Локальные группы в windows 2003 могут создавать

Обновлено: 04.07.2024

Модуль Local Users and Groups позволяет выполнять следующие действия над объектами User (Пользователь) и Group (Группа) локальной системы Windows Server 2003:

View (Просмотр): Отображает список созданных учётных записей пользователей (объектов папки Users) и групп (объектов папки Groups).
Add (Добавить): Добавляет новые учётные записи пользователей и групп на локальную систему.
Edit (Редактировать): Изменяет параметры групповых и пользовательских учётных записей.
Delete (Удалить): Уничтожает учётные записи пользователей и групп.

Примечание: в системе Windows Server 2003 имеется возможность добавления пользователей и глобальных групп из локального домена в локальные группы. Эта рекомендованная Microsoft практика поможет в управлении вашей средой.

Чтобы просмотреть списки созданных групп локальной системы посредством Computer Management Console:

1. Раскройте вкладку Local Users And Groups.
2. Выберите объект Groups в левой части панели. Список групп появится в правой части окна консоли управления.
3. Для того, чтобы просмотреть список пользователей локальной системы, щёлкните на объекте Users в левой части окна управления.

Чтобы создать новую пользовательскую учётную запись:

1. Выберите объект Users (Пользователи).
2. Щёлкните правой кнопкой мыши на правой части окна, где отображён список пользователей, и выберите пункт New User (Новый пользователь).
3. В открывшемся диалоговом окне введите имя пользователя (Name), название учётной записи (Username) и нажмите Next (Вперёд).
4. Задайте и подтвердите пароль для новой пользовательской учётной записи.
5. На экране для создания пароля также нужно настроить следующие опции:

• User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему): Как только пользователь войдёт в систему с заданным администратором паролем, ему придётся создать новый пароль для своей учётной записи.
• User Cannot Change Password (Запретить смену пароля пользователем): Пользователь не сможет изменить созданный администратором пароль.
• Password Never Expires (Срок действия пароля неограничен): паролем, заданным для данной учётной записи, можно будет пользоваться сколь угодно долго.
• Account Is Disabled (Отключить учётную запись): Эту учётную запись нельзя будет использовать для входа в систему.

Примечание: Если вы включите опцию User Must Change Password At Next Logon (Потребовать смену пароля при следующем входе в систему), опции User Cannot Change Password (Запретить смену пароля пользователем) и Password Never Expires (Срок действия пароля неограничен) станут недоступными до следующего входа пользователя в систему.

6. По завершению настроек нажмите кнопку Create (Создать). Новая учётная запись пользователя будет добавлена в список

Создание локальных групп

Наиболее удобный способ создания групповой учётной записи в консоли Computer Management Console (Управление компьютером) - выбрать объект Groups (Группы) в левой панели, щёлкнуть правой кнопкой в правой части окна, где находится список имеющихся групп, и выбрать пункт New Group (Создать группу). В открывшемся диалоговом окне нужно будет ввести название новой группы и её описание. После этого нажмите на кнопку Add в нижней части диалогового окна, чтобы выбрать будущих членов новой группы. По завершению нажмите OK для подтверждения выбора, а затем на кнопку Create (Создать) в диалоговом окне New Group (Новая группа).

Редактирование и удаление групповых и пользовательских учётных записей

Для изменения параметров учётной записи пользователя или группы:

1. Щёлкните на объекте Users (Пользователи) или Groups (Группы) в левой части окна консоли управления компьютером.
2. Щёлкните правой кнопкой на нужном объекте.
3. Выберите пункт Properties (Свойства) из контекстного меню.
4. Произведите необходимые настройки и нажмите OK.

Чтобы изменить учётную запись пользователя или группы можно также дважды щёлкнуть мышью на требуемом объекте из списка.

Для удаления учётной записи:

1. Щёлкните на объекте Users (Пользователи) или Groups (Группы) в левой части окна консоли управления компьютером.
2. Щёлкните правой кнопкой на объекте, который необходимо удалить.
3. Выберите Delete (Удалить) из контекстного меню. Система спросит, действительно ли вы хотите удалить этого пользователя (группу), нажмите Yes (Да).

Примечание: Войдя в консоль Управление компьютером (Computer Management Console), администратор не сможет подключиться к удалённой системе для просмотра её ресурсов. Удалённые системы должны работать на платформе Windows 2000 (или более поздних версиях).

· Сделайте пользователей членами созданных рабочих групп.

1.1 Создание учетной записи в Windows 7:

Пуск/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

1.2 Создание учетной записи в Windows Server 2003:

Пуск/ Администрирование/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

Создание контроллера домена

Контроллер домена — специальный сервер, который хранит соответствующую данному домену часть базы данных Active Directory.

Проведем установку первого контроллера первого домена первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo или по команде Пуск/ Управление данным сервером

На экране появляется стартовая страница мастера (рисунок 2.1)

Далее идет предупреждение о том, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рисунок 2.2).

Рисунок 2.1 – Стартовая страница мастера установки службы каталогов

Рисунок 2.2 – Предупреждение о несовместимости ОС

Затем выбираем вариант установки контроллера домена в новом домене (рисунок 2.3) и вариант создания нового домена в новом лесу (рисунок 2.4)

Рисунок 2.3 – Выбор роли сервера

Рисунок 2.4 – Выбор типа домена

Следующий шаг — выбор имени домена (для Active Directory это будет корневой домен). Выберем имя Stud.by (рисунок 2.5)

Рисунок 2.5 – Выбор имени домена

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — STUD (рисунок 2.6)

Рисунок 2.6 – Выбор NetBIOS-имени домена

Далее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рисунок 2.7) и папки системного тома SYSVOL (рисунок 2.8). Системный том обязательно должен быть размещен в разделе с файловой системой NTFS.

Рисунок 2.7 – Выбор места для хранения базы данных AD

Рисунок 2.8 – Выбор места хранения папки системного тома

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рисунок 2.9).

Рисунок 2.9 – Диагностика регистрации DNS

Далее предлагается выбрать уровень разрешений создаваемого домена (рисунок 2.10). Если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рисунок 2.10 – Выбор уровня разрешений для создаваемого домена

Затем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рисунок 2.11). Данный режим используется для восстановления БД Active Directory из резервной копии.

Рисунок 2.11 – Ввод пароля администратора для режима восстановления

Рисунок 2.12 – Сводка информации о создаваемом домене

После этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рисунок 2.13)

Рисунок 2.13 – Настройка AD

Последний шаг — нажать кнопку "Готово" и перезагрузить сервер (рисунок 2.14).

Рисунок 2.14 – Завершение создания контроллера домена

При перезагрузке понадобится нажать комбинацию клавиш Ctrl+Alt+Del. Так как работа проводится в виртуальной среде, то следует выбрать команду Машина/ Послать Ctrl+Alt+Del.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Рисунок 4.1 – Создание учетной записи пользователя

5. Вводим пароль пользователя (два раза, для подтверждения).

6. Укажем начальные требования к паролю (рисунок 4.2):

· Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

· Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

· Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

· Отключить учетную запись.

Нажмем кнопку Далее

Рисунок 4.2 – Начальные требования к паролю

7. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку "Готово".

ÿ Создайте новую глобальную учетную запись.

ÿ Введите атрибуты для созданной учетной записи (номер телефона, адрес электронной почты и т.д.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

· Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

· Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп:

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;

· Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

· Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Создание резервной копии АD

Создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию файлов и параметров, выберем для архивации папку, например «Мои документы» укажем путь для создания файла с резервной копией и нажмем кнопку "Архивировать" (рисунок 5.1).

Рисунок 5.1 – Программа архивации

На следующем шаге — нажать кнопку "Дополнительно" (рисунок 5.2).

Рисунок 5.2 – Задание параметров архивации

В открывшейся панели — убрать галочку у поля "Автоматически архивировать защищенные системные файлы вместе с состоянием системы" (рисунок 5.3).

Рисунок 5.3 – Дополнительные параметры архивации

После создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рисунок 5.4)

Рисунок 5.4 – Восстановление архива

ÿ Создайте архив папки «Мои документы» и затем выполните восстановление из архива.

Рисунок 6.1 – Включение сервера в члены домена

После перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант "Добавочный контроллер в существующем домене" (рисунок 6.2)

Рисунок 6.2 – Создание добавочного контроллера домена

Указываем учетные данные администратора домена (рисунок 6.3)

Рисунок 6.3 – Ввод учетных данных администратора

Рисунок 6.4 – Настройка AD

По окончании процесса — снова нажать кнопку "Готово" и перезагрузить сервер.

При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Содержание:

1. Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003. 3

2. Создание контроллера домена. 3

3. Проверка созданных ранее учетных записей. 11

4. Создание учетных записей и рабочих групп в с использованием службы каталогов Active Directory в среде Windows Server 2003. 11

5. Создание резервной копии АD. 24

6. Установка дополнительного контроллера в уже созданном домене.. 26

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Использование групп и организационных единиц (OU) - это логичный и простой способ управления вашим доменом и, в частности, безопасностью ваших сетевых ресурсов. Если вы переходите к Windows Server 2003 из Windows NT, то вам известно определение группы, но при работе с Windows Server 2003 вы увидите существенные отличия в использовании групп.

OU - это совершенно новое понятие для администраторов Windows NT, но OU - это достаточно простое для понимания и использования средство, и вы сможете оценить, насколько удобно использовать организационные единицы для управления вашими доменами.

В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.

Группы Windows Server 2003

Группа - это набор таких объектов, как пользователи, компьютеры, контакты и даже другие группы. В Windows Server 2003 существует иерархия типов групп, начиная с верхнего уровня, содержащего следующие два типа.

Группы рассылки (Distribution), которые используются только для рассылки электронной почты.
Группы безопасности (Security), которые используются для предоставления полномочий доступа к ресурсам (и могут также использоваться как списки рассылки электронной почты).

Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.

Локальные группы

При настройке компьютера Windows Server 2003 как рядового сервера (а не контроллера домена) автоматически создается целый ряд локальных групп. Если вы назначаете определенные роли для этого компьютера, то создаются дополнительные группы , чтобы пользователи могли выполнять задачи, связанные с этими ролями. Например, если вы делаете компьютер сервером DHCP, то создаются локальные группы для администрирования и использования служб DHCP.

Группы рассылки

Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.

Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.

Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.

Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.

Локальные группы по умолчанию

Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.

Рис. 11.1. Выберите объект Groups, чтобы увидеть локальные группы на вашем компьютере Windows Server 2003

Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.

Administrators (Администраторы). Члены этой группы имеют неограниченные права управления данным компьютером локально или удаленным образом. По умолчанию локальная учетная запись Administrator и любой член группы Domain Admins (Администраторы домена) являются членами этой группы.
Backup Operators (Операторы резервного копирования).Члены этой группы могут выполнять вход на данный компьютер локально или удаленным образом, выполнять резервное копирование и восстановление файлов и папок на этом компьютере, а также завершать работу этого компьютера. Отметим, что члены этой группы могут выполнять резервное копирование и восстановление файлов и папок, для которых они не имеют обычных полномочий доступа, но члены группы backup/restore имеют приоритет по сравнению с этими правами. По умолчанию эта группа не содержит членов.
Guests (Гости).Только учетная запись Guest является членом этой группы, но учетная запись Guest отключена по умолчанию в Windows Server 2003. Члены этой группы не имеют никаких прав или полномочий по умолчанию. Если активизировать учетную запись Guest и какой-либо гость выполняет вход на данный компьютер, то при входе создается временный профиль, который удаляется при выходе.
HelpServicesGroup (Группа для служб поддержки).Эта группа используется, чтобы задавать полномочия для приложений поддержки, и единственным членом является учетная запись, связанная с установленными приложениями поддержки, такими как Remote Assistance. Не включайте пользователей в эту группу.
Network Configuration Operators (Операторы сетевой конфигурации).Члены группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать адреса TCP/IP, если данный компьютер является сервером DHCP. По умолчанию эта группа не содержит членов.
Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на этом сервере локально или удаленным образом. По умолчанию эта группа не содержит членов.
Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на данном сервере локально или удаленным образом. По умолчанию единственным членом этой группы является NT Authority\Network Service (интерактивный системный пользователь , но не реальный пользователь).
Power Users (Привилегированные пользователи).Члены этой группы могут создавать и модифицировать пользовательские учетные записи. Они могут также создавать новые локальные группы и включать членов в эти группы. Они могут добавлять и удалять пользователей в группах Power Users , Users и Guests. По умолчанию эта группа не содержит членов.
Print Operators (Операторы печати).Члены этой группы могут управлять принтерами и очередями печати. По умолчанию эта группа не содержит членов.
Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается выполнять вход на данный сервер удаленным образом. О возможностях удаленного рабочего стола и добавлении пользователей в эту группу см. в лекции 3 курса "Администрирование Microsoft Windows Server 2003".

Replicator (Репликатор).Группа Replicator поддерживает функции репликации. Единственным членом этой группы является доменная пользовательская учетная запись, которая требуется для служб Replicator на контроллере домена. Не включайте в эту группу учетные записи реальных пользователей.
Users (Пользователи).Члены этой группы могут выполнять базовые задачи, такие как запуск приложений и использование принтеров. Они не могут создавать разделяемые ресурсы или принтеры (но могут подсоединяться к сетевым принтерам для их локальной установки). Любая пользовательская учетная запись, созданная в домене, является членом этой группы.
TelnetClients (Клиенты Telnet).Члены этой группы могут использовать службу Telnet Server на данном компьютере (если она запущена). По умолчанию служба Telnet Server отключена.

Добавление членов в локальные группы

Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.

Щелкните правой кнопкой на My Computer и выберите пункт Manage, чтобы открыть локальную оснастку Computer Management (Управление компьютером).
Раскройте в дереве консоли объект Local Users and Groups.
Выберите объект Groups, чтобы представить локальные группы в правой панели.
Дважды щелкните на записи группы, в которую вы хотите добавить членов, после чего появится диалоговое окно Properties этой группы.

Щелкните на кнопке Object Types (Типы объектов), чтобы выбрать один или несколько типов членов для добавления в группу. Имеются следующие варианты выбора: Computer, User и Group.
Щелкните на кнопке Locations (Место), чтобы выбрать локальный компьютер или домен, как место, из которого нужно выбрать новых членов.
В поле Enter the object name(s) введите имена объектов, разделенные точкой с запятой, или щелкните на кнопке Advanced (Дополнительно), чтобы инициировать поиск.

При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).

По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).

Создание локальных групп

Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.

Рис. 11.2. В списке членов выводится местоположение (локальное или в домене) и FQDN-имя каждого члена

Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.

Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management

Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Создание пользовательской учетной записи

Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

Рис. 10.6. Создание новой локальной учетной записи

Рис. 10.7. Окно свойств локальной учетной записи пользователя

Управление локальными группами

Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

Рис. 10.8. Создание локальной группы

2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).

Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.

Изменение и удаление учетных записей

Управление разрешениями в состоящих из множества пользователей и ресурсов распределенных вычислительных средах (таких как домены Windows Server 2003) - процесс утомительный и требующий значительного времени. Чтобы облегчить задачу администраторов, разработчики Windows ввели такие объекты как группы. Группы можно использовать для того, чтобы объединять пользователей или компьютеры, обладающие сходными характеристиками. Это позволяет упростить процедуру назначения разрешений на использование ресурсов Windows, например файлов и принтеров.

Но перед тем как рассказать о "золотых правилах" применения групп при назначении разрешений на использование ресурсов, я познакомлю вас с тем, какие бывают типы и диапазоны групп. Речь пойдет только о тех группах, которые можно определять и которыми можно управлять с помощью службы Active Directory (AD) в среде доменов Windows 2003 или Windows 2000.

О том, как изменялись характеристики групп, рассказано во врезке "Эволюция групп в Windows". Я не буду касаться локальных групп, определяемых в базах данных системы безопасности автономных компьютеров, а также на рабочих станциях и автономных серверах домена. Эти локальные группы могут использоваться только на локальных компьютерах для назначения разрешений на обращение к локальным ресурсам. Группы, которые мы будем обсуждать в данной статье, могут быть использованы для назначения разрешений на обращение к ресурсам в масштабе домена, а в отдельных случаях - в масштабе леса доменов.

В средах Windows 2003 и Windows 2000 применяются группы двух типов: группы рассылки (distribution groups) и группы безопасности (security groups). На Экране 1 показано, как выбирается тип группы в процессе создания новой группы в оснастке Active Directory Users and Computers консоли управления Microsoft Management Console (MMC).

Экран 1: Свойства группы в окне оснастки Active Directory Users and Computers

Группы рассылки можно использовать в качестве списков рассылки электронной почты (distribution list, DL) почтовых серверов на базе AD, таких, как Microsoft Exchange Server 2003 и Exchange 2000 Server. Группы рассылки демонстрируют тесную интеграцию между почтовыми серверами Exchange 2000 или более поздних версий и Windows 2000 или системами более поздних версий.

В качестве списков рассылки электронной почты можно использовать и группы безопасности. Но что еще более важно, группы безопасности можно задействовать для выполнения связанных с защитой данных административных задач, таких как назначение разрешений на обращение к ресурсам, потому что идентификатор SID группы безопасности добавляется к маркеру доступа пользователя Windows в ходе процесса аутентификации. SID группы рассылки не добавляется к маркеру доступа пользователя Windows, поэтому группы рассылки нельзя использовать для выполнения административных задач, связанных с защитой данных. Поскольку для назначения разрешений на обращение к ресурсам можно применять только группы безопасности, в дальнейшем я остановлюсь на группах этого типа.

Экран 2: Предупреждение, отображаемое при преобразовании группы безопасности в группу рассылки

Доступность некоторых функций групп AD зависит от уровня функционирования домена. Функциональные уровни доменов - это система управления версиями, реализованная специалистами Microsoft в Windows 2003. Функциональный уровень домена зависит от версий операционных систем, установленных на контроллерах домена. В Таблице 1 показаны различные функциональные уровни доменов Windows 2003 и версии операционных систем, которые они поддерживают в контроллерах доменов. В Таблице 2 приведены функции групп AD, доступные для различных функциональных уровней доменов.

При создании новой группы определяется ее диапазон - аналогично тому, как в ходе той же операции определяется тип группы. В средах Windows 2003 и Windows 2000 предусмотрено три диапазона групп: универсальный, глобальный и локальный диапазон домена. Кроме того, в системах Windows 2003 и Windows 2000 допускается использование двух вариантов диапазона локальной группы: доменный локальный диапазон и системный локальный диапазон. Группы с локальным диапазоном домена можно применять на любой системе домена. Группу с локальным диапазоном системы можно задействовать лишь на той системе, где эта группа определяется и хранится.

Диапазон группы определяет, каким образом можно использовать данную группу в многодоменной среде. В частности, диапазон группы определяет, может ли группа содержать пользователей и группы из другого домена. Кроме того, диапазон группы определяет, допустимо ли с помощью данной группы устанавливать разрешения на обращение к ресурсам другого домена.

В Таблице 3 показано, какие участники безопасности (т.е. пользователи, компьютеры или группы) могут быть членами универсальной группы, глобальной группы и локальной группы домена. Кроме того, здесь мы видим, в каких случаях участники безопасности должны быть расположены в том домене, где группа определяется (такие домены в Таблице 3 обозначены как SD), или их можно размещать в другом домене, входящем в состав того же леса (OD-INT), либо в другом внешнем домене (OD-EXT).

Теперь, когда вы знаете, какие участники безопасности могут быть членами той или иной группы, пора поставить вопрос о том, где можно использовать эти группы для установки разрешений на обращение к ресурсам. В Таблице 4 показано, какие группы обеспечивают возможность установки разрешений на обращение к ресурсам только своего домена, где соответствующая группа была определена, а какие позволяют еще устанавливать разрешения на обращение к ресурсам других доменов. Как видно из Таблицы 4, локальные группы доменов представляют собой единственный тип групп, который не дает возможности устанавливать разрешения на работу с ресурсами других доменов.

Диапазон групп также определяет, какие группы могут быть членами других групп; такие отношения между группами именуются вложением групп. Правила вложения групп определяются механизмом, который система Windows использует для выявления принадлежности группы пользователя к другим группам при регистрации пользователя в домене. В системах Windows 2003 и Windows 2000 применяются следующие правила вложения групп:

Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена.
Универсальная группа может быть членом другой универсальной группы или локальной группы домена, но не может быть членом глобальной группы.
Локальная группа домена может быть членом только другой локальной группы домена.

Если домен относится к однородному уровню функционирования домена, диапазон группы можно изменить на странице свойств этой группы в оснастке Active Directory Users and Computers. Для одновременного изменения диапазона нескольких групп воспользуйтесь реализованной в системе Windows 2003 утилитой командной строки Dsmod с параметром -scope [l/g/u]. При изменении диапазона группы действуют следующие ограничения:

Локальную группу домена можно преобразовать в универсальную группу лишь в том случае, если эта локальная группа домена не содержит других членов локальной группы домена. Локальная группа домена не может быть членом универсальной группы.
Глобальную группу можно преобразовать в универсальную лишь в том случае, если эта глобальная группа не входит в состав другой глобальной группы. Универсальная группа не может быть членом глобальной группы.
В многодоменной среде преобразование универсальной группы в глобальную допускается лишь тогда, когда все члены универсальной группы определены в домене этой универсальной группы. Глобальная группа может содержать лишь объекты, определенные в ее домене.

Одна из главных проблем, с которой приходится сталкиваться администраторам Windows, состоит в том, что необходимо обеспечить максимальную эффективность управления доступом к ресурсам. Одно из "золотых правил" сводится к следующему: при назначении разрешений на обращение к ресурсам нужно оперировать не отдельными учетными записями, а целыми группами. Группы могут создавать уровень абстракции в модели авторизации, в результате чего снимается зависимость назначения разрешений от изменений на уровне учетных записей. Это правило применимо как к доменам Windows, так и к автономным системам.

Так, во многих организациях пользователи регулярно меняют одну организационную роль на другую. Как правило, каждая роль предполагает наличие конкретных разрешений на обращение к тем или иным ресурсам Windows. Служба AD предусматривает возможность создания групп для организационных ролей (скажем, операторы центров обработки вызовов, разработчики) и назначения разрешений на работу с ресурсами для этих групп. Если роль пользователя меняется, администратору достаточно включить учетную запись этого пользователя в состав соответствующей группы. Такой подход гораздо эффективнее, нежели простая переустановка разрешений учетной записи для того, чтобы обеспечить пользователю доступ к ресурсам, необходимым для выполнения новой роли.

Вот еще несколько "золотых правил", которым необходимо следовать при управлении доступом групп к ресурсам:

Применяйте глобальные группы для объединения пользователей, используйте локальные группы доменов для назначения разрешений на доступ к ресурсам и затем объединяйте глобальные группы в локальные группы доменов для применения параметров разрешений. Хотя это правило из арсенала Windows NT 4.0, предназначенное для компенсации отсутствия в данной операционной системе механизма делегирования и для преодоления имеющихся ограничений на размер баз данных, оно все еще применяется в многодоменных лесах Windows 2003 и Windows 2000. В сетях с однодоменными лесами Windows 2003 и Windows 2000 вложенные структуры групп и выбор диапазонов групп не играют столь важной роли. В этих конфигурациях необходимо воздерживаться от назначения разрешений пользователям напрямую и действовать через группы-посредники.

Выбор тех или иных вложенных структур может также зависеть от двух факторов. Первый - кому принадлежат и какую важность имеют защищаемые данные. Когда разглашение данных особенно опасно, ответственный за их защиту администратор должен иметь полный контроль над тем, кому предоставляется доступ. Таким образом, лучшая политика в этом случае - вообще не использовать вложенные структуры. Вместо этого следует задействовать одну группу для управления членством и ту же группу - для предоставления разрешений на обращение к ресурсу. Однако такой подход не является оптимальным, когда многим пользователям требуется доступ к тому или иному ресурсу, и его владелец не хочет или не может контролировать членство каждого пользователя в соответствующей группе. В таких случаях имеет смысл организовать несколько групп и предоставить другим администраторам возможность управлять своими пользователями в соответствующих группах, после чего вложить эти группы в другую группу, через которую и будут предоставляться разрешения на доступ к ресурсу.

Второй фактор, способный повлиять на решение администратора относительно формирования вложенной структуры групп, - это возможность восстановления членства в группах AD после непреднамеренного удаления объектов AD. Труднее всего восстанавливается членство в локальных группах доменов, если члены этих групп размещаются в другом домене.

В качестве общего правила я рекомендую применять в доменных сетях не системные локальные группы, а локальные группы доменов. При использовании системных локальных групп теряются преимущества доменов Windows, а именно, централизованное управление и возможности учета. Системными локальными группами нельзя управлять с помощью службы AD, и они не отображаются в списке групп, членом которых является учетная запись пользователя, в оснастке Active Directory Users and Computers. Кроме того, изменения, вносимые в сведения о членстве локальной системной группы, фиксируются не в журнале регистрации событий контроллера домена, а в журнале событий безопасности локальной машины.

Отметим одно важное исключение из этого правила; речь идет о крупных сетях AD, предполагающих наличие многочисленных локальных групп. В отличие от групп AD, локальные системные группы пользователей не предусматривают возможности расширения членства при регистрации в системе и не влияют на размер учетных данных Kerberos. Иначе говоря, в этой ситуации более целесообразно использовать не локальные группы доменов, а системные локальные группы.

Для предоставления пользователям доступа к ресурсам, распределенным по нескольким доменам, следует использовать универсальные группы. Для этого помещайте глобальные группы в универсальные группы, универсальные группы - в локальные группы доменов и затем используйте локальные группы доменов для установления разрешений на обращение к ресурсам.
Применяйте универсальные группы в тех случаях, когда членство в группе близко к статическому. Когда же членство в группе подвержено частым изменениям, используйте группу-посредника: добавляйте пользователей в глобальную группу, а затем введите эту глобальную группу в состав универсальной группы. Универсальные группы генерируют более значительные объемы сетевого трафика в многодоменных сетях, поскольку сведения о членстве в универсальных группах хранятся в глобальном каталоге, который реплицируется в масштабах леса.

Отметим, что данное правило применимо только к службам AD Windows 2003 и AD Windows 2000, которые не находятся на функциональном уровне леса Windows 2003. В лесу Windows 2003 служба AD поддерживает новую функцию, именуемую репликацией связанных значений (linked-value replication, LVR). При изменении членства в группе эта функция позволяет реплицировать на контроллеры доменов не полные списки членов группы, а лишь внесенные в них изменения. Кроме того, данное правило не действует в многодоменных сетях, в которые входят серверы Exchange; при работе с ними необходимо использовать универсальные группы рассылки. В этих случаях не следует применять глобальные группы-посредники, поскольку серверы Exchange не позволяют расширять членство в глобальных группах, если они определены в других доменах.

Итак, следуйте изложенным выше "золотым правилам". Кроме того, я рекомендую читателям придерживаться следующего принципа: старайтесь создавать как можно меньше групп и ограничивать число уровней их вложения. Ведь чем меньше будет групп и уровней вложения, тем проще система разрешений и тем легче находить причины неполадок в случае возникновения проблем.

Итак, мы рассмотрели основные характеристики групп AD и выяснили, как с их помощью организовать эффективное управление разрешениями на использование ресурсов. Без этих знаний не обойтись ни одному администратору AD.

ЭВОЛЮЦИЯ ГРУПП В WINDOWS

Пользователи Windows всегда имели возможность работать с группами. Модель, реализованная в Windows NT 4.0 и в более ранних версиях системы, проще модели, применяемой в Windows Server 2003 и Windows 2000. Ниже перечисляются основные различия между двумя моделями групп:

В Windows 2003 и в Windows 2000 предусмотрены два типа групп: группы безопасности и группы рассылки. В Windows NT 4.0 и в более ранних версиях были реализованы лишь группы безопасности.
В системах Windows 2003 и Windows 2000 применяются три диапазона групп: универсальный, глобальный и локальный. Кроме того, в Windows 2003 и в Windows 2000 предусмотрены два варианта диапазона локальных групп: доменный локальный диапазон и системный локальный диапазон. В версии Windows NT 4.0 используются лишь глобальный диапазон и системный локальный диапазон групп. Введение универсального диапазона - прямое следствие использования реализованного в службе Active Directory (AD) глобального каталога, который является функцией контроллера домена, обеспечивающей доступность объектов AD и подмножества их атрибутов в домене для контроллеров других доменов в лесу Windows 2003 или Windows 2000.
В версиях Windows 2003 и Windows 2000 возможно изменение типа и диапазона группы после ее создания. В Windows NT и более ранних версиях изменение типа и диапазона групп невозможно.
В версиях Windows 2003 и Windows 2000 предусматривается вложение групп одного и того же диапазона и типа. В Windows NT 4.0 и более ранних версиях допускается только вложение глобальных групп в системные локальные группы.

Таблица 1: Функциональные уровни доменов

Функциональный уровень домена	Операционные системы, используемые на контроллерах доменов
Windows 2003	Windows 2003
Однородный тип Windows 2000	Windows 2003 и Windows 2000
Windows 2003 interim	Windows 2003 и NT 4.0
Смешанный тип Windows 2000	Windows 2003, Windows 2000 и Windows NT 4.0

Таблица 2: Функциональный уровень домена и функциональные возможности групп

Функциональный уровень домена Windows 2003 или однородный уровень Windows 2000	Смешанный функциональный уровень домена Windows 2000 или функциональный уровень домена Windows 2003 Interim
Типы групп	Группы безопасности и группы рассылки	Группы безопасности и группы рассылки
Диапазоны групп	Универсальный, глобальный и локальный диапазоны домена	Глобальный и локальный диапазоны домена
Совместное использование групп	Все компьютеры домена совместно используют локальные группы домена	Контроллеры домена совместно используют локальные группы домена
Вложение групп	Универсальная группа может быть членом другой универсальной группы или локальной группы домена Локальная группа домена может быть членом другой локальной группы домена Только глобальные группы могут вкладываться в локальные группы доменов	Глобальная группа может быть членом другой глобальной группы, универсальной группы или локальной группы домена Вложение других групп не допускается
Модификация групп	Диапазон и тип групп могут быть изменены	Диапазон и тип групп не могут быть изменены

Таблица 3: Ограничения на членство в группах

Могут содержать пользователей и компьютеры в SD* OD- OD- INT EXT*	Могут содержать доменные локальные группы в SD OD- OD- INT EXT	Могут содержать глобальные группы вSD OD- OD- INT EXT
Универсальных группах	Да Да Нет	Нет Нет Нет	Да Да Нет
Глобальных группах	Да Нет Нет	Нет Нет Нет	Да**** Нет Нет
Доменных локальных группах	Да Да Да	Да**** Нет Нет	Да Да Да

*того же домена
** других доменов в том же лесу
***других внешних доменов или доменов в других лесах
****только на функциональном уровне доменов Windows 2003 или доменов Windows 2000 однородного типа

Читайте также: