Организация функционирования ЛВС на базе операционной системы Windows 2003 Server. Управление учетными записями пользователей.

Целью данной работы является приобретение навыков управления учетными записями пользователей, а также их профилями.

Условием работы любой сети, конечно же, является наличие в ней пользователей и компьютеров. Сегодня мы изучим возможности по созданию пользователей в глобальном каталоге Active Directory и попробуем управлять компьютерами и пользователями в нашей ЛВС.

Ход работ. Часть первая «Общие принципы»:

• Подготовка хранилища профилей пользователей

Прежде чем мы перейдем к созданию пользователей нашего домена, необходимо выполнить несколько предварительных действий. Во-первых, необходимо определить, где будут храниться профиля пользователей. Пусть у нас это будет папка «Profiles» на диске C. После создания этой папки необходимо открыть к ней общий доступ (рис. 1) и дать разрешение всем на чтение и изменение (кнопка Разрешение, рис. 2).

рис.1 рис.2

• Создание пользователей

Для управления сервером воспользуемся консолью mmc. Нажмите Пуск\Выполнить… (Start\Run…), в текстовом поле введите mmc и нажмите [Enter]. Откроется окно (рис. 1), озаглавленное «Консоль» («Console1»). Нажимаем Консоль\Добавить или удалить оснастку (File\Add/Remove Snap-In), дальше выбираем Добавить (Add) и из списка предложенных инструментов добавляем в список только необходимые. Это делается путем нажатия на кнопку Добавить (Add). Нажмите Закрыть\ОК (Close\Ok) — и Вы получите несколько открытых элементов управления в одном окне. Дальше консоль можно сохранить и открывать уже настроенную. Таким образом, все необходимые инструменты будут всегда находиться у Вас под рукой.

рис.3

Теперь перейдем непосредственно к созданию первых пользователей. В отличие от компьютеров, которые автоматически добавляются при их подключении к серверу, создавать пользователей придется вручную. Сразу замечу, что лучше сразу же организовывать каталог так, чтобы пользователи и компьютеры не размещались в стандартных контейнерах (Organisation Unit), а каким-то образом систематизировались.

Итак, создадим первого пользователя и поместим его не в стандартном контейнере Users, а в подразделении. Нажимаем правой кнопкой мыши на названии домена в оснастке «Active Directory Users and Computers», выбираем Создать\Подразделение, вбиваем название «MyDepartment» и жмем ОК.

Далее выбираем в меню Действие (Action) пункт Создать\Пользователь (New\User) создаем нового пользователя (эти действия эквивалентны нажатию правой кнопки мыши на контейнере и выбору пункта Создать\Пользователь (New\User)). Откроется диалоговое окно «Новый объект — Пользователь» (New Object — User). На его первой странице нам будет необходимо ввести сведения об имени пользователя (рис. 4).

рис.4

Закончив ввод значений и щелкнув Далее (Next), мы увидим вторую страницу, на которой надо будет ввести пароль пользователя, введем «password».

Здесь также необходимо установить настройки данной учетной записи. Остановимся на них подробнее:

• Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon) — установлено по умолчанию. Очень удобное средство для того, чтобы пароль пользователя знал только он. Вы создаете учетную запись, например, со стандартным паролем Microsoft (p@s$w0rd) и требуете, чтобы пользователь изменил его сразу же при запуске системы. Пользователь просто не войдет в систему, не изменив пароль!

• Запретить смену пароля пользователя (User Cannot Change Password) — установите этот флажок, если этой учетной записью пользуются несколько пользователей в домене (в частности, это касается учетной записи Гость (Guest), ведь если какой-то пользователь случайно изменит пароль, то доступ к системе будет невозможен для остальных пользователей, использующих учетную запись.

• Срок действия пароля неограничен (Password Never Expires) — используйте этот флаг для не очень защищенных сетей (вроде домашней, которую мы и строим). В защищенных его обязательно надо снимать, т.к. пароли пользователей, имеющих доступ к конфиденциальной информации, должны меняться регулярно.

• Отключить учетную запись (Account is disabled) — для создания пользователей, которым пока нет необходимости входить в сеть.

Нажав Далее\Готово (Next\Finish), мы заканчиваем создание нового пользователя в каталоге Active Directory, но скорее всего Вы получите следующие сообщение.

Проблема заключается в том, что пароль, который Вы ввели не отвечает требованиям безопасности. У нас есть два пути: вводить сложный пароль (более 7 знаков и содержать буквы в разных регистрах и цифры) или изменить текущую политику безопасности.

Нажмите Пуск > Администрирование > Политика безопасности домена

Параметры безопасности Политика учетных записей Политика паролей

После создания пользователя, теперь мы вполне можете просмотреть его свойства, выбрав в меню Действие (Action) пункт Свойства (Properties). Перед Вами откроется диалоговое окно, в котором находится весь спектр информации об этом пользователе. Особое внимание стоит обратить на закладку Учетная запись (Account) — рис. 5.

рис.5 рис.6

Определенные свойства были уже настроены при создании пользователя. Рассмотрим назначение некоторых из них:

• Время входа (Logon Hours) — позволяет настроить время, когда пользователю позволено входить в сеть.

• Вход на (Log On To) — определение компьютеров, с которых пользователю позволено входить в домен.

• Хранить пароль, используя обратимое шифрование (Store Password Using Reversible Encryption) — этот параметр разрешает хранение пароля в Active Directory без использования мощного алгоритма для шифрования хешированием (между прочим — без возможности обратного преобразования!). Используется для поддержки приложений, которым требуется знать пароль пользователя. Пользуйтесь этим параметром только в случае крайней необходимости, т.к. это существенно ослабляет безопасность (пароли, которые хранятся с использованием обратимого шифрования, для опытного взломщика — практически то же самое, что и пароль, записанный в блокноте открытым текстом).

• Срок действия учетной записи (Account Expires) — позволяет задать дату окончания действия учетной записи.

На рис.6 размещены настройки расположения профиля пользователя и домашняя папка пользователя. У нас это папка «Profiles» на диске «C» (см. выше).