновременно с параметром /OU.
/OU
подразделение, в котором необходимо создать учетную запись компьютера. Требуется полное различающееся доменное имя RFC 1779 для подразделения. При использовании этого аргумента необходимо работать непосредственно на контроллере указанного домена. Если этот аргумент не задан, учетная запись будет создана в подразделении по умолчанию для объектов компьютеров этого домена.
/DC
указывает, что требуется создать учетную запись компьютера контроллера домена. Этот параметр нельзя использовать одновременно с параметром /OU.
/SecurePasswordPrompt
Использовать для указания учетных данных безопасное всплывающее окно. Этот параметр следует использовать при необходимости указания учетных данных смарт-карты. Этот параметр действует только в случае задания пароля в виде *.
Создание объекта Компьютер с помощью Ldifde () и Csvde ().
Администрирование учетной записи компьютеров в Active Directory.
Переименование компьютера в AD.
Запускаем командную строку и с помощью команды Netdom переименовываем компьютер в AD:
Netdom renamecomputer <Имя компьютера> /Newname: <Новое имя>
Пример: Netdom renamecomputer COMP01 /Newname: COMP02
Удаление учетных записей компьютера.
1 Удалить учетную запись компьютера с помощью оснастки "Active Directory – пользователи и компьютеры ". Запускаете оснастку "Active Directory – пользователи и компьютеры " находите необходимый компьютер нажимаете не нем правой кнопкой мыши, в контекстном меню выбираете "Удалить ", подтверждаете удаление
2 Удалить компьютер можно с помощью команды DSRM:
DSRM
DSRM CN=COMP001,OU=Moscow,OU=Departments,DC=pk-help,DC=com
.
Устранение ошибки "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом".
Иногда при попыдке войти в компьютер пользователь получает сообщение "Не удалось установить доверительных отношений между этой рабочей станцией и основным доменом ". Это ошибка возникает при отказе в работе безопасного канала между машиной и контроллером домена. Что бы это устранить необходимо сбросить безопасный канал. Можно воспользоваться одним из методов:
1 Зайти оснастку «Active Directory – пользователи и компьютеры», найти проблемный компьтер, нажать на нем правой кнопкой мыши и выбрать "Переустановить учетную запись" (Reset Account). После этого компьютер следует заново присоединить к домену и перезагрузить.
2 С помощью команды Netdom :
Netdom reset <имя машины> /domain <Имя домена> /User0 <Имя пользователя> /Password0 <Пароль> без кавычек <>
Пример: Netdom reset COMP01 /domain сайт /User0 Ivanov /Password *****
3 С помощью команды Nltest :
Nltest /server:<Имя компьютера> /sc_reset:<Домен>\<Контроллер домена>
Всем привет хочется начать цикл статей относительно Active Directory на примере windows server 2008R2. В подавляющем большинстве случаев системные администраторы для создания основных принципалов безопасности предпочитают использовать оснастку «Active Directory – пользователи и компьютеры», которая добавляется в папку «Администрирование» сразу после установки роли «Доменные службы Active Directory» и повышения сервера до контролера домена. Этот метод является наиболее удобным, так как для создания принципалов безопасности используется графический пользовательский интерфейс и мастер создания учетных записей пользователя очень прост в применении. К недостатку данного метода можно отнести тот момент, что при создании учетной записи пользователя вы не можете сразу задать большинство атрибутов, и вам придется добавлять необходимые атрибуты путем редактирования учетной записи.
Для того чтобы создать пользовательскую учетную запись, выполните следующие действия:
- Откройте оснастку «Active Directory – пользователи и компьютеры». Для этого вам нужно открыть панель управления, в ней открыть раздел «Система и безопасность», затем «Администрирование» и в появившемся окне открыть оснастку «Active Directory – пользователи и компьютеры». Также вы можете воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить» и в диалоговом окне «Выполнить», в поле «Открыть» ввести dsa.msc, а затем нажать на кнопку «ОК»;
- В дереве оснастки, разверните узел своего домена и перейдите к подразделению, в котором будет создаваться пользовательская учетная запись. Для создания пользовательских учетных записей рекомендуется создавать дополнительные подразделения, после чего добавлять учетные записи пользователей в подразделения, отличающиеся от стандартного подразделения Users. Щелкните на этом подразделении правой кнопкой мыши и из контекстного меню выберите команду «Создать», а затем «Пользователь», как показано на следующей иллюстрации:
В появившемся диалоговом окне «Новый объект - Пользователь» введите следующую информацию:
- В поле «Имя» введите имя пользователя;
- В поле «Инициалы» введите его инициалы (чаще всего инициалы не используются);
- В поле «Фамилия» введите фамилию создаваемого пользователя;
- Поле «Полное имя» используется для создания таких атрибутов создаваемого объекта, как основное имя (Common Name) CN и отображения свойств имени. Это поле должно быть уникальным во всем домене, и заполняется автоматически, а изменять его стоит лишь в случае необходимости;
- Поле «Имя входа пользователя» является обязательным и предназначено для имени входа пользователя в домен. Здесь вам нужно ввести имя пользователя и из раскрывающегося списка выбрать суффикс UPN, который будет расположен после символа @;
- Поле «Имя входа пользователя (Пред-Windows 2000)» предназначено для имени входа для систем предшествующих операционной системе Windows 2000. В последние годы в организациях все реже встречаются обладатели таких систем, но поле обязательно, так как некоторое программное обеспечение для идентификации пользователей использует именно этот атрибут. Про то как добавить поле отчество читаем тут. После того как заполните все требуемые поля, нажмите на кнопку «Далее»:
На следующей странице мастера создания пользовательской учетной записи вам предстоит ввести начальный пароль пользователя в поле «Пароль» и подтвердить его в поле «Подтверждение». Помимо этого, вы можете выбрать атрибут, указывающий на то, что при первом входе пользователя в систему пользователь должен самостоятельно изменить пароль для своей учетной записи. Лучше всего использовать эту опцию в связке с локальными политиками безопасности «Политика паролей», что позволит создавать надежные пароли для ваших пользователей. Также, установив флажок на опции «Запретить смену пароля пользователем» вы предоставляете пользователю свой пароль и запрещаете его изменять. При выборе опции «Срок действия пароля не ограничен» у пароля учетной записи пользователя срок действия пароля никогда не истечет и не будет необходимости в его периодическом изменении. Если вы установите флажок «Отключить учетную запись», то данная учетная запись будет не предназначена для дальнейшей работы и пользователь с такой учетной записью не сможет выполнить вход до ее включения. Данная опция, как и большинство атрибутов, будет рассмотрена в следующем разделе данной статьи. После выбора всех атрибутов, нажмите на кнопку «Далее». Эта страница мастера изображена на следующей иллюстрации:
Как мы видим наш пользователь создан, теперь давайте дозаполним информацию о нем, учтите, что чем более точно и полно вы заполните информацию о нем, тем проще вам потом будет. Щелкнем два раза по нужному пользователю.
Общие. Данная вкладка предназначена для заполнения индивидуальных пользовательских атрибутов. К этим атрибутам относятся имя пользователя и его фамилия, краткое описания для учетной записи, контактный телефон пользователя, номер комнаты, его электронный ящик, а также веб-сайт. Ввиду того, что данная информация является индивидуальной для каждого отдельного пользователя, данные заполненные на этой вкладке не копируются;
Адрес. На текущей вкладке вы можете заполнить почтовый ящик, город, область, почтовый индекс и страну, где проживают пользователи, которые будут созданы на основании данного шаблона. Так как у каждого пользователя названия улиц обычно не совпадают, данные из этого поля не подлежат копированию;
Учетная запись. В этой вкладке вы можете указать точно время входа пользователя, компьютеры, на которые смогут заходить пользователи, такие параметры учетных записей как хранение паролей, типы шифрования и пр., а также срок действия учетной записи;
Профиль. Текущая вкладка позволяет вам указать путь к профилю, сценарий входа, локальный путь к домашней папке, а также сетевые диски, на которых будет размещена домашняя папка учетной записи;
Организация. На этой вкладке вы можете указать должность сотрудников, отдел, в котором они работают, название организации, а также имя руководителя отдела;
Члены групп. Здесь указывается основная группа и членство в группах.
И вкладка организация, где можно задать принадлежность к отделу и компании.
Все новые пользователи домена становятся членами группы Domain Users (Пользователи домена); это их основная группа. Вы можете указывать членство в дополнительных группах через параметр -Memberof (к нему нужно добавить DN группы). Если DN группы содержит пробелы, оно должно быть заключено в кавычки, например:
- dsadd user "CN=u1,0U=Sales,DC=site1,DC=com" -memberof "CN=Backup Operators,CN=Builtin,DC=cpandl,DC=com" "CN=DHCP Administrators,CN=Builtin,DC=site1,DC=com"
Здесь создается учетная запись пользователя, а затем добавляется в группы Backup Operators и DHCP Administrators. Это двухэтапный процесс: сначала создается учетная запись, а затем конфигурируется ее участие в группах. Если происходит ошибка при включении в группы, DSADD USER сообщит, что объект создан, но после его создания возникла ошибка. Проверьте синтаксис задания DN группы, потом воспользуйтесь командой DSMOD USER для правильной настройки членства пользователя в группах.
Из соображений безопасности при создании учетной записи пользователя вам также могут понадобиться следующие параметры.
- -Mustchpwd {yes | no} - по умолчанию пользователю не надо менять свой пароль при первом входе, т. е. подразумевается параметр -mustchpwd по. Если вы укажете -mustchpwd yes, пользователю придется сменить свой пароль при первом входе.
- -Canchpwd {yes | по} - по умолчанию пользователь может сменить свой пароль, т. е. подразумевается параметр -canchpwd yes. При -canchpwd по пользователь не сможет сменить свой пароль.
- -Pwdneverexpires {yes | по} - по умолчанию предполагается -pwdneverexpires по, и пароль пользователя устаревает в соответствии с настройками политик групп. Если же вы установите -pwdneverexpires yes, пароль для этой учетной записи никогда не устареет.
- -Disabled {yes | по} - по умолчанию, как только вы создаете учетную запись с паролем, она становится доступна для использования (подразумевается значение -disabled по). Если вы укажете -disabled yes, учетная запись отключается. Это временно запретит использование данной учетной записи.
Рассмотрим несколько примеров, чтобы лучше понять команду DSADD USER.
Создание учетной записи для user1 в контейнере Users домена sit1.com и обязательная смена пароля при первом входе в систему:
- dsadd user "CN=Scott L. Bishop,CN=Users,DC=site1,DC=com" -fn Scott -mi L -In Bishop -samid "scottb" -display "user1" -pwd acornTree -mustchpwd yes
Создание локальных учетных записей пользователей
Локальные учетные записи пользователей создаются на индивидуальных компьютерах. Если вы хотите создать локальную учетную запись на конкретном компьютере, вы должны подключиться локально или удаленно для получения доступа к
локальной командной строке. Войдя в нужную систему, вы можете создать необходимую учетную запись командой NET USER. Иногда политики локальных компьютеров позволяют создать учетную запись просто по ее имени и с параметром /Add, например:
net user user1 /add
Сейчас вы создали локальную учетную запись с именем user1 и пустым паролем. Хотя пустые пароли допустимы, они создают риск для безопасности компьютера и, возможно, сети. Поэтому, советую указывать имя пользователя и пароль для новых локальных учетных записей. Пароль должен следовать за именем учетной записи.
Локальная учетная запись пользователя дает пользователю возможность входить на локальный компьютер для доступа к локальным ресурсам. Однако в сетевой среде пользователям нужен доступ к ресурсам, расположенным в других местах сети. Для доступа к этим ресурсам необходима учетная запись пользователя домена. Когда создается учетная запись пользователя домена, она помещается в службу каталогов Active Directory и доступна с любого компьютера, принадлежащего к этому домену. В рабочей группе, наоборот, учетная запись пользователя существует только на локальном компьютере.
а) Учетные записи пользователя домена, определяемые пользователем
Учетные записи пользователя домена, определяемые пользователем - это учетные записи, которые администратор создает для того, чтобы пользователи могли входить в домен и получать доступ к ресурсам сети. Учетные записи пользователя домена, определяемые пользователем, создаются на контроллере домена. Этот контроллер домена реплицирует данные новой учетной записи пользователя на все контроллеры в домене. В процессе входа пользователь указывает имя пользователя и пароль, а также домен, в котором существует данная учетная запись. Первый доступный контроллер домена использует эти сведения для проверки подлинности учетной записи пользователя.
б) Встроенные учетные записи пользователя (домена)
Помимо возможности для администраторов определять новые учетные записи пользователя домена, операционная система Win2000 предлагает две встроенные учетные записи пользователя домена - Administrator и Guest. Эти встроенные учетные записи пользователя подобны встроенным учетным записям пользователя, существующим на локальных компьютерах в рабочих группах. Главное отличие состоит в том, что эти учетные записи дают возможность доступа к целому домену.
в) Администратор
Встроенная учетная запись Administrator управляет всей конфигурацией компьютера и домена. Пользуясь этой записью, администратор может создавать учетные записи пользователя и группы, управлять безопасностью, распоряжаться принтерами и назначать разрешения учетным записям пользователей. Эту учетную запись можно переименовать, но нельзя удалить.
Встроенная учетная запись Guest позволяет разовым пользователям получить доступ к сетевым ресурсам. Например, в системе с низким уровнем безопасности сотрудник, которому нужен кратковременный доступ к ресурсам, может воспользоваться учетной записью Guest. По умолчанию эта учетная запись является отключенной.
д) Служебная программа Active Directory Users and Computers
Операционная система Win2000 предлагает служебную программу под названием Active Directory UandC, с помощью которой администраторы могут управлять учетными записями пользователей в службе каталогов Active Directory. Эта служебная программа установлена на компьютерах, настроенных как контроллеры домена. Для работы со служебной программой Active Directory UandC необходимо войти в домен Win2000 (не на локал компьютер), имея при этом достаточные права для выполнения соответствующих задач.
С помощью служебной программы Active Directory Users and Computers можно выполнять в домене следующие задачи:
- добавлять или удалять учетные записи пользователя;
- включать и отключать учетные записи пользователя;
- находить или перемещать учетные записи пользователя;
- переименовывать учетные записи пользователя;
сбрасывать пароли пользователей.
12. Группы. Группы на локальном компьютере. Группы на контроллере домена. Встроенные и стандартные группы в домене. Создание групп в домене. Типы групп и области их действия.
Группа - это набор учетных записей пользователя. Разрешения на доступ можно задать одновременно всем членам группы, и нет необходимости задавать их индивидуально. Обеспечив доступ для группы, потом можно просто добавлять в эту группу соответствующих пользователей. Можно использовать принятые по умолчанию, или встроенные, группы, предлагаемые операционной системой Win2000, либо создать новые группы в соответствии с потребностями организации. Группа может существовать либо только на локальном компьютере, либо на компьютерах в пределах одного домена, либо на компьютерах в пределах нескольких доменов.
Группы на локальном компьютере:
На локальных компьютерах (компьютерах, являющихся контроллерами домена), можно создавать только локальные группы в локальной базе данных безопасности. Группа, расположенная на компьютере, не являющемся контроллером домена, обеспечивает безопасность и доступ только для этого локального компьютера. Например, чтобы дать пользователю права администратора на локальном компьютере, достаточно его добавить в группу Administrators (Администраторы) данного компьютера с помощью служебной программы Local Users and Groups (Локальные пользователи и группы).
Группы на контроллере домена:
На контроллере домена группы создаются в службе каталогов Active Directory. Группа, расположенная на контроллере домена, может включать в себя пользователей всего домена или нескольких доменов. Например, чтобы предоставить пользователям права администратора, их добавляют в группу Administrators на каком-нибудь контроллере домена с помощью служебной программы Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Встроенные и стандартные группы в домене:
Как и в случае с клиентскими компьютерами и рядовыми серверами, на контроллерах доменов имеются встроенные группы по умолчанию. В дополнение к встроенным группам на контроллерах доменов имеются стандартные группы по умолчанию. Когда компьютер становится контроллером домена, система Windows 2000 Advanced Server автоматически создает эти группы в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Как и встроенные локальные группы, эти группы предоставляют предопределенные права, определяющие, какие системные задачи может выполнять пользователь или встроенная либо стандартная группа.
Стандартные группы с глобальной областью действия располагаются в папке Users (Пользователи). Встроенные локальные группы домена располагаются в папке Builtin (Встроенные). В системе Windows 2000 группы домена по умолчанию включают в себя следующие группы.
- Встроенные локальные группы домена. Эти группы предоставляют пользователям предопределенные права и разрешения на выполнение задач в службе каталогов Active Directory и на контроллерах домена. Встроенные локальные группы домена располагаются только на контроллерах домена. Удалить эти группы невозможно.
- Специальные группы. Эти группы автоматически организуют учетные записи пользователей для нужд системы. Администраторы не назначают пользователей в эти группы. Вместо этого пользователи либо являются их членами по умолчанию, либо становятся таковыми вследствие своих действий в сети. Специальные группы имеются на всех компьютерах, работающих под управлением системы Windows 2000. Например, если пользователи подключаются к общей папке на удаленном компьютере, они становятся членами группы Network System (Сетевая система). Специальные группы не показываются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
- Стандартные глобальные группы. Эти группы позволяют администратору без труда управлять всеми пользователями в домене. Стандартные глобальные группы имеются только на контроллерах домена. Эти группы располагаются в папке User оснастки Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
Создание групп в домене:
При создании групп для использования в домене руководствуйтесь следующими указаниями.
- Определяйте необходимую область действия группы, исходя из того, как она будет использоваться. Например, для группирования учетных записей пользователей примените глобальную группу. И, наоборот, для предоставления разрешений на ресурс используйте локальную группу домена.
- Определите, имеются ли необходимые разрешения на создание группы в соответствующем домене.
а) По умолчанию, необходимые разрешения на создание групп имеют члены групп Administrators (Администраторы) или Account Operators (Операторы учета).
б) Администратор может дать пользователю разрешение на создание групп в домене.
- Определите имя группы. Выберите интуитивно понятное имя, отражающее назначение создаваемой группы. Такой подход особенно полезен, если администраторы других доменов должны будут искать эту группу в службе каталогов Active Directory.
Группы создаются и удаляются в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Можно создавать группы в папке Users (Пользователи) по умолчанию или в любой вновь созданной папке. Если группа больше не нужна, ее обязательно надо удалить, чтобы случайно не предоставить ей каких-либо разрешений.
Чтобы создать группу, откройте оснастку Active Directory Users and Computers (Active Directory - пользователи и компьютеры). Щелкните правой кнопкой мыши папку, в которой будет размещена группа, выберите New (Создать) и щелкните Group (Группа). В следующей таблице описаны параметры диалогового окна New Object - Group (Новый объект - Группа).
Типы групп:
Служба каталогов Active Directory обеспечивает поддержку различных типов групп и областей действия групп в домене. Поскольку группы хранятся в службе Active Directory, их можно использовать на любом компьютере в сети. Тип группы определяет задачи, которыми можно управлять при ее помощи. Область действия группы определяет, охватывает ли группа несколько доменов или ограничена одним доменом. Каждый тип группы в домене имеет атрибут области действия, определяющий, как данная группа применяется в сети.
В службе каталогов Active Directory существуют два типа групп.
1) Группы безопасности. Группы безопасности следует использовать для целей, связанных с обеспечением безопасности, таких как предоставление разрешений на доступ к ресурсам. Кроме того, можно использовать их для рассылки по электронной почте сообщений нескольким пользователям. При рассылке электронной почты какой-либо группе сообщения посылаются всем членам этой группы. Таким образом, группы безопасности имеют некоторые общие возможности с группами распространения.
2) Группы распространения. Группы безопасности используются приложениями в качестве списков для выполнения функций, не связанных с обеспечением безопасности, таких как рассылка электронной почты группам пользователей. Предоставить разрешения, используя группы безопасности, невозможно. Хотя группы безопасности и обладают возможностями групп распространения, последние все же необходимы, поскольку некоторые приложения способны работать только с группами распространения.
Области действия групп:
Область действия группы определяет, где в доменах используется эта группа. Область действия влияет на членство в группах и на вложение групп. Вложение - это добавление группы в другую группу в качестве члена. В системе Windows 2000 имеется три области действия групп.
1) Область действия глобальной группы. Эта область действия используется для объединения пользователей, имеющих аналогичные требования к доступу в сети. Можно использовать глобальную группу для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.
а) Членство в глобальных группах ограничено. Учетные записи пользователей и глобальные группы добавляются только из того домена, в котором создается глобальная группа.
б) Глобальные группы могут быть вложенными в другие группы. Эта функция позволяет добавлять глобальную группу в другую глобальную группу в том же домене, либо в универсальные или локальные группы других доменов.
2) Область действия локальной группы домена. Эта область действия используется для предоставления разрешений на ресурсы домена, расположенные в том же домене, в котором создается локальная группа домена. Ресурс не обязательно должен быть расположен на контроллере домена.
а) Членство в локальных группах домена открытое. Учетные записи пользователей, универсальные группы и глобальные группы добавляются из любого домена.
б) Локальные группы домена не могут быть вложенными в другие группы; это означает, что локальную группу домена невозможно добавить в какую-либо другую группу, даже расположенную в том же домене.
3) Область действия универсальной группы. Предоставляются разрешения на связанные с ней ресурсы в нескольких доменах. Универсальные группы используются для предоставления разрешений на доступ к ресурсам, расположенным в любом домене.
а) Членство в универсальных группах открытое. Их членом может быть любая учетная запись пользователя или группа.
б) Универсальные группы могут быть вложенными в другие группы. Эта возможность позволяет добавлять данную универсальную группу в универсальную группу или в локальную группу домена, расположенную в любом домене.
13. Общие права пользователя. Права, назначенные встроенным группам (по умолчанию).
Рабочая группа.
Права относятся не к конкретному ресурсу, а ко всей системе, и влияют на работу компьютера или домена в целом. Всем пользователям, обращающимся к сетевым ресурсам, нужны определенные общие права на тот компьютер, на котором они работают, например, право входить на компьютер или изменять на нем показания системного времени. Конкретные общие права администраторы могут назначать группам пользователей или отдельным пользователям. Кроме того, операционная система Windows 2000 предоставляет определенные права встроенным группам по умолчанию. Права пользователя определяют, какие пользователи могут выполнять ту или иную конкретную работу на компьютере или в домене.
Общие права пользователя :
Права позволяют пользователю, вошедшему на компьютер или в сеть, выполнять в этой системе определенные действия. Если у пользователя нет прав на выполнение какой-то операции, попытка выполнения этой операции будет блокирована.
Права пользователя могут относиться как к отдельным пользователям, так и к группам. Однако лучше всего управлять правами пользователя, работая с группами. Это гарантирует, что пользователь, входящий в систему как член группы, автоматически получит все связанные с этой группой права. Операционная система Windows 2000 дает администратору возможность назначать права пользователям и группам пользователей. Общие права пользователя включают право локального входа в систему, право на изменение системного времени, право на отключение системы и право доступа к данному компьютеру из сети.
- Локальный вход в систему
Это право позволяет пользователю входить на локальный компьютер или в домен с локального компьютера.
- Изменение системного времени
Это право позволяет пользователю устанавливать показания внутренних часов компьютера.
- Завершение работы системы
Это право позволяет пользователю завершить работу локального компьютера.
- Доступ к этому компьютеру из сети
Это право позволяет пользователю получить доступ к компьютеру, работающему под управлением Windows 2000, с любого другого компьютера в сети.
Права, назначенные встроенным группам (по умолчанию):
Операционная система Windows 2000 по умолчанию предоставляет определенные права таким встроенным группам, как Administrators (Администраторы), Users (Пользователи), Power Users (Опытные пользователи) и Backup Operators (Операторы архива).
1) Администраторы
Administrators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы имеют полный контроль над компьютером или доменом. Administrators . единственная встроенная группа, которой автоматически предоставляются все встроенные права в системе.
2) Пользователи
Users - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены этой группы могут выполнять только те задачи, на которые им предоставлены конкретные права, например, запускать приложения, использовать локальные и сетевые принтеры и выключать и блокировать рабочие станции. Члены группы Users могут создавать локальные группы и могут их изменять, но не могут объявлять папки общими или создавать локальные принтеры.
3) Опытные пользователи
Power Users - встроенная группа, существующая на компьютерах, не являющихся контроллерами домена. Члены группы Power Users могут выполнять конкретные административные функции, но не имеют прав, которые давали бы им полный контроль над системой. Группа Power Users обладает следующими правами.
- Создание учетных записей пользователя и групп на локальном компьютере.
- Изменение и удаление созданных ими учетных записей.
- Предоставление общего доступа к ресурсам. При этом члены группы Power Users не могут выполнять следующие действия.
- Изменять группы Administrators и Backup Operators.
- Архивировать или восстанавливать папки из архива.
4) Операторы архива
Backup Operators - встроенная группа, существующая как на компьютерах, являющихся контроллерами домена, так и на компьютерах, не являющихся контроллерами домена. Члены группы Backup Operators могут архивировать и восстанавливать из архива файлы вне зависимости от того, какими разрешениями эти файлы защищены. Члены группы Backup Operators могут входить на компьютер и завершать его работу, но не могут менять параметры безопасности.
Рабочая группа:
Рабочая группа - это небольшая группа объединенных сетью компьютеров, которые работают вместе и не нуждаются в централизованном администрировании.
Рабочая группа обладает следующими характеристиками.
- Распределение ресурсов, администрирование и проверка подлинности производятся на каждом компьютере рабочей группы в отдельности.
- На каждом компьютере установлена своя локальная база данных SAM (Security Accounts Manager . диспетчер учетных записей безопасности). Пользователь должен иметь учетную запись пользователя на каждом компьютере, на котором он собирается работать.
- Число компьютеров не превышает десяти. Эти компьютеры могут работать под управлением серверных продуктов Windows 2000, однако на каждом имеется своя база данных SAM. Если число компьютеров в рабочей группе превысит 10, ею становится труднее управлять. Число одновременных подключений для компьютера, работающего под управлением системы Windows 2000 Professional, не может превышать 10.
14. Настройка протокола TCP/IP (Transmission Control Protocol/Internet Protocol). DHCP-адресация. Автоматическое назначение IP-адресов. Настройка протокола TCP/IP для использования статического IP-адреса. Проверка и тестирование протокола TCP/IP.
Настройка протокола TCP/IP. DHCP-адресация:
Если протокол TCP/IP был настроен на автоматическое получение IP-адреса, то после установки протокола TCP/IP клиентский компьютер получает IP-адрес одним из двух способов:
- от DHCP-сервера;
- при помощи автоматического назначения частных адресов APIPA (Automatic Private IP Addressing).
DHCP-сервер автоматически назначает IP-адрес и такие значения настройки протокола TCP/IP, как IP-адрес DNS-сервера, WINS-сервера и основного шлюза. Используется следующая процедура автоматического назначения IP-адреса DHCP-сервером.
1. Клиентский компьютер запрашивает IP-адрес у DHCP-сервера.
2. DHCP-сервер назначает IP-адрес клиентскому компьютеру.
Следует убедиться, что параметры протокола TCP/IP настроены таким образом, чтобы клиентский компьютер мог в автоматическом режиме получить IP-адрес от DHCP-сервера. По умолчанию эти параметры в Windows 2000 настраиваются автоматически. Если по какой-либо причине клиентский компьютер не настроен на автоматическое получение IP-адреса, протокол TCP/IP можно настроить вручную.
Автоматическое назначение IP-адресов:
Средство автоматического назначения частных IP-адресов позволяет создать IP-адрес в случае, если клиентский компьютер не может получить IP-адрес от DHCP-сервера. С помощью этого средства назначается только IP-адрес и маска подсети, но не предоставляются дополнительные сведения о настройках, например, основного шлюза. В результате ограничиваются возможности подключения клиентского компьютера к локальной сети: он не может подключиться к другим сетям или Интернету.
При запуске не имеющего IP-адреса компьютера происходит следующее:
1. Клиентский компьютер пытается обнаружить DHCP-сервер и получить от него сведения о настройках протокола TCP/IP.
2. Если клиентский компьютер не обнаружил DHCP-сервер, он настраивает свой IP-адрес и маску подсети, выбирая адрес 169.254.0.0 сети класса B из зарезервированного корпорацией Майкрософт диапазона IP-адресов с маской подсети 255.255.0.0.
Настройка протокола TCP/IP для использования статического IP-адреса:
Иногда возникает необходимость вручную настроить статические IP-адреса для компьютеров сети, в которой поддерживается служба сервера DHCP. Например, компьютер, на котором поддерживается служба сервера DHCP, нельзя настроить на автоматический прием IP-адреса. Кроме того, иногда необходимо сохранить одинаковый IP-адрес у почтового сервера и веб-сервера. В таких случаях следует настроить эти компьютеры со статическим IP-адресом.
При настройке статического IP-адреса необходимо настроить маску подсети и основной шлюз для каждой из имеющихся в компьютере сетевых плат, используя протокол TCP/IP. Ниже приведена таблица, в которой представлены параметры настройки протокола TCP/IP.
| Параметры настройки | Описание |
| IP-адрес | 32-битный адрес, определяющий узел TCP/IP. Каждой сетевой плате компьютера, на котором установлен протокол TCP/IP, требуется уникальный IP-адрес, который обычно имеет десятичное представление (например, 192.168.0.108). Каждый адрес состоит из двух частей: идентификатора сети, по которому определяются все узлы одной сети, и идентификатора узла, по которому определяется конкретный узел этой сети. В данном примере идентификатором сети является значение 192.168.0, а идентификатором узла - 108, в соответствии со стандартной маской подсети. |
| Маска подсети | Значение, по которому определяется, к какой подсети подключен компьютер. Большая интрасеть разделяется на некоторое число подсетей, связанных между собой маршрутизаторами. По значению маски подсети видно, какая часть IP-адреса узла является идентификатором сети, а какая - идентификатором узла. Когда узлы пытаются взаимодействовать друг с другом, используются их маски подсети, с помощью которых определяется, является конечный узел локальным или удаленным. |
| Основной шлюз | Маршрутизатор, которому узел будет направлять все IP-пакеты для удаленных сетей в том случае, когда у него не имеется конкретного маршрута для этих сетей. Основной шлюз обычно настраивается в соответствии с данными маршрутизации, что позволяет ему отправлять пакеты сети назначения или другим промежуточным маршрутизаторам. Чтобы была установлена связь с узлом в другой сети, следует настроить IP-адрес для основного шлюза. |
Проверка и тестирование протокола TCP/IP :
После настройки протокола TCP/IP следует воспользоваться командами ipconfig и ping, чтобы протестировать настройку локального компьютера и убедиться в том, что его можно подключать к сети с протоколом TCP/IP.
1) Команда Ipconfig:
Команда ipconfig позволяет отобразить на экране тестируемого компьютера данные о настройке свойств протокола TCP/IP и определить, инициализирован ли он на компьютере. Затем проверяется правильность отображенной информации.
2) Команда Ping:
Команда pingявляется средством диагностики, с помощью которого проверяется настройка свойств протокола TCP/IP между двумя компьютерами и определяются ошибки подключения. Посредством команды ping устанавливается возможность взаимодействия с другим узлом, использующим протокол TCP/IP.
Проверка и тестирование протокола TCP/IP:
Комбинируя команды ipconfig и ping, можно проверить настройку протокола IP локального компьютера и IP-подключение двух сетевых компьютеров. В соответствии с процедурой совместного использования команд ipconfig и ping необходимо выполнить следующие основные действия.
1) Введите команду ipconfig в командной строке. Вы получите следующий результат использования команды ipconfig.
- Если протокол TCP/IP инициализирован, то в результате применения команды ipconfig отобразится IP-адрес и маска подсети каждой сетевой платы вашего компьютера. Кроме того, отобразятся другие параметры настройки, такие как основной шлюз.
- Если имеется дублирование IP-адреса, то в результате выполнения команды ipconfig появится сообщение о том, что IP-адрес настроен; однако значение маски подсети равняется при этом 0.0.0.0., свидетельствуя о том, что данный адрес уже используется в сети. Служба автоматического назначения частных IP-адресов всегда имеет идентификатор сети 169.254.0.0. Если вы указываете идентификатор сети, значение которого начинается со 169.254.x.x., то получаете IP-адрес не от сервера DHCP, а через службу автоматического назначения частных IP-адресов.
2) Выполните команду ping 127.0.0.1 с адресом замыкания на себя, чтобы удостовериться в правильности установки протокола TCP/IP. Адрес замыкания на себя представляет собой тот адрес, который используется компьютером для собственной идентификации.
В команде ping используется синтаксис ping IP_адрес, где IP_адрес является адресом другого узла или компьютера с установленным протоколом TCP/IP.
3) Выполните команду ping с IP-адресом локального компьютера, чтобы убедиться, что ваш адрес настроен правильно.
4) Выполните команду ping с IP-адресом основного шлюза, чтобы убедиться, что ваш компьютер может взаимодействовать с локальной сетью. Чтобы убедиться в том, что компьютер можно подключить к локальной сети, следует направить запрос любому другому компьютеру этой локальной сети. Однако наиболее часто для данной цели используется основной шлюз, поскольку обычно он никогда не отключается.
5) Выполните команду ping с IP-адресом удаленного узла, чтобы удостовериться в том, что компьютер может взаимодействовать с маршрутизатором.
По умолчанию, в случае успешного прохождения команд ping, появляются четыре одинаковых сообщения следующего вида: Ответ, полученный с соответствующего IP-адреса
Похожая информация.
Учетные записи пользователей
В Windows Server 2003 определены пользовательские учетные записи двух типов:
Доменные учетные записи (domain user accounts ) определены в Active Directory . Посредством системы однократного ввода пароля такие учетные записи могут обращаться к ресурсам во всем домене. Они создаются в консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).
Локальные учетные записи (local user accounts ) определены на локальном компьютере, имеют доступ только к его ресурсам и должны аутентифицироваться, прежде чем получат доступ к сетевым ресурсам. Локальные учетные записи пользователей создают в оснастке Локальные пользователи и группы (Local Users and Groups ).
Локальные учетные записи пользователей и групп хранятся только на рядовых серверах и рабочих станциях. На первом контроллере домена они перемещаются в Active Directory и преобразуются в доменные учетные записи.
Имена для входа в систему, пароли и открытые сертификаты
Все учетные записи пользователей распознаются по имени для входа в систему. В Windows Server 2003 оно состоит из двух частей:
имя пользователя - текстовое имя учетной записи;
домен или рабочая группа ,в которых находится учетная запись.
Для пользователя w e stanec , учетная запись которого создана в домене microsoft.com, полное имя для входа в WindowsServer 2003 выглядит так - we stane c @microsoft.com. При работе с Active Directory иногда требуется полное имя домена (fully qualified domain name , FQDN ) пользователя, состоящее из DNS-имени домена в сочетании с именами контейнера (или ОП) и группы. У пользователя microsoft.соm \ Users\w e stane c , microsoft.com - DNS-имя домена, Users -- имя контейнера, a w e stane c - имя пользователя.
С учетной записью пользователя могут сопоставляться пароль и открытый сертификат (public certificate ). В открытом сертификате сочетаются открытый и закрытый ключ для идентификации пользователя. Вход в систему по паролю проходит интерактивно. При входе в систему с открытым сертификатом используются смарт-карта и считывающее устройство.
Идентификаторы безопасности и учетные записи пользователей
Хотя для назначения привилегий и разрешений в Windows Server 2003 применяются имена пользователей, ключевым идентификатором учетной записи является генерируемый при e ё создании уникальный идентификатор безопасности (security identifier , SID). Он состоит из идентификатора безопасности домена и уникального относительного идентификатора, который был выделен хозяином относительных идентификаторов.
С помощью SID Windows Server 2003 способна отслеживать учетные записи независимо от имен пользователей. Благодаря наличию SID можно изменять имена пользователей и удалять учетные записи, не беспокоясь, что кто-то получит доступ к ресурсам, создав учетную запись с тем же именем.
Когда изменяется имя пользователя, Windows Server 2003 сопоставляет прежний SID с новым именем. При удалении учетной записи, Windows Server 2003 считает, что конкретный SID больше недействителен. Если затем создать учетную запись с тем же именем, она не получит привилегий предыдущей записи, так как у нее иной SID.
Учетные записи групп
Помимо учетных записей пользователя в Windows Server 2003 используются группы, позволяющие автоматически предоставлять разрешения схожим типам пользователей и упростить администрирование учетных записей. Если пользователь - член группы, которая вправе обращаться к ресурсу, то он тоже может к нему обратиться. Чтобы предоставить пользователю доступ к нужным ресурсам, достаточно просто включаете его в подходящую группу. Поскольку в разных доменах Active Directory могут быть группы с одинаковыми именами, на группы часто ссылаются по полному имени - домен\имя_группы , например, WORK\GMarketing соответствует группе GMarketing в домене WORK. При работе с Active Directory к группе иногда нужно обращаться по полному имени, состоящему из DNS-имени домена, имени контейнера или ОП и имени группы. В имени группы microsoft.com\Us e rs\GMarkcting , microsoft.com - DNS- имя домена, Users - контейнер или ОП, a GMarketing - имя группы.
Служащим отдела маркетинга скорее всего понадобится доступ ко всем ресурсам, связанным с маркетингом. Вместо того чтобы открывать доступ к ним индивидуально, стоит объединить пользователей в группу. Если позже пользователь перейдет в другой отдел достаточно будет его просто исключить из группы, и все разрешения доступа будут отозваны.
Типы групп
В Windows Server 2003 используются группы трех типов:
Локальные группы (local groups ) определяются и используются только на локальном компьютере, создаются в оснастке Локальные пользователи и группы (Local Users and Groups );
Группы безопасности (security groups ) располагают дескрипторами защиты и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers );
Группы распространения (distribution groups ) используются как списки рассылки электронной почты, не имеют дескрипторов безопасности и определяются в доменах посредством консоли Active Directory - пользователи и компьютеры (Active Directory Users and Computers ).
Область действия группы
У групп возможны разные области действия - локальная доменная (domain local ), встроенная локальная (built - in local ), глобальная (global ) и универсальная (universal ). От этого зависит, в какой части сети они действительны.
Локальные доменные группы предоставляют разрешения в одном домене, В состав локальных доменных групп входят лишь учетные записи (и пользователей, и компьютеров) и группы из домена, в котором они определены.
Встроенные локальные группы обладают особыми разрешениями в локальном домене. Для простоты их часто называют локальными доменными группами, но в отличие от обычных групп, встроенные локальные группы нельзя создать или удалить - можно лишь изменить их состав. Как правило, говоря о локальных доменных группах, имеют в виду обычные, и встроенные локальные группы, если не указано обратное.
Глобальные группы используются для назначения разрешений на доступ к объектам в любом домене дерева или леса. В глобальную группу входят только учетные записи и группы из домена, в котором они определены.
Универсальные группы управляют разрешениями во всем дереве или лесе; в них входят учетные записи и группы из любого домена в дереве или лесе домена. Универсальные группы доступны только в Active Directory в основном режиме Windows 2000 или в режиме Windows Server 2003.
Универсальные группы очень полезны на больших предприятиях, имеющих несколько доменов. Состав универсальных групп не должен часто меняться, так как любое изменение надо реплицировать во все глобальные каталоги (ГК) в дереве или лесе.
Идентификаторы безопасности и учетные записи групп
В Windows Server 2003 учетные записи групп, как и учетные записи пользователей, различаются по уникальным идентификаторам безопасности (SID). Это значит, что нельзя удалить учетную запись группы, а затем создать группу с тем же именем, чтобы у нее появились прежние разрешения и привилегии. У новой группы будет новый SID, и все разрешения и привилегии старой группы будут утеряны.
Для каждого сеанса пользователя в системе Windows Server 2003 создает маркер безопасности, содержащий идентификатор учетной записи пользователя и SID всех групп безопасности, к которым относится пользователь. Размер маркера растет по мере того, как пользователь добавляется в новые группы безопасности. Это приводит к следующим последствиям:
Чтобы пользователь вошел в систему, маркер безопасности должен быть передан процессу входа в систему. Поэтому по мере увеличения членства пользователя в группах безопасности процесс входа требует все больше времени;
Чтобы выяснить разрешения доступа, маркер безопасности пересылается на каждый компьютер, к которому обращается пользователь. Поэтому чем больше маркер безопасности, тем выше сетевой трафик.
Когда использовать локальные доменные, глобальные и универсальные группы
Локальные доменные, глобальные и универсальные группы содержат множество параметров для настройки групп в масштабе предприятия. В идеале следует использовать области действия групп для создания ие рархий, схожих со структурой организации и обязанностями групп пользователей.
Локальные доменные группы обладают наименьшей сферой влияния и хорошо подходят для управления доступом к таким ресурсам, как принтеры и общие папки.
Глобальные группы оптимальны для управления учетными записями пользователей и компьютеров в отдельном домене.
Универсальные группы обладают самой широкой сферой влияния. Они используются для централизации групп, определенных в нескольких доменах. Обычно для этого в универсальную группу добавляется глобальная группа. Тогда при изменении состава глобальных групп изменения не будут реплицироваться во все ГК, поскольку формально состав универсальных групп не меняется.
Если в организации всего один домен, универсальные группы не нужны; рекомендуется использовать структуру на локальных доменных и глобальных группах.
Стандартные учетные записи пользователей и групп
При установке Windows Server 2003 создаются стандартные учетные записи пользователей и группы. Они предназначены для начальной настройки, необходимой для развития сети, Вот три типа стандартных учетных записей:
встроенные (built-in ) учетные записи пользователей и групп устанавливаются вместе с ОС, приложениями и службами;
предопределенные (predefined ) учетные записи пользователей и групп устанавливаются вместе с ОС;
неявные (implicit ) - специальные группы, создаваемые неявно при обращении к сетевым ресурсам; их также называют специальными объектами (special identities ).
Удалить пользователей и группы, созданные ОС, нельзя.
Встроенные учетные записи
У встроенных учетных записей пользователей в Windows Server 2003 есть особые цели. Все системы Windows Server 2003 обладают тремя встроенными учетными записями.
Локальная система (Local System ) - учетная псевдозапись для выполнения системных процессов и обработки задач системного уровня, доступная только па локальной системе. Эта запись обладает правом Вход в качестве службы (Log on as a service ). Большинство служб работает под локальной системной учетной записью и имеет право взаимодействовать с рабочим столом.
Службы, которым требуются дополнительные привилегии или права входа, работают под учетными записями Local Service или Network Service .
Local Service -учетная псевдозапись для запуска служб, которым необходимы дополнительные привилегии или права входа на локальной системе. Службы, которые работают под этой учетной записью, по умолчанию обладают правами и привилегиями на вход в качестве службы, на изменение системного времени и на создание журналов безопасности. К службам, работающим от имени учетной записи Local Service , относятся Оповещатель (Alerter ), Служба сообщений (Messenger ), Удаленный реестр (Remote Registry ), Смарт-карта (Smart Card ), Модуль поддержки смарт-карт (Smart Card Helper ), Служба обнаружения SSDP (SSDP Discovery Service ), Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper ), Источник бесперебойного питания (Uninterruptible Power Supply ) и Веб-клиент (WebClient ).
Network Service - учетная псевдозапись для служб, которым требуются дополнительные привилегии или права входа на локальной системе и в сети. Службы, которые работают под этой учетной записью, обладают правами на вход в качестве службы, изменение системного времени и создание журналов безопасности. Под учетной записью Network Service работают такие службы, как Координатор распределенных транзакций (Distributed Transaction Coordinator ), DNS -клиент(DNS Client ), Журналы и оповещения производительности (Performance Logs and Alerts ) и Локатор удаленного вызова процедур (Remote Procedure Call Locator ). При устанавливке па сервере дополнений или других приложений, разрешается установить и другие учетные записи по умолчанию. Обычно их можно потом удалить. После установки IIS (Internet Information Services ), появляются новые учетные записи: первая - встроенная учетная запись для анонимного доступа к IIS, а вторая служит IIS для запуска прикладных процессов. Эти учетные записи определяются в Active Directory , когда они настроены в домене, и как локальные учетные записи, когда они настроены на изолированном сервере или рабочей станции. Еще одна встроенная учетная запись, - TSInt e rnetUser - требуется службам терминала.
Предопределенные учетные записи пользователей
Вместе с Windows Server 2003 устанавливаются некоторые записи: Администратор (Administrator ), Гость (Guest ), ASPNET и Support . На рядовых серверах предопределенные учетные записи являются локальными для той системы, где они установлены. У предопределенных учетных записей есть аналоги в Active Directory , которые имеют доступ по всему домену и совершенно независимы от локальных учетных записей на отдельных системах.
Учетная запись Администратор (Administrator )
Эта предопределенная учетная запись обладает полным доступом к файлам, папкам, службам и другим ресурсам; ее нельзя отключить или удалить. В Active Directory она обладает доступом и привилегиями во всем домене. В остальных случаях Администратор (Administrator ) обычно имеет доступ только к локальной системе. Файлы и папки можно временно закрыть от администратора, но он имеет право в любой момент вернуть себе контроль над любыми ресурсами, сменив разрешения доступа.
Чтобы предотвратить несанкционированный доступ к системе или домену, у административной записи должен быть надежный пароль. Кроме того, стандартное имя этой записи всем известно, поэтому рекомендуется переименовать ее.
Обычно менять основные параметры учетной записи Администратор (Administrator ) не требуется, однако иногда следует сменить такие дополнительные параметры, как ее членство в некоторых группах. По умолчанию администратор в домене включен в группы Администраторы (Administrators ), Администраторы домена (Domain Admins ), Пользователи домена (Domain Users ), Администраторы предприятия (Enterprise Admins ), Администраторы схемы (Schema Admins ) и Владельцы-создатели групповой политики (Group Policy Creator Owners ).
Учетная запись ASPNET
Учетная запись ASPNET используется в NET Framework и предназначена для запуска рабочих процессов ASP.NET. Она является членом группы Пользователи домена (Domain Users ) и в этом качестве имеет те же привилегии, что и обычные пользователи в домене.
Учетная запись Гость (Guest )
Эта учетная запись предназначена для пользователей, которым нужен разовый или редкий доступ к ресурсам компьютера или сети. Гостевая учетная запись обладает весьма ограниченными системными привилегиями, тем не менее применять ее нужно с осторожностью, поскольку она потенциально снижает безопасность. Поэтому запись Гость (Guest ) при установке Windows Server 2003 изначально отключена.
Учетная запись Гость (Guest ) по умолчанию является членом групп Гости домена (Domain Guests ) и Гости (Guests ). Важно отметить, что все гостевые учетные записи являются членами неявной группы В се (Everyone ), которая обычно по умолчанию имеет доступ к файлам и папкам и располагает стандартным набором прав пользователя.
Учетная запись Support
Учетная запись Support применяется встроенной службой Справка и поддержка (Help and Support ). Она является членом групп HelpServicesGroup и Пользователи домена (Domain Users ) и имеет право входа в качестве пакетного задания. Это позволяет учетной записи Support выполнять пакетные задания, связанные с обновлением системы.
Встроенные и предопределенные группы
Встроенные группы устанавливаются со всеми системами Windows Server 2003. Чтобы предоставить пользователю привилегии и разрешения встроенной группы, достаточно включить его в ее состав.
Например, чтобы дать пользователю административный доступ к системе, его нужно включить в локальную группу Администраторы (Administrators ). Чтобы дать пользователю административный доступ к домену, его нужно включить в локальную доменную группу Администраторы (Administrators ) в Active Directory .
Неявные группы и специальные идентификаторы
В Windows NT неявные группы назначались автоматически при входе в систему, на основе того, как пользователь обращался к сетевому ресурсу. Так, если он обращался через интерактивный вход, то автоматически становился участником неявной группы Интерактивные (Interactive ).
В Windows 2000 и Windows Server 2003 объектный подход к структуре каталога изменил первоначальные правила для неявных групп. Хотя по-прежнему нельзя просмотреть состав неявных системных групп, в них можно включать пользователей, группы и компьютеры.
Состав специальной встроенной группы может настраиваться неявно, например, при входе в систему, или явно - через разрешения доступа. Как и в случае других стандартных групп, доступность неявных групп зависит от конфигурации сети.
Возможности учетных записей
Чтобы назначить пользователю те или иные права, достаточно добавить его в группы, а чтобы лишить - удалить его из соответствующих групп.
В Windows Server 2003 учетной записи можно назначить следующие типы прав.
Привилегия (privilege ) позволяет выполнять определенную административную задачу, например отключать систему. Привилегии можно назначать как пользователям, так и группам.
Права на вход в систему (logon rights ) определяют возможность входа в систему, например, локально. Права на вход разрешается назначить и пользователям, и группам.
Встроенные возможности (built-in capabilities ) предназначены для групп. Они предопределены и неизменны, но их допустимо делегировать пользователям с разрешением управлять объектами, ОП или другими контейнерами. Например, возможность создавать и удалять учетные записи пользователей, а также управлять ими дается администраторам и операторам учета. Иными словами, пользователь, включенный в состав группы Администраторы (Administrators ), получает право создавать и удалять учетные записи пользователей.
Разрешения доступа (access permissions ) определяют, какие действия можно выполнять с сетевыми ресурсами, например, создавать файл в папке. Можно назначать разрешения доступа пользователям, компьютерам и группам.
Нельзя менять встроенные возможности группы, но можно изменить ее стандартные права. Так, администратор может отменить сетевой доступ к компьютеру, удалив право группы па доступ к этому компьютеру из сети.
Стандартные учетные записи групп
Главное свойство стандартных групп - гибкость. Если назначить пользователей в правильные группы, управлять рабочими группами или доменами Windows Server 2003 будет гораздо легче. Однако в таком разнообразии групп понять назначение каждой из них непросто. Рассмотрим подробнее группы, используемые администраторами, и неявные группы.
Административные группы
Администратор обладает широким доступом к сетевым ресурсам. Администраторы могут создавать учетные записи, изменять права пользователя, устанавливать принтеры, управлять общими ресурсами и т. н. Основные группы администраторов: Администраторы (Administrators ), Администраторы домена (Domain Admins ) и Администраторы предприятия (Enterprise Admins ).
Администраторы (Administrators ) - локальная группа, в зависимости от ее расположения предоставляющая полный административный доступ к отдельному компьютеру или конкретному домену. Чтобы назначить кого-то администратором локального компьютера или домена, достаточно включить его в данную группу. Изменять эту учетную запись вправе только члены группы Администраторы (Administrators ).
Глобальная группа Администраторы домена (Domain Admins ) призвана помочь в администрировании всех компьютеров в домене. У этой группы есть административный контроль над всеми компьютерами в домене, поскольку по умолчанию она входит в группу Администраторы (Administrators ).
Глобальная группа Администраторы предприятия (Enterprise Admins ) позволяет администрировать все компьютеры в дереве или лесу. Она имеет административный контроль над всеми компьютерами на предприятии, так как по умолчанию включена в группу Администраторы (Administrators ).
Неявные группы
В Windows Server 2003 есть несколько встроенных системных групп, позволяющих назначить разрешения в конкретных ситуациях. Разрешения для таких групп обычно определяются неявно, но можно назначать их самостоятельно, при изменении объектов Active Directory .
Self - содержит сам объект и позволяет ему изменять себя.
Анонимный вход (Anonymous Logon ) - пользователи, обращающиеся к системе через анонимный вход. Применяется для анонимного доступа к таким ресурсам, как Web-страницы на серверах предприятия.
Все (Everyone ) - все интерактивные, сетевые, коммутируемые и прошедшие проверку пользователи. Эта группа предоставляет широкий доступ к системным ресурсам.
Группа-создатель (Creator Group ) - группа, применяемая для автоматического предоставления разрешений доступа пользователям, которые являются членами той же группы (групп), что и создатель файла или папки.
Интерактивные (Interactive ) - пользователи, зарегистрировавшиеся локально. Позволяет разрешить доступ к ресурсу только локальным пользователям.
Контроллеры домена предприятия (Enterprise Domain Controllers ) - контроллеры домена с ролями и обязательствами, действующими на всем предприятии. Включение в эту группу позволяет контроллерам выполнять определенные задачи с использованием транзитивного доверия.
Ограниченные (Restricted ) - пользователи и компьютеры с ограниченным доступом. На рядовом сервере или рабочей станции в эту группу включается локальный пользователь из группы Пользователи (Users ).
Пакетные файлы (Batch ) - пользователи или процессы, обращающиеся к системе как пакетное задание (или через пакетную очередь).
Пользователь служб терминалов (Terminal Server User ) - Пользователи, обращающиеся к системе через службы терминалов. Позволяет пользователям сервера терминалов обращаться к приложениям сервера и выполнять другие задачи.
Прокси (Proxy ) - пользователи и компьютеры, обращающиеся к ресурсам через прокси-сервер (применяется, когда в сети есть прокси-серверы ).
Прошедшие проверку (Authenticated Users ) - пользователи, обращающиеся к системе через процесс входа. Применяется для организации доступа к общим ресурсам и домене , например к файлам в общей папке, которые должны быть доступны всем сотрудникам организации.
Сеть (Network ) - пользователи, обращающиеся к системе через сеть. Позволяет разрешить доступ к ресурсу только удаленным пользователям.
Система (System ) - сама ОС Windows Server 2003. Используется, когда ОС нужно выполнить функцию системного уровня.
Служба (Service ) - службы, обращающиеся к системе. Предоставляет доступ к процессам, выполняемым службами Windows Server 2003.
Создатель-владелец (Creator Owner ) - пользователь, создавший данный файл или папку. Применяется для автоматического предоставления разрешений создателю файла или папки.
Удаленный доступ (Dial-Up ) - пользователи, обращающиеся к системе через коммутируемое соединение.
