Администрирование локальных учетных записей пользователей

Тип работы:
Контрольная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Лабораторная работа № 1

Администрирование локальных учетных записей пользователей

Цель работы: изучение технологии создания локальных учетных записей пользователей, групп и настройка их свойств с помощью утилиты Локальные пользователи и группы.

Теоретические сведения

локальная учетная запись пользователь утилита

Одной из основных задач управления сетью является создание учетных записей пользователей и групп. Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows 2000, поскольку, назначая им права доступа, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера. Обычно право доступа ассоциируется с объектом -- файлом или папкой. Оно определяет возможность данного пользователя получить доступ к объекту.

Учетной записью называется совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем.

Учетные записи пользователей и компьютеров представляют физический объект, такой как компьютер или пользователь. Учетные записи пользователей и компьютеров (а также группы) называются участниками безопасности. Участники безопасности являются объектами каталога, которым автоматически присваиваются коды безопасности. Объекты с кодами безопасности могут входить в сеть и получать доступ к ресурсам домена. Учетная запись пользователя или компьютера используется для следующих целей.

· Проверка подлинности пользователя или компьютера.

· Разрешение или запрещение доступа к ресурсам домена.

· Администрирование других участников безопасности.

· Аудит действий, выполняемых с использованием учетной записи пользователя или компьютера.

Любой пользователь характеризуется наличием определенной учетной записи, которая позволяет пользователю производить вход на компьютеры и домены, если она может быть проверена и допущена к ресурсам домена. Каждый входящий в сеть пользователь должен иметь собственную учетную запись и пароль. Учетные записи пользователей также могут использоваться для некоторых приложений как учетные записи службы.

Каждый компьютер, работающий под управлением Windows 2000 или Windows NT, который присоединяется к домену, имеет собственную уникальную учетную запись. Так же, как и учетные записи пользователей, учетные записи компьютеров предоставляют возможность проверки подлинности и аудита доступа компьютеров к сети, а также доступ к ресурсам домена.

Windows 2000 Server поддерживает локальных пользователей и группы, а также пользователей и группы Active Directory, поэтому работать с пользователями можно локально и посредством Active Directory.

В Windows 2000 с пользователями и группами на локальном уровне можно работать на рядовых серверах Windows 2000 и на компьютерах Windows 2000 Professional. На контроллерах доменов Windows 2000 для этого служит Active Directory.

В Windows 2000 поддерживаются пользователи двух видов: локальные и пользователи Active Directory (доменов). Компьютер, на котором функционирует Windows 2000 Professional или Windows 2000 Server (установленный как рядовой сервер), имеет возможность хранить свою собственную базу данных учетных записей пользователей. Пользователи, сведения о которых хранятся на локальном компьютере, называются локальными пользователями.

Active Directory — это служба каталога, доступная на платформе Windows 2000 Server и хранящая информацию в центральной базе данных, которая дает пользователям возможность иметь одну учетную запись в сети. Пользователи и группы, сведения о которых содержатся в центральной базе данных Active Directory, называются пользователями Active Directory или пользователями доменов.

Active Directory (активный каталог) разработан как масштабируемая сетевая структура. Он логически состоит из контейнеров, доменов и подразделений.

Контейнер — это объект Active Directory, в котором хранятся другие объекты Active Directory. Примерами объектов — контейнеров являются домены и подразделения.

Домен — основная логическая единица организации Active Directory. Объекты домена используют общую систему безопасности и информацию об учетных записях. У каждого домена должен быть как минимум один контроллер. Контроллер домена — это компьютер Windows 2000 Server, содержащий всю базу данных домена (компьютер, на котором установлен Active Directory).

Локальные учетные записи пользователя должны присутствовать на каждом компьютере сети, к которому пользователю необходимо иметь доступ. Именно поэтому в больших сетях чаще применяются учетные записи пользователей доменов.

На компьютерах с Windows 2000 Professional и на рядовых серверах Windows 2000 Server локальные пользователи создаются и обслуживаются с помощью утилиты Локальные пользователи и группы, а на контроллерах доменов Windows 2000 пользователи обслуживаются посредством утилиты Пользователи и компьютеры Active Directory.

При установке Windows 2000 Server несколько встроенных учетных записей пользователей создаются по умолчанию. В таблице 1 описаны эти учетные записи и указана среда (локально или домен) для каждой из них.

Таблица 1. Встроенные учетные записи пользователей

Встроенный пользователь

Описание

Среда

Администратор

Это специальная учетная запись, обладающая полным контролем над компьютером. Пароль для нее указывается при установке Windows 2000. Эта учетная запись может выполнять все задачи, например, создавать пользователей и группы, управлять файловой системой и настраивать печать.

Локально и домен

Гость

Эта учетная запись позволяет пользователям обращаться к компьютеру, даже если они не имеют уникального пользовательского имени и пароля. Работа такого пользователя всегда связана с определенным риском для безопасности системы, поэтому данная учетная запись по умолчанию запрещена. При разрешении ей, как правило, предоставляется крайне незначительное число привилегий.

Локально и домен

ILS_Anonymous_User

Это специальная учетная запись, используемая службой IIS. ILS поддерживает приложения телефонии, в которых применяются такие средства, как идентификатор вызывающего, видео-конференции, вызов конференции и работа с факсами. Для использования ILS необходимо установить службу IIS.

Домен

IUSR_имя компьютера

Это специальная учетная запись, применяемая в IIS для анонимного обращения (на компьютере, где служба IIS установлена).

Локально и домен

На рядовом сервере Windows 2000 можно использовать только локальные группы, которые размещаются в локальной базе данных рядового сервера Windows 2000.

В Active Directory на контроллере домена Windows 2000 можно создать группы безопасности и группы распространения. Группа безопасности — это логическая группа пользователей, которым необходимо обращаться к определенным ресурсам. Группы безопасности применяются для назначения полномочий на ресурсы. Группа распространения — это логическая группа пользователей с общими характеристиками. Группы распространения применяются приложениями и программами электронной почты.

На контроллерах доменов Windows 2000 тоже разрешается создавать группы, которые могут быть локальными, глобальными и универсальными:

— Локальные группы доменов применяются для назначения полномочий на ресурсы и могут содержать учетные записи пользователей, универсальные группы и глобальные группы из любого домена дерева или леса. В локальной группе домена могут содержаться также другие локальные группы домена из своего локального домена.

— Глобальные группы применяются для организации пользователей со схожими потребностями доступа к сети и могут содержать пользователей и глобальные группы из локального домена.

— Универсальные группы применяются для логической организации пользователей и отображаются в глобальном каталоге (в специальном списке, содержащем сведения о каждом объекте Active Directory). Универсальные группы могут содержать пользователей из любой области дерева или леса доменов, другие универсальные группы и глобальные группы.

При установке Windows 2000 Server несколько встроенных учетных записей групп создаются по умолчанию. В таблице 2 описаны эти учетные записи и указана среда (локально или домен) для каждой из них.

Таблица 2. Встроенные учетные записи групп

Встроенная группа

Описание

Среда

Операторы учетных записей

Члены группы могут создавать пользовательские и групповые учетные записи доменов, но управлять могут только теми учетными записями, которые создали.

Домен

Администраторы

Эта группа обладает всеми правами и привилегиями. Ее члены могут предоставить себе любые полномочия, которыми не обладают по умолчанию, чтобы управлять всеми объектами компьютера (файловой системой, принтерами и средствами управления учетными записями).

Локально и домен

Операторы архива

Члены группы имеют право архивировать и восстанавливать файловую систему, даже если у них нет полномочий на файловую систему. Но для прямого доступа к файловой системе им должны быть предоставлены явные полномочия. По умолчанию членом группы никто не становится.

Локально и домен

Гости

Группа имеет ограниченный доступ к компьютеру и предназначена для того, чтобы к некоторым ресурсам сети могли обращаться люди, делающие это нерегулярно. Обычно администраторы не разрешают гостевой доступ из-за угрозы безопасности системы. По умолчанию членом локальной группы Гости становится учетная запись пользователя Гость.

Локально и домен

Опытные пользователи

Группа имеет меньше прав, чем группа Администраторы, но больше, чем группа Пользователи. Члены группы могут создавать пользователей и группы, но управлять могут только теми пользователями и группами, которые создали сами. Им также разрешается создавать общие ресурсы и принтеры сети.

Локально

Операторы печати

Члены группы могут управлять принтерами доменов.

Домен

Репликатор

Группа предназначена для репликации каталога, что используется серверами доменов. В эту группу следует включать только тех пользователей доменов, которые запускают службу репликации. По умолчанию членом группы никто не становится.

Локально и домен

Операторы серверов

Могут управлять серверами доменов.

Домен

Пользователи

Группа применяется конечными пользователями, которые должны иметь очень ограниченный доступ к ресурсам системы. По умолчанию членами локальной группы Пользователи становятся все пользователи, созданные на компьютере, кроме Гость.

Локально и домен

Издатели сертификатов

Члены группы могут управлять сертификацией предприятий и агентами возобновления.

Глобально

Администраторы домена

Имеют полные административные права на домен.

Глобально

Компьютеры домена

Группа содержит все рабочие станции и серверы домена.

Глобально

Контроллеры домена

Группа содержит все контроллеры домена.

Глобально

Гости домена

Группа имеет ограниченный доступ к домену и предназначена для того, чтобы к некоторым ресурсам сети могли обращаться люди, делающие это не регулярно.

Глобально

Пользователи домена

Группа содержит всех пользователей домена, и ее члены должны иметь ограниченный доступ к системе.

Глобально

Администраторы предприятия

Группа имеет полные административные права на предприятие. Эта группа должна иметь высший уровень полномочий по сравнению со всеми другими группами.

Глобально

Владельцы создателей групповой политики

Группа обладает полномочиями на модификацию групповой политики домена.

Глобально

Администраторы схемы

Группа обладает специальными полномочиями на модификацию схемы Active Directory.

Глобально

На контроллере домена группы размещаются в папках Users (Пользователи) и Builtin (Встроенные).

Работа с локальными учетными записями пользователей

Для работы с локальными учетными записями пользователей в Windows 2000 следует обратиться к утилите Локальные пользователи и группы через утилиту Управление компьютером. Для этого щелкните правой кнопкой мыши на Мой компьютер и выберите Управление во всплывающем меню. Откроется окно Управление компьютером. Раскройте папку Локальные пользователи и группы, чтобы можно было обратиться к папкам Пользователи и Группы.

Создание новых пользователей

Для создания пользователей на компьютере с Windows 2000 Server нужно войти в систему как пользователь с полномочиями на создание новых пользователей и быть членом группы Администраторы или Опытные пользователи.

Единственным обязательным требованием при создании новых пользователей является указание достоверного имени. Достоверное означает, что оно должно соответствовать правилам для имен пользователей, принятым в Windows 2000.

Правила Windows 2000 для имен пользователей таковы:

§ Имя должно содержать от 1 до 20 символов.

§ Оно должно отличаться от всех других имен пользователей и групп, хранящихся на данном компьютере.

§ Имя пользователя не может содержать следующих символов:

* / [ ]:; | =, +? < > «

§ Оно не может состоять только из точек или пробелов.

Для создания нового пользователя откройте утилиту Локальные пользователи и группы, выделите папку Пользователи и выберите Действие Новый пользователь. Откроется диалоговое окно Новый пользователь.

В этом окне заполните поле Имя пользователя. Все другие установки окна необязательны. Текстовые поля и переключатели окна Новый пользователь описаны в таблице 3.

Таблица 3. Параметры диалогового окна Новый пользователь

Параметр

Описание

Пользователь

Определяет имя пользователя для новой учетной записи. Это единственное обязательное поле. В именах регистр символов не учитывается.

Полное имя

Позволяет ввести более подробные сведения о пользователе. Это обычно имя и фамилия пользователя. По умолчанию здесь указывается то же, что и в поле Пользователь.

Описание

Позволяет ввести дополнительную информацию. Это обычно используется для указания звания и/или местонахождения.

Пароль

Назначает начальный пароль для пользователя. Пароли могут иметь длину до 14 символов и учитывают регистр символов.

Подтверждение

Служит для подтверждения введенного пароля.

Требовать смену пароля при следующем входе в систему

Обязывает пользователя изменить пароль при первом вхождении в систему, что делается для повышения безопасности. По умолчанию этот флажок установлен.

Запретить смену пароля пользователем

Это полезно для таких учетных записей, как Гость, и тех, что применяются несколькими пользователями. По умолчанию флажок сброшен.

Срок действия пароля не ограничен

Этот вариант можно выбрать для учетной записи службы, когда изменение пароля излишне. По умолчанию флажок сброшен.

Отключить учетную запись

Показывает, что данную учетную запись нельзя использовать для входа в систему. Этот вариант может быть выбран для учетной записи, не используемой в тот момент. Он обеспечивает защиту неактивных учетных записей. По умолчанию флажок сброшен.

Пользователей можно создавать и утилитой командной строки NET USER. Для получения сведений об этой команде введите NET USER /? в командной строке.

Отключение учетных записей пользователей

Если учетная запись пользователя больше не нужна, ее нужно отключить или удалить. Отключенную учетную запись впоследствии можно включить, восстановив свойства пользователя. Удаленную учетную запись восстановить нельзя.

Учетная запись отключается, если пользователь не работает с ней в течение некоторого времени, например, если служащий уходит в отпуск. Другой причиной отключения является замена одного пользователя другим.

Учетная запись пользователя отключается установкой флажка Отключить учетную запись в диалоговом окне свойств пользователя. Чтобы обратиться к этому диалоговому окну, дважды щелкните мышью на учетной записи в папке Пользователи утилиты Локальные пользователи и группы.

Удаление учетных записей пользователей

Удалять учетную запись следует только тогда, когда точно известно, что она больше не понадобится.

Для удаления пользователя откройте утилиту Локальные пользователи и группы, выделите удаляемую учетную запись и щелкните мышью на кнопке Действие. В открывшемся меню выберите Удалить.

Удаление — операция необратимая, поэтому появится диалоговое окно, предлагающее подтвердить желание удалить учетную запись.

Учетные записи Администратор и Гость удалить нельзя, а учетную запись начального пользователя — можно.

Переименование пользователей

Учетную запись можно переименовать в любой момент. Переименование позволяет сохранить все свойства пользователя.

Для переименования откройте утилиту Локальные пользователи и группы, выделите переименовываемую учетную запись и выберите Действие Переименовать. Измените имя пользователя и нажмите Enter, завершив операцию.

Изменение пароля пользователя

Если какой-то пользователь забыл свой пароль и не может войти в систему, нельзя посмотреть его старый пароль, но администратор может изменить пароль, которым тот и будет пользоваться.

Для изменения пароля откройте утилиту Локальные пользователи и группы, выделите учетную запись и выберите Действие Задать пароль. Введите новый пароль и подтвердите его. Щелкните О К.

Работа со свойствами локальных пользователей

Для лучшего управления учетными записями пользователей следует настроить их свойства. В диалоговом окне свойств пользователя можно изменить исходные параметры пароля, добавить пользователей в существующие группы и указать сведения о профиле пользователя.

Чтобы открыть диалоговое окно свойств пользователя, обратитесь к утилите Локальные пользователи и группы, откройте папку Пользователи и дважды щелкните мышью на учетной записи пользователя. Диалоговое окно свойств пользователя состоит из четырех вкладок, соответствующих классам свойств: Общие, Членство в группах, Профиль, Удаленный доступ.

Общие содержит сведения, предоставляемые при создании новой учетной записи пользователя, а также сведения об отключении или включении учетной записи. Для изменения любого из этих параметров существующего пользователя откройте диалоговое окно свойств и внесите изменения на вкладке Общие.

Членство в группах используется для организации членства пользователя в группах.

Профиль позволяет настроить среду для пользователя. Профиль пользователя содержит сведения о среде Windows 2000 для конкретного пользователя. К параметрам профиля относятся, например, расположение ярлыков на рабочем столе, цвет экрана, который видит пользователь при входе в систему. По умолчанию при входе пользователя в систему открывается его профиль. При первом входе пользователи получают профиль по умолчанию. В папке Documents and Settings для пользователя создается папка с именем, соответствующим имени входа пользователя. При выходе пользователя из системы все изменения, сделанные им на рабочем столе, сохраняются на локальном компьютере.

Удаленный доступ используется для описания свойств удаленного доступа и ответного вызова. Эти параметры применяются при работе с серверами удаленного доступа и серверами виртуальной частной сети.

Организация членства пользователей в группах

На вкладке Членство в группах показаны все группы, к которым принадлежит пользователь. Здесь можно включить пользователя в существующую группу или удалить его из группы. Для включения пользователя в группу щелкните мышью на кнопке Добавить, выберите нужную группу, щелкните Добавить, а затем ОК. Щелкните мышью на кнопке ОК, закрыв диалоговое окно Свойства пользователя.

Для удаления пользователя из группы выделите группу и щелкните мышью на кнопке Удалить.

Работа с локальными учетными записями групп

Группы — это важный элемент управления сетью. Грамотные администраторы большую часть своих задач управления выполняют с помощью групп и крайне редко предоставляют полномочия отдельным пользователям.

На рядовых серверах Windows 2000 могут находиться локальные группы, а на контроллерах доменов Windows 2000 в Active Directory — группы безопасности и распространения. По области действия они могут делиться на локальные, глобальные и универсальные.

Для создания локальных групп применяется утилита Локальные пользователи и группы, с помощью которой можно создавать, переименовывать и удалять группы, а также менять их состав.

Создание новых локальных групп

Для создания группы необходимо войти в систему как член группы Администраторы или Опытные пользователи. Группа Администраторы обладает всеми полномочиями для работы с пользователями и группами. Члены группы Опытные пользователи могут работать только с теми группами, которые они сами создают.

По возможности следует не создавать новых групп, а включать пользователей в состав встроенных локальных групп. Это упрощает работу администратора, так как встроенные группы уже обладают соответствующими полномочиями. Все, что нужно при этом выполнить, — сделать пользователей членами группы.

При создании локальной группы рекомендуется соблюдать следующие правила:

§ Имя группы должно быть уникальным для компьютера, т. е. отличаться от имен всех других групп и пользователей компьютера.

§ Длина имени группы может составлять 256 символов. Символ обратной косой черты () использовать нельзя.

Создание групп похоже на создание пользователей. Откройте утилиту Локальные пользователи и группы, щелкните правой кнопкой мыши на папке Группы и выберите Новая группа во всплывающем меню. На экране появится диалоговое окно Новая группа. Единственным обязательным элементом окна является имя группы. При желании можно привести описание группы и добавить (или удалить) членов группы. Введя сведения о новой группе, щелкните мышью на кнопке Создать.

Настройка свойств локальных групп

После создания группы можно добавить в нее членов. Пользователь может принадлежать нескольким группам. Добавляются и удаляются пользователи с помощью диалогового окна свойств группы. Откройте его, дважды щелкнув мышью в папке Группы утилиты Локальные пользователи и группы на нужной группе.

В диалоговом окне свойств группы можно добавить или удалить ее членов. Щелчком мыши на кнопке Добавить открывается диалоговое окно Выбор пользователей и групп. Здесь выбираются учетные записи пользователей, которых нужно включить в группу. После этого нужно щелкнуть мышью на кнопке Добавить, а затем на кнопке ОК.

Чтобы удалить члена группы, выберите его в списке Члены диалогового окна свойств группы и щелкните мышью на кнопке Удалить.

Для выбора нескольких расположенных по порядку пользователей для добавления или удаления, щелкните мышью на первом и последнем из них при нажатой клавише Shift. Для выбора нескольких пользователей не по порядку щелкните мышью на каждом из них при нажатой клавише Ctrl.

Переименование групп

Группа, как и учетная запись пользователя, при переименовании сохраняет все свои свойства, в том числе членов и полномочия.

Чтобы переименовать группу, щелкните на ней правой кнопкой мыши и выберите Переименовать во всплывающем меню. Переименуйте группу и нажмите Enter.

Удаление групп

Для удаления группы щелкните правой кнопкой мыши и выберите Удалить во всплывающем меню. Появится диалоговое окно с предупреждением о том, что после удаления восстановить группу нельзя. Щелкните мышью на кнопке Да.

Задание к лабораторной работе

· Создайте четырех новых пользователей (например, Дима, Саша, Таня, Ира). Для каждого из них снимите флажок «Требовать смену пароля при следующем входе в систему». Для первых двух пользователей пароль не задавайте, для последних установите пароли. После создания всех пользователей выйдите из диалогового окна, щелкнув мышью на кнопке Закрыть.

· Отключите учетную запись одного из пользователей. Выйдите из системы и попытайтесь войти с именем отключенного пользователя. Попытка будет неудачна. Войдите в систему как Администратор.

· Удалите одного из созданных ранее пользователей.

· Переименуйте одного из созданных ранее пользователей.

· Измените пароль одного из созданных ранее пользователей.

· Выполните настройку профилей пользователей.

Выберите Пуск Программы Стандартные Проводник, раскройте Мой компьютер, затем Диск С: и Documents and Settings. В этой папке будут находиться подпапки только тех пользователей, которые вошли в систему. Убедитесь, что профили для некоторых пользователей (например, Таня, Ира) не существуют (так как они еще не вошли в систему).

Выйдите как Администратор и войдите как Таня. Щелкните правой кнопкой мыши на незанятой области рабочего стола и выберите Свойства. В окне Свойства экрана выберите вкладку Оформление. Выберите цветовую схему красно-бело-синяя (VGA).

Щелкните правой кнопкой мыши на незанятой области рабочего стола и выберите Создать Ярлык. Создайте ярлык с именем CALС.

Выйдите как Таня и войдите как Ира. Обратите внимание: пользователь Ира видит конфигурацию рабочего стола, хранящуюся в профиле по умолчанию.

Выйдите как Ира и войдите как Таня. Обратите внимание: Таня видит конфигурацию рабочего стола такой, какой она была установлена в последний раз

Выйдите как Таня и войдите как Администратор. Раскройте Documents and Settings. Убедитесь, что теперь для Тани и Иры существуют папки с профилями пользователей.

· Создайте две локальные группы с именами Пользователи данных и Пользователи приложений.

· Добавьте созданных Вами пользователей в группу Пользователи данных.

· Переименуйте группу Пользователи приложений.

· Удалите группу Пользователи приложений.

· Удалите все созданные группы и пользователей.

Содержание отчета

Наименование и цель выполняемой работы.

Формулировка задания на лабораторную работу.

Описание хода выполнения работы по каждому пункту задания.

Выводы по проделанной работе.

Контрольные вопросы

1. Дайте краткое определение учетной записи.

2. Для каких целей используется учетная запись пользователя или компьютера.

3. Назовите встроенные учетные записи и дайте их характеристики.

4. На каких компьютерах могут храниться сведения о локальных пользователях Windows 2000 в их локальной базе данных учетных записей? Выберите все подходящие варианты.

A. Windows NT 4 Workstation

B. Windows 2000 Professional

C. На рядовых серверах Windows 2000

D. На контроллерах доменов Windows 2000

5. Какая утилита применяется для создания учетных записей пользователей, хранящихся на рядовых серверах Windows 2000?

6. Назовите встроенные группы.

7. Опишите последовательность действий для создания учетной записи пользователя.

8. Опишите последовательность действий для создания группы.

9. Опишите последовательность действий для добавления пользователя в группу.

10. Какая папка применяется по умолчанию для хранения профилей пользователей?

11. Если пользователь должен архивировать и восстанавливать файловую систему, но не должен иметь к ней доступ, в какую группу его следует включить?

12. Какое из следующих прав не предоставляется членам группы Опытные пользователи на рядовых серверах Windows 2000?

A. Создание любых пользователей и групп

B. Удаление любых пользователей и групп

C. Создание сетевых ресурсов

D. Создание сетевых принтеров

13. Какая группа создается на контроллерах доменов Windows 2000 по умолчанию и разрешает членам управлять контроллерами доменов, но не разрешает управлять учетными записями пользователей и групп?

14. Какую утилиту может применить администратор на рядовом сервере Windows 2000 для изменения пароля пользователя?

15. Какая из следующих групп имеет наивысший уровень полномочий в Active Directory?

A. Администраторы

B. Администраторы домена

C. Администраторы предприятия

D. Администраторы Active Directory

ПоказатьСвернуть
Заполнить форму текущей работой