Windows server 2003 настройка прав пользователей

Обновлено: 06.07.2024

· Сделайте пользователей членами созданных рабочих групп.

1.1 Создание учетной записи в Windows 7:

Пуск/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

1.2 Создание учетной записи в Windows Server 2003:

Пуск/ Администрирование/ Управление компьютером/ Локальные пользователи и группы/ Пользователи/ контекстное меню /выбрать «Новый пользователь»

Создание контроллера домена

Контроллер домена — специальный сервер, который хранит соответствующую данному домену часть базы данных Active Directory.

Проведем установку первого контроллера первого домена первого леса в структуре AD.

Установка начинается с запуска из командной строки мастера установки Active Directory — dcpromo или по команде Пуск/ Управление данным сервером

На экране появляется стартовая страница мастера (рисунок 2.1)

Далее идет предупреждение о том, что операционные системы Windows 95, Windows NT 4.0 SP3 и более ранние не смогут функционировать в доменах Windows 2003 (рисунок 2.2).

Рисунок 2.1 – Стартовая страница мастера установки службы каталогов

Рисунок 2.2 – Предупреждение о несовместимости ОС

Затем выбираем вариант установки контроллера домена в новом домене (рисунок 2.3) и вариант создания нового домена в новом лесу (рисунок 2.4)

Рисунок 2.3 – Выбор роли сервера

Рисунок 2.4 – Выбор типа домена

Следующий шаг — выбор имени домена (для Active Directory это будет корневой домен). Выберем имя Stud.by (рисунок 2.5)

Рисунок 2.5 – Выбор имени домена

Зададим NetBIOS-имя домена (по умолчанию, будет предложена левая часть полного имени домена, выбранного на предыдущем шаге). В нашем примере — STUD (рисунок 2.6)

Рисунок 2.6 – Выбор NetBIOS-имени домена

Далее мастер предложит выбрать место на жестких дисках для размещения базы данных Active Directory, журнала транзакций этой БД (рисунок 2.7) и папки системного тома SYSVOL (рисунок 2.8). Системный том обязательно должен быть размещен в разделе с файловой системой NTFS.

Рисунок 2.7 – Выбор места для хранения базы данных AD

Рисунок 2.8 – Выбор места хранения папки системного тома

После этого мастер установки на основе параметров сетевой конфигурации сервера ищет в сети DNS-сервер, на котором имеется зона с указанным именем домена, причем в данной зоне должны быть разрешены динамические обновления. Если такой сервер DNS в сети не найден, то мастер предложит установить службу DNS на данном сервере и создать соответствующую зону (рисунок 2.9).

Рисунок 2.9 – Диагностика регистрации DNS

Далее предлагается выбрать уровень разрешений создаваемого домена (рисунок 2.10). Если мы выберем наиболее высокий уровень, то в таком домене не смогут существовать компьютеры с операционными системами, более ранними, чем Windows 2000.

Рисунок 2.10 – Выбор уровня разрешений для создаваемого домена

Затем задаем пароль администратора при запуске системы в режиме восстановления служб каталогов (рисунок 2.11). Данный режим используется для восстановления БД Active Directory из резервной копии.

Рисунок 2.11 – Ввод пароля администратора для режима восстановления

Рисунок 2.12 – Сводка информации о создаваемом домене

После этого начинается работа по созданию базы данных AD и наполнению ее нужными записями (рисунок 2.13)

Рисунок 2.13 – Настройка AD

Последний шаг — нажать кнопку "Готово" и перезагрузить сервер (рисунок 2.14).

Рисунок 2.14 – Завершение создания контроллера домена

При перезагрузке понадобится нажать комбинацию клавиш Ctrl+Alt+Del. Так как работа проводится в виртуальной среде, то следует выбрать команду Машина/ Послать Ctrl+Alt+Del.

Локальные учетные записи

Каждый компьютер с операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой данных SAM. Эти БД обсуждались при описании модели безопасности "Рабочая группа". Локальные пользователи и особенно группы используются при назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Рисунок 4.1 – Создание учетной записи пользователя

5. Вводим пароль пользователя (два раза, для подтверждения).

6. Укажем начальные требования к паролю (рисунок 4.2):

· Требовать смену пароля при следующем входе в систему (полезно в случае, когда администратор назначает пользователю начальный пароль, а затем пользователь сам выбирает пароль, известный только ему);

· Запретить смену пароля пользователем (полезно и даже необходимо для учетных записей различных системных служб);

· Срок действия пароля не ограничен (тоже используется для паролей учетных записей служб, чтобы политики домена не повлияли на функционирование этих служб, данный параметр имеет более высокий приоритет по сравнению с политиками безопасности);

· Отключить учетную запись.

Нажмем кнопку Далее

Рисунок 4.2 – Начальные требования к паролю

7. Получаем итоговую сводку для создаваемого объекта и нажимаем кнопку "Готово".

ÿ Создайте новую глобальную учетную запись.

ÿ Введите атрибуты для созданной учетной записи (номер телефона, адрес электронной почты и т.д.

Управление группами

Учетные записи групп, как и учетные записи пользователей, могут быть созданы либо в локальной базе SAM компьютера (сервера или рабочей станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена домена или рабочей станции могут включать в себя и локальные учетные записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также доменные локальные группы "своего" домена и глобальные и универсальные группы всего леса.

Рассмотрим подробнее, какие группы могут создаваться в Active Directory.

В Active Directory группы различаются по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

· Группы безопасности — каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности (Security Identifier, или SID), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.

· Группы распространения — группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп:

· Локальные в домене могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена;

· Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;

· Универсальные могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для использования. В основном режиме или режиме Windows 2003 можно создавать и использовать универсальные группы. Кроме того, в основном режиме и режиме Windows 2003 глобальные группы могут включаться в другие глобальные группы, а доменные локальные группы могут включаться в другие доменные локальные.

Специфика универсальных групп заключается в том, что эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему обязательно должен быть доступен контроллер домена, являющийся сервером глобального каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому любое изменение в составе универсальной группы требует больше времени для репликации, чем при изменении состава групп с другими областями действия.

Создание резервной копии АD

Создадим резервную копию AD. Запустим на существующем контроллере домена утилиту ntbackup, выберем архивацию файлов и параметров, выберем для архивации папку, например «Мои документы» укажем путь для создания файла с резервной копией и нажмем кнопку "Архивировать" (рисунок 5.1).

Рисунок 5.1 – Программа архивации

На следующем шаге — нажать кнопку "Дополнительно" (рисунок 5.2).

Рисунок 5.2 – Задание параметров архивации

В открывшейся панели — убрать галочку у поля "Автоматически архивировать защищенные системные файлы вместе с состоянием системы" (рисунок 5.3).

Рисунок 5.3 – Дополнительные параметры архивации

После создания резервной копии AD файл с резервной копией желательно скопировать на жесткий диск того сервера, который будет преобразовываться в контроллер домена. Затем надо разархивировать резервную копию утилитой ntbackup. При этом обязательно надо указать, что восстанавливать данные надо в альтернативное размещение и указать папку для размещения восстановленных данных (рисунок 5.4)

Рисунок 5.4 – Восстановление архива

ÿ Создайте архив папки «Мои документы» и затем выполните восстановление из архива.

Рисунок 6.1 – Включение сервера в члены домена

После перезагрузки входим в систему с учетной записью администратора домена и запускаем мастер установки Active Directory — команда dcpromo. Выбираем вариант "Добавочный контроллер в существующем домене" (рисунок 6.2)

Рисунок 6.2 – Создание добавочного контроллера домена

Указываем учетные данные администратора домена (рисунок 6.3)

Рисунок 6.3 – Ввод учетных данных администратора

Рисунок 6.4 – Настройка AD

По окончании процесса — снова нажать кнопку "Готово" и перезагрузить сервер.

При добавлении дополнительного контроллера в домене существовавшая на сервере локальная база SAM с сервера удаляется.

Содержание:

1. Создание учетных записей и рабочих групп в среде ОС Windows 7 и СОС Windows Server 2003. 3

2. Создание контроллера домена. 3

3. Проверка созданных ранее учетных записей. 11

4. Создание учетных записей и рабочих групп в с использованием службы каталогов Active Directory в среде Windows Server 2003. 11

5. Создание резервной копии АD. 24

6. Установка дополнительного контроллера в уже созданном домене.. 26

Управление пользователями и рабочими группами в Windows 7 и Windows Server 2003.

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management

Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user <имяПользователя> /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Создание пользовательской учетной записи

Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

Рис. 10.6. Создание новой локальной учетной записи

Рис. 10.7. Окно свойств локальной учетной записи пользователя

Управление локальными группами

Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

Рис. 10.8. Создание локальной группы

2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).

Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.

Изменение и удаление учетных записей

В этой статье описывается предоставление пользователям прав на управление службами.

Применяется к: Windows Server 2003
Исходный номер КБ: 325349

Сводка

В этой статье описывается, как предоставить пользователям полномочия по управлению системной службой в Windows Server 2003.

По умолчанию только члены группы администраторов могут запускать, останавливать, останавливать, возобновлять или перезапускать службу. В этой статье описываются методы, которые можно использовать для предоставления пользователям соответствующих прав на управление службами.

Метод 1. Использование групповой политики

Групповые политики можно использовать для изменения разрешений на системных службах. Дополнительные сведения нажмите на следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
324802: Настройка групповых политик для настройки безопасности системных служб в Windows Server 2003

Метод 2. Использование шаблонов безопасности

Чтобы использовать шаблоны безопасности для изменения разрешений на системных службах, создайте шаблон безопасности следующим образом:

В меню File нажмите кнопку Добавить или Удалить привязку.

В дереве консоли щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Открыть базу данных.

Укажите имя и расположение базы данных, а затем нажмите кнопку Открыть.

В открываемом диалоговом окне Шаблон импорта щелкните шаблон безопасности, который необходимо импортировать, а затем нажмите кнопку Открыть.

В дереве консоли щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Анализ компьютера сейчас.

В диалоговом окне Выполнить анализ, который отображается, примите путь по умолчанию для файла журнала, отображаемого в поле путь файла журнала ошибок, или укажите нужное расположение, а затем нажмите кнопку ОК.

После завершения анализа настройте разрешения службы следующим образом:

В дереве консоли нажмите кнопку System Services.
В правой области дважды щелкните службу, разрешения которой необходимо изменить.
Щелкните, чтобы выбрать эту политику в поле проверки базы данных, а затем нажмите кнопку Изменить безопасность.
Чтобы настроить разрешения для нового пользователя или группы, нажмите кнопку Добавить. В диалоговом окне Выбор пользователей, компьютеров или групп введите имя пользователя или группы, для которого необходимо установить разрешения, а затем нажмите кнопку ОК.
В списке Разрешения для пользователя или группы настройте разрешения, которые нужны пользователю или группе. При добавлении нового пользователя или группы по умолчанию выбирается поле Разрешить рядом со стартом, остановкой и паузой. Этот параметр позволяет пользователю или группе запускать, останавливать и останавливать службу.
Два раза нажмите кнопку ОК .

Чтобы применить новые параметры безопасности на локальном компьютере, щелкните правой кнопкой мыши Конфигурация безопасности и анализ, а затем нажмите кнопку Настройка компьютера сейчас.

Вы также можете использовать средство командной строки Secedit для настройки и анализа системной безопасности. Дополнительные сведения о Secedit нажмите кнопку Начните, а затем нажмите кнопку Выполнить . Введите cmd в поле Открыть, а затем нажмите кнопку ОК . В командной подсказке введите secedit /? и нажмите кнопку ENTER. Обратите внимание, что при использовании этого метода для применения параметров все параметры шаблона повторно применяются, и это может переопределять другие ранее настроенные разрешения на файл, реестр или службу.

Метод 3. Использование Subinacl.exe

Последний метод назначения прав на управление службами включает использование Subinacl.exe из набора ресурсов Windows 2000. Используется следующий синтаксис:

SUBINACL /SERVICE \ \MachineName\ServiceName/GRANT=[DomainName ] UserName[=Access]

Пользователь, который выполняет эту команду, должен иметь права администратора для успешного выполнения.

Если машинное имя опущено, предполагается локализованная машина.

Если доменное имя не пропущено, локальный компьютер будет искать учетную запись.

Хотя в примере синтаксиса указывается имя пользователя, это будет работать и для групп пользователей.

Значения, которые может принимать Access, являются следующими:

F. Полный контроль
R: Общий чтение
W: Общие записи
X. Общий eXecute
L : Чтение controL
Вопрос: Конфигурация службы запросов
S. Состояние службы запросов
E: Переуметь зависимые службы
C. Конфигурация изменения службы
T: Начните службу
O: Stop Service
P: Pause/Continue Service
I : Служба допроса
U. Команды управления User-Defined служб

Если доступ опущен, предполагается "F (Полный контроль)".

Subinacl поддерживает аналогичные функции по отношению к файлам, папкам и клавишам реестра. Дополнительные сведения см. в Windows 2000 года.

Автоматизация нескольких изменений

В Subinacl нет возможности указать, что задает необходимый доступ ко всем службам на определенном компьютере. Однако в следующем примере сценария показано, как можно расширить метод 3, чтобы автоматизировать задачу:

Сохраните сценарий в качестве файла .vbs, например "Services.vbs", и назовите его следующим образом:

CSRIPT Services.vbs DomainName ComputerName UserName Access

Комментарий или удаление строки "Wscript.Echo . " если обратной связи не требуется.

В этом примере не проводится проверка ошибок; поэтому используйте его осторожно.

Использование групп и организационных единиц (OU) - это логичный и простой способ управления вашим доменом и, в частности, безопасностью ваших сетевых ресурсов. Если вы переходите к Windows Server 2003 из Windows NT, то вам известно определение группы, но при работе с Windows Server 2003 вы увидите существенные отличия в использовании групп.

OU - это совершенно новое понятие для администраторов Windows NT, но OU - это достаточно простое для понимания и использования средство, и вы сможете оценить, насколько удобно использовать организационные единицы для управления вашими доменами.

В этой лекции описывается действие групп и организационных единиц, а также их использование для администрирования и защиты вашего предприятия.

Группы Windows Server 2003

Группа - это набор таких объектов, как пользователи, компьютеры, контакты и даже другие группы. В Windows Server 2003 существует иерархия типов групп, начиная с верхнего уровня, содержащего следующие два типа.

Группы рассылки (Distribution), которые используются только для рассылки электронной почты.
Группы безопасности (Security), которые используются для предоставления полномочий доступа к ресурсам (и могут также использоваться как списки рассылки электронной почты).

Группы безопасности для доменов можно классифицировать по типу и области действия, например, domain local (локальные в домене), global (глобальные) и universal (универсальные), и в данной лекции будут описаны эти отличия.

Локальные группы

При настройке компьютера Windows Server 2003 как рядового сервера (а не контроллера домена) автоматически создается целый ряд локальных групп. Если вы назначаете определенные роли для этого компьютера, то создаются дополнительные группы , чтобы пользователи могли выполнять задачи, связанные с этими ролями. Например, если вы делаете компьютер сервером DHCP, то создаются локальные группы для администрирования и использования служб DHCP.

Группы рассылки

Кроме этой вставки, я не буду тратить время на описание групп рассылки в этой лекции (и в этом курсе). Группа рассылки используется исключительно для рассылки электронной почты, и только такими приложениями электронной почты, как Microsoft Exchange Server. Группа рассылки не имеет никакого отношения к безопасности, и на нее не может быть никаких ссылок в дискреционных списках управления доступом ( DACL ), когда вы задаете полномочия по ресурсам.

Вы можете включать членов в используемые по умолчанию группы безопасности. Вы можете также создавать новые локальные группы для данного компьютера, если хотите предоставить определенной группе пользователей определенные права на выполнение задач, которые не охватываются группой по умолчанию.

Помните, что локальные группы используются, чтобы предоставлять их членам права на выполнение действий на локальном компьютере. В большинстве случаев ваш компьютер Windows Server 2003 исполняет определенную роль в домене, и обычно на таком компьютере не задают сложный набор пользователей и групп для работы с данным компьютером.

Помните также, что группы предназначены для того, чтобы ограничивать действия пользователей на сервере, а не предоставлять право на выполнение операций. Большинство локальных групп не содержит членов, но это не означает, что никто не сможет выполнять задачи, разрешаемые членством в этих группах, а просто значит, что нет пользователей, права которых ограничены этой группой. Члены групп с более широкими правами (например, Administrators) уже имеют право на выполнение таких задач.

Локальные группы по умолчанию

Вы можете видеть группы по умолчанию в папке Groups в оснастке MMC Local Users and Groups (Локальные пользователи и группы), см. рис. 11.1. Чтобы открыть эту оснастку, щелкните правой кнопкой на My Computer (Мой компьютер) и выберите в контекстном меню пункт Manage (Управление). Затем раскройте в дереве консоли объект Local Users and Groups и выберите объект Groups.

Рис. 11.1. Выберите объект Groups, чтобы увидеть локальные группы на вашем компьютере Windows Server 2003

Следующие локальные группы имеются на рядовом сервере, работающем под управлением Windows Server 2003.

Administrators (Администраторы). Члены этой группы имеют неограниченные права управления данным компьютером локально или удаленным образом. По умолчанию локальная учетная запись Administrator и любой член группы Domain Admins (Администраторы домена) являются членами этой группы.
Backup Operators (Операторы резервного копирования).Члены этой группы могут выполнять вход на данный компьютер локально или удаленным образом, выполнять резервное копирование и восстановление файлов и папок на этом компьютере, а также завершать работу этого компьютера. Отметим, что члены этой группы могут выполнять резервное копирование и восстановление файлов и папок, для которых они не имеют обычных полномочий доступа, но члены группы backup/restore имеют приоритет по сравнению с этими правами. По умолчанию эта группа не содержит членов.
Guests (Гости).Только учетная запись Guest является членом этой группы, но учетная запись Guest отключена по умолчанию в Windows Server 2003. Члены этой группы не имеют никаких прав или полномочий по умолчанию. Если активизировать учетную запись Guest и какой-либо гость выполняет вход на данный компьютер, то при входе создается временный профиль, который удаляется при выходе.
HelpServicesGroup (Группа для служб поддержки).Эта группа используется, чтобы задавать полномочия для приложений поддержки, и единственным членом является учетная запись, связанная с установленными приложениями поддержки, такими как Remote Assistance. Не включайте пользователей в эту группу.
Network Configuration Operators (Операторы сетевой конфигурации).Члены группы могут вносить изменения в настройки сети (TCP/IP), а также обновлять и освобождать адреса TCP/IP, если данный компьютер является сервером DHCP. По умолчанию эта группа не содержит членов.
Performance Monitor Users (Пользователи монитора производительности).Члены этой группы могут отслеживать (просматривать) счетчики производительности на этом сервере локально или удаленным образом. По умолчанию эта группа не содержит членов.
Performance Log Users (Пользователи журнала производительности).Члены этой группы могут управлять счетчиками, журналами и оповещениями производительности на данном сервере локально или удаленным образом. По умолчанию единственным членом этой группы является NT Authority\Network Service (интерактивный системный пользователь , но не реальный пользователь).
Power Users (Привилегированные пользователи).Члены этой группы могут создавать и модифицировать пользовательские учетные записи. Они могут также создавать новые локальные группы и включать членов в эти группы. Они могут добавлять и удалять пользователей в группах Power Users , Users и Guests. По умолчанию эта группа не содержит членов.
Print Operators (Операторы печати).Члены этой группы могут управлять принтерами и очередями печати. По умолчанию эта группа не содержит членов.
Remote Desktop Users (Пользователи удаленного рабочего стола).Членам этой группы разрешается выполнять вход на данный сервер удаленным образом. О возможностях удаленного рабочего стола и добавлении пользователей в эту группу см. в лекции 3 курса "Администрирование Microsoft Windows Server 2003".

Replicator (Репликатор).Группа Replicator поддерживает функции репликации. Единственным членом этой группы является доменная пользовательская учетная запись, которая требуется для служб Replicator на контроллере домена. Не включайте в эту группу учетные записи реальных пользователей.
Users (Пользователи).Члены этой группы могут выполнять базовые задачи, такие как запуск приложений и использование принтеров. Они не могут создавать разделяемые ресурсы или принтеры (но могут подсоединяться к сетевым принтерам для их локальной установки). Любая пользовательская учетная запись, созданная в домене, является членом этой группы.
TelnetClients (Клиенты Telnet).Члены этой группы могут использовать службу Telnet Server на данном компьютере (если она запущена). По умолчанию служба Telnet Server отключена.

Добавление членов в локальные группы

Вы можете добавлять объекты в любую группу. Этими объектами могут быть локальные пользователи, доменные пользователи или даже другие локальные или доменные группы. Для добавления членов в группу выполните следующие шаги.

Щелкните правой кнопкой на My Computer и выберите пункт Manage, чтобы открыть локальную оснастку Computer Management (Управление компьютером).
Раскройте в дереве консоли объект Local Users and Groups.
Выберите объект Groups, чтобы представить локальные группы в правой панели.
Дважды щелкните на записи группы, в которую вы хотите добавить членов, после чего появится диалоговое окно Properties этой группы.

Щелкните на кнопке Object Types (Типы объектов), чтобы выбрать один или несколько типов членов для добавления в группу. Имеются следующие варианты выбора: Computer, User и Group.
Щелкните на кнопке Locations (Место), чтобы выбрать локальный компьютер или домен, как место, из которого нужно выбрать новых членов.
В поле Enter the object name(s) введите имена объектов, разделенные точкой с запятой, или щелкните на кнопке Advanced (Дополнительно), чтобы инициировать поиск.

При непосредственном вводе имен щелкните на кнопке Check Names (Проверка имен), чтобы убедиться в правильности их ввода. Вы можете вводить имена входа пользователей, и система преобразует их в полностью уточненные доменные имена ( FQDN ).

По окончании добавления членов щелкните на кнопке OK. Появится список членов группы в ее собственном диалоговом окне Properties (см. рис. 11.2).

Создание локальных групп

Если вы используете свой компьютер Windows Server 2003 для какой-то специальной функции или приложения, то вам может потребоваться активизация специальных полномочий для выполнения соответствующих задач. Обычно имеет смысл создать группу для этих задач и включить в нее соответствующих членов. Для большинства ролей, которые вы можете назначить компьютеру, система автоматически создает группу для администрирования соответствующей роли. Например, если вы делаете компьютер сервером DHCP, то на компьютере добавляются соответствующие группы.

Рис. 11.2. В списке членов выводится местоположение (локальное или в домене) и FQDN-имя каждого члена

Чтобы создать новую группу, откройте оснастку Computer Management, используя шаги, описанные в предыдущем разделе. Щелкните правой кнопкой на контейнере Groups и выберите в контекстном меню пункт New Group. В диалоговом окне New Group введите имя и описание и затем щелкните на кнопке Add, чтобы включить членов в эту группу.

Щелкните на кнопке Create (Создать), чтобы добавить эту группу на данном компьютере. Появится новое пустое диалоговое окно New Group, чтобы вы могли создать еще одну группу. Закончив создание локальных групп, щелкните на кнопке Close (Закрыть).

Глава 7 описывает встроенные возможности и права пользователей. Хотя Вы не можете изменить встроенные возможности для учетных записей, Вы можете управлять правами учетных записей пользователей. Обычно управление правами учетных записей пользователей выполняется путем добавления пользователя в соответствующую группу или группы. Вы также можете применять права пользователей напрямую путем управления правами пользователя для его учетной записи.

Примечание. Любой пользователь, являющийся членом группы, которой назначено определенное право, также имеет это право. Например, если у группы Операторы архива (Backup Operators) имеется определенное право, и TJSMITH является членом этой группы, то у него также есть это право. Помните, что изменения, которые Вы производите с правами пользователей, могут иметь далеко идущие последствия. Поэтому только опытные администраторы должны вносить изменения в политику прав пользователей.

Права пользователей назначаются через узел Локальные политики (Local Policies) Групповой политики (Group Policies). Исходя из названия ясно, что локальные политики принадлежат локальному компьютеру. Вы можете также настраивать эти локальные политики, как часть существующей Групповой политики для сайта, домена или подразделения. Когда Вы это делаете, локальные политики применяются к учетным записям компьютеров в сайте, домене или подразделения.

Для управления политиками прав пользователей, выполните следующие шаги:

Глобальная настройка прав пользователей

Вы можете настроить индивидуальные права пользователей для сайта, домена или подразделения, выполнив следующие шаги:

Примечание. Все политики могут быть либо определены, либо не определены. Это означает, что они либо настроены для использования, либо нет. Политика, которая не определена в данном контейнере, может быть унаследована от другого контейнера.

• Искать в. Чтобы получить доступ к учетным записям из других доменов, раскройте список Искать в. Вы увидите список, в котором перечислены: текущий домен, доверенные домены и другие доступные Вам ресурсы.

Примечание. Только домены, с которыми установлены доверительные отношения, доступны в списке Искать в (Look In). Перечисление всех доменов из дерева доменов или леса возможно вследствие наличия транзитивных доверительных отношений в Windows 2000. Доверительные отношения не устанавливаются явно. Вернее, доверительные отношения устанавливаются автоматически, основываясь на структуре леса и наборе разрешений в нем.

• Имя. В этой графе перечислены доступные учетные записи выбранного домена или ресурса.

• Добавить. Для добавления пользователей в список выбора используйте Добавить (Add).

• Проверить имена. Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, если вводите имена вручную и хотите убедиться, что они доступны.

Локальная настройка прав пользователей

Чтобы назначить права пользователей на локальном компьютере, выполните следующие шаги:

Установите или снимите соответствующие флажки под графой Параметры локальной политики (Local Policy Setting), чтобы присвоить или отменить право пользователя.

Добавление учетной записи пользователя

Необходимо создать учетную запись для каждого пользователя, которому нужно использовать сетевые ресурсы. Доменные учетные записи пользователей создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) . Локальные учетные записи создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создание доменных учетных записей пользователей

Существует два способа создания новых учетных записей пользователей в домене:

Запустив один из мастеров, Новый объект – Пользователь (New Object - User) или Копирование объекта – Пользователь (Copy Object - User), Вы можете создать учетную запись, выполнив следующие шаги:

• Пароль (Password). Пароль для учетной записи. Этот пароль должен соответствовать правилам вашей политики паролей.

• Подтверждение (Confirm Password). Поле предназначено для того, чтобы удостовериться в правильности ввода пароля учетной записи. Повторно введите пароль, чтобы подтвердить его.

• Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе.

• Запретить смену пароля пользователем (User Cannot Change Password). Если флажок установлен, пользователь не сможет сменить пароль.

• Срок действия пароля не ограничен (Password Never Expires). Если флажок установлен, срок действия пароля для этой учетной записи не ограничен. Этот параметр аннулирует политику учетных записей домена. Обычно не рекомендуется задавать пароли без срока действия, поскольку это противоречит самой идее использования паролей.

• Отключить учетную запись (Account Is Disabled). Если флажок установлен, учетная запись отключена и не может быть использована. Используйте этот флажок для временной блокировки учетной записи.

Когда учетная запись создана, можно установить для нее дополнительные свойства, которые описаны далее в этой главе.

Создание локальных учетных записей пользователей

Локальные учетные записи пользователей создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Для доступа к этой утилите и создания учетной записи Вам необходимо выполнить следующие шаги:

• Пользователь (Username). Имя входа для учетной записи пользователя. Это имя должно соответствовать правилам вашей политики локальных имен.

• Полное имя (Full Name). Полное имя пользователя, такое как William R. Stanek

• Описание (Description). Описание пользователя. Обычно в это поле записывают название должности пользователя, такое как «Вебмастер», или название должности и отдел.

Потребовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon). Если этот флажок установлен, пользователю придется сменить пароль при входе.

Создание учетной записи группы

Группы используются для управления правами нескольких пользователей. Учетные записи глобальных групп (Примечание переводчика. Групп безопасности Active Directory, содержащих учетные записи только из собственного домена) создаются с помощью оснастки Active Directory – Пользователи и компьютеры (Active Directory Users And Computers), учетные записи локальных групп - с помощью оснастки Локальные пользователи и группы (Local Users And Groups).

Создавая учетные записи групп, помните, что группы создаются для схожих типов пользователей. Некоторые типы групп, которые Вам возможно понадобится создать, приведены ниже:

•	Группы для отделов организации. Обычно пользователям, работающим в одном отделе, необходим доступ к одним и тем же ресурсам. Поэтому Вы можете создать группы для отделов, таких как отдел развития, отдел продаж, отдел маркетинга или инженерный отдел.
•	Группы для пользователей особых приложений. Зачастую пользователям необходим доступ к приложению и ресурсам, связанным с этим приложением. Если Вы создаете группы для пользователей определенного приложения, Вы можете быть уверены, что у пользователей есть доступ к необходимым ресурсам и файлам приложения.
•	Группы на основе обязанностей пользователей. Группы также могут быть созданы по принципу разделения обязанностей пользователей. Например, управляющему, наблюдателю и обычному пользователю необходим доступ к различным ресурсам. Создавая группы по этому принципу, Вы можете быть уверены, что права доступа к необходимым ресурсам даны пользователям, которые в них нуждаются.

Создание глобальной группы

Для создания глобальной группы необходимо выполнить следующие шаги:

Создание локальной группы и добавление членов

Локальные группы создаются с помощью оснастки Локальные пользователи и группы (Local Users And Groups). Вы можете открыть её, выполнив следующие шаги:

• Искать в (Look In). Чтобы получить доступ к учетным записям других компьютеров и доменов, щелкните по списку Искать в (Look In). Вы увидите список, в котором перечислены текущий компьютер, доверенные домены и другие ресурсы, к которым Вы можете получить доступ.

• Имя (Name). Эта графа показывает доступные учетные записи выбранного домена или ресурса.

• Добавить (Add). Добавить выбранные имена в список выбора.

• Проверить имена (Check Names). Подтвердить имена пользователей и групп, введенных в окно выбора. Это полезно, когда Вы вводите имена вручную и хотите убедиться, что они доступны.

Управление принадлежностью к глобальной группе

Для настройки членства в группах используйте оснастку Active Directory – Пользователи и компьютеры (Active Directory Users And Computers). Работая с группами, помните о следующих моментах:

•	Все вновь созданные пользователи домена являются членами группы Пользователи домена (Domain Users), она также является их основной группой.
•	Все вновь созданные рабочие станции и рядовые серверы домена являются членами группы Компьютеры домена (Domain Computers), она также является их основной группой.
•	Все вновь созданные контроллеры домена являются членами группы Контроллеры домена (Domain Controllers), которая является их основной группой.

Оснастка Active Directory – Пользователи и компьютеры (Active Directory Users And Computers) предоставляет несколько способов управления членством в группах. Вы можете:

•	Управлять членством отдельных пользователей и компьютеров
•	Управлять членством нескольких пользователей и компьютеров
•	Устанавливать членство в основной группе для отдельных пользователей и компьютеров

Управление членством отдельных пользователей и компьютеров

Вы можете добавлять или удалять членство в группах для любого типа учетной записи, выполняя следующие шаги:

Управление членством нескольких пользователей или компьютеров

Диалоговое окно группы Свойства (Properties), также позволяет управлять членством в группах. Для добавления или удаления учетных записей выполните следующие шаги:

Установка членства в основной группе для пользователей и компьютеров

Основные группы используются пользователями, которые работают с Windows 2000 через службы, совместимые с Макинтош. Когда пользователь Макинтош создает файлы или папки на компьютере, работающем под управлением Windows 2000, основная группа присваивается этим файлам и папкам.

Все учетные записи пользователей и компьютеров должны иметь основную группу, независимо от того работают они с Windows 2000 посредством Макинтош или нет. Эта группа должна быть глобальной или универсальной, такой как глобальная группа Пользователи домена (Domain Users) или глобальная группа Компьютеры домена (Domain Computers).

Чтобы установить основную группу, выполните следующие шаги:

Все пользователи должны быть членами хотя бы одной основной группы. Вы не можете аннулировать членство пользователя в основной группе, пока не присвоите пользователю другую основную группу. Чтобы сделать это, выполните следующие шаги:

1.	Выберите другую глобальную или универсальную группу в списке Участник (Member Of), затем нажмите кнопку Установить основную группу (Set Primary Group)
2.	В списке Участник (Member Of) выделите бывшую основную группу и нажмите кнопку Удалить (Remove). Членство в группе аннулировано.

Читайте также: