Встроенные доменные учетные записи
В Active Directory имеется контейнер Users, содержащий три встроенные пользовательские учетные записи: Administrator, Guest и HelpAssistant. Эти учетные записи создаются автоматически, когда вы создаете домен. Каждая из этих встроенных учетных записей имеет свой набор полномочий.
Учетная запись Administrator
Учетная запись Administrator имеет полномочия Full Control (Полный доступ) по всем ресурсам в домене и она позволяет назначать полномочия доменным пользователям. По умолчанию учетная запись Administrator является членом следующих групп:
· Administrators;
· Domain Admins;
· Enterprise Admins;
· Group Policy Creator Owners;
· Schema Admins.
Вы не можете удалить учетную запись Administrator и не можете исключить ее из группы Administrators. Но вы можете переименовывать или отключать эту учетную запись, что делают некоторые администраторы, чтобы затруднить злоумышленникам попытки получения доступа к контроллеру домена (DC) с помощью этой учетной записи. После этого такие администраторы выполняют вход с помощью пользовательских учетных записей, являющихся членами перечисленных выше групп, чтобы выполнять администрирование домена.
Отключив учетную запись Administrator, вы можете все же использовать ее при необходимости для доступа к DC, загрузив этот DC в режиме Safe Mode (Безопасный режим; учетная запись Administrator всегда доступна в режиме Safe Mode).
Учетная запись Guest используется для того, чтобы люди, не имеющие учетной записи в домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетная запись которого отключена (но не удалена), может выполнять вход с помощью учетной запись Guest. Учетная запись Guest не обязательно должна иметь пароль, и вы можете задавать полномочия для учетной запись Guest, как для любой другой пользовательской учетной записи. Учетная запись Guest является членом групп Guests и Domain Guests.
|
|
|
Рассказывая о том, как и когда можно использовать учетную запись Guest, я должен указать, что в Windows Server 2003 учетная запись Guest отключена по умолчанию. Если у вас нет какой-либо особой причины для использования этой учетной запись, имеет смысл оставить ее в этом состоянии.
Эта учетная запись, используемая во время сеанса Remote Assistance (Удаленная поддержка), автоматически создается, когда вы запрашиваете Remote Assistance. Управление этой учетной записью осуществляет служба Remote Desktop Help Session Manager; эта учетная запись имеет ограниченные полномочия на данном компьютере.
Доменные пользовательские учетные записи
Доменные учетные записи создаются в Active Directory, который работает на контроллере домена (DC). Откройте оснастку Active Directory Users and Computers и раскройте нужный домен (если у вас более одного домена). В отличие от Windows N T, система Windows Server 2003 разделяет процессы, которые участвуют в создании пользователей. Сначала вы создаете пользователя и соответствующий пароль, а затем, в виде отдельного шага, конфигурируете детали для этого пользователя, включая его членство в группах.
|
|
|
Задание:
- Задание 1. Настройка объектов пользователей для входа на контроллер домена.
В реальной среде вы вряд ли захотите разрешить пользователям локально входить на контроллер домена, но в нашей тестовой среде с одной системой такая возможность необходима. Существует несколько способов задать необходимое разрешение, но самый простой — добавить группу Пользователи домена (DomainUsers) в группу Операторы печати (PrintOperators), которой разрешеновходить в систему локально.
1.Откройте консоль ActiveDirectory—пользователи и компьютеры.
2.В дереве выберите контейнер Builtin.
3.Раскройте окно свойств группы Операторы печати (PrintOperators).
4.На вкладке Члены группы (Members) добавьте группу Пользователи домена (DomainUsers).
- Задание 2. Создание общего ресурса для профилей.
1.На диске С: создайте папку Profiles.
2.Правой кнопкой щелкните папку Profilesи выберите Общий доступ и безопасность(SharingandSecurity).
3.Перейдите на вкладку Доступ (Sharing).
4.Откройте общий доступ к этой папке, оставив предложенное по умолчанию имя ресурса —Profiles.
|
|
|
5.Щелкните кнопку Разрешения (Permissions).
6.Установите флажок Полный доступ (FullControl).
7.Щелкните ОК.
Внимание! При создании общего ресурса WindowsServer2003 по умолчанию ограничивает к нему доступ. В большинстве организаций для общего ресурса включают разрешение Полный доступ (FullControl), а особые разрешения применяют при помощи свойств на вкладке Безопасность (Security). Впрочем, если администратор не защитил ресурс до того, как открыть к нему общий доступ, WindowsServer2003 в целях безопасности допускает небольшую ошибку, назначая этому ресурсу доступ только для чтения.
- Задание 3. Создание шаблона профиля пользователя.
1. Создайте учетную запись пользователя, которая будет применяться исключительно для создания шаблонов профилей, по следующим данным: Поле Введите Имя (First Name) Profile Фамилия (LastName) Учетная запись (Account) Имя входа пользователя (UserLogonName) Profile Имя входа пользователя (пред-Windows2000)[User Logon Name (Pre-Windows 2000)]Profile
2.Завершите сеанс на ServerOl.
3.Войдите в систему под учетной записью Profile.
4.Настройте рабочий стол, например создайте ярлыки для локальных или сетевых ресурсов, допустим, для системного диска С:.
5.Настройте рабочий стол при помощи приложения Экран (Display) из Панели управления. На вкладке Рабочий стол (Desktop) диалогового окна Свойства экрана (DisplayProperties) можно изменить фон рабочего стола и, щелкнув Настройка рабочего стола(CustomizeDesktop), добавить значки Мои документы (MyDocuments), Мой компьютер (MyComputer), Сетевое окружение (MyNetworkPlaces) и InternetExplorer.
|
|
|
6.Завершите сеанс учетной записи Profile.
- Задание 4. Работа с преднастроенным профилем пользователя.
1.Войдите в систему как Администратор (Administrator).
2.В Панели управления дважды щелкните Система (System).
3.Перейдите на вкладку Дополнительно (Advanced).
4.В области Профили пользователей (UserProfiles) щелкните Параметры (Settings). Откроется диалоговое окно Профили пользователей (User Profiles).
5.Выберите профиль, который вы настроили для учетной записи Profile.
6.Щелкните Копировать (Сору То).
7.В поле Копировать профиль на (CopyProffleТо) введите \\serverOI\profiles\hcarbeck.
8.В области Разрешить использование (PermittedToUse) щелкните Изменить (Change).
9.Введите Hankи щелкните ОК.
10.Подтвердите значения, введенные в окне Копирование профиля (Сору То), и щелкните ОК.
11.После того как профиль будет скопирован в сеть, щелкните ОК в окнах Профилипользователей (UserProfiles) и Свойства системы (SystemProperties).
12.Откройте папку C:\Profilesи убедитесь, что папка профиля Hcarbeckсоздана.
13.В дереве консоли ActiveDirectory—пользователи и компьютеры выберите ОП Employees.
14.Откройте свойства объекта пользователя HankCarbeck.
15.Перейдите на вкладку Профиль (Profile).
16.ВполеПутькпрофилю(Profile Path) введите\\server01\prof iles\%username%.
17.Щелкните Применить (Apply) и убедитесь, что вместо переменной %Username% былоподставлено имя hcarbeck. Важно, чтобы путь к профилю соответствовал фактическому сетевому пути к папке профиля.
18.Щелкните ОК.
19.Проверьте, что преднастроенный перемещаемый профиль пользователя работает правильно. Для этого выйдите из системы и войдите под именем hank.car-beck@contoso.com. Выдолжны увидеть изменения, которые внесли на рабочем столепод учетной записью Profile.
- Задание 5. Работа с преднастроенным обязательным групповым профилем.
1.Войдите в систему как Администратор (Administrator).
2.В Панели управления дважды щелкните Система (System).
3.Перейдите на вкладку Дополнительно (Advanced).
4.В области Профили пользователей (UserProfiles) щелкните Параметры (Settings).
5.Выберите профиль, который вы настроили для учетной записи Profile.
6.Щелкните Копировать (Сору То).
7.В поле Копировать профиль на (CopyProfileТо) введите \\server01\profiles\sales.
8.В области Разрешить использование (PermittedToUse) щелкните Изменить (Change).
9.Введите Users и щелкните ОК.
10.Подтвердите значения, введенные в окне Копирование профиля (Сору То), и щелкните ОК.
11.После того как профиль будет скопирован в сеть, щелкните ОК в окнах Профили пользователей (UserProfiles) и Свойства системы (SystemProperties).
12.Откройте папку C:\Profiles и убедитесь, что папка профиля Sales создана.
13.В Панели управления раскройте Свойства папки (FolderOptions) и проверьте, что на вкладке Вид (View) в области Дополнительные параметры (AdvancedSettings) выбран параметр Показывать скрытые файлы и папки (ShowHiddenFilesAndFolders).
14.Раскройте папку C:\Profiles\Sales и переименуйте файл Ntuser.dat в Ntuser.man. Этот профиль станет обязательным.
15.В дереве консоли ActiveDirectory—пользователи и компьютеры выберите ОП Employees.
16.Выберите в дереве следующие объекты (щелкните первый объект и, удерживая клавишу Ctrl, —остальные): ScottBishop, DanielleTiedf, LorrinSmith-Bates.
17.В меню Действие (Action) выберите Свойства (Properties).
18.Перейдите на вкладку Профиль (Profile) и установите флажок Путь к профилю (ProfilePath).
19.ВполеПутькпрофилю(Profile Path) введите\\server01\profiles\sales.
20.Щелкните ОК.
21.Проверьте, что преднастроенный перемещаемый профиль пользователя настроен правильно; для этого выйдите из системы и войдите под именем danielle.tiedt@contoso.com.
22.Удостоверьтесь, что профиль обязательный, изменив вид рабочего стола. Вы сможете внести изменения, но они не сохранятся для будущих сеансов.
23.Выйдите из системы и войдите как DanielleTiedt. Так как профиль обязательный, вы не увидите изменений, сделанных на предыдущем шаге.24.Выйдите из системы и войдите как ScottBishopс именемпользователя scott.bi-shop@contoso.com. Должен появиться рабочий стол без изменений.
- Задание 6. Ответить на контрольные вопросы.
Контрольные вопросы
1. Учетные записи (accounts) пользователей, компьютеров и групп.
2. Локальные учетные записи пользователей.
3. Учетные записи пользователей домена.
4. Встроенные учетные записи.
5. Обзор свойств учетных записей пользователей.
Дата добавления: 2021-12-10; просмотров: 37; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!