Администрирование учетных записей пользователей

Для регистрации пользователя в домене (и доступа к ресурсам сети) или в локальной системе (и доступа к локальным ресурсам) создается учетная запись пользователя (user accounts) — набор уникальных рек­визитов, идентифицирующих его для Windows 2000. Учетная запись включает имя пользователя и, если требуется, пароль для регистра­ции в системе, указывает его принадлежность к группам и определя­ет его привилегии и разрешения на использование компьютера и сети и на доступ к ресурсам. Каждый пользователь, регулярно работаю­щий в сети, имеет учетную запись.

Windows 2000 поддерживает два типа учетной записи пользователя: до­менную и локальную.

Доменные учетные записи позволяют войти в домен и получить доступ к ресурсам сети. При вхо­де пользователь вводит свой пароль и имя. Эта информация позволяет Windows 2000 аутентифицировать его и создать маркер доступа, содер­жащий сведения о пользователе и параметрах безопасности. Маркер доступа идентифицирует пользователя для компьютеров с Windows 2000, к ресурсам которых он пытается получить доступ. Windows 2000 предоставляет маркер доступа на время выполнения входа. Учетная запись пользователя создается в организационном под­разделении (ОП) в реплике хранилища Active Directory (именуемом каталогом) на контроллере домена. Контроллер домена реплицирует информацию о новой учетной записи пользователя на все контрол­леры домена в домене. После репликации информации о новой учетной записи пользо­вателя все контроллеры данного домена могут аутентифицировать его при входе.

Локальные учетные записи разрешают пользователям входить в систему и получать доступ к ре­сурсам только на том компьютере, на котором создана локальная учетная запись. При создании локальной учетной записи Windows 2000 создает ее только в БД безопасности данного компьютера. Win­dows 2000 не реплицирует информацию о локальной учетной записи на контроллеры домена. После создания локальной учетной записи компьютер использует свою локальную БД безопасности для аутен­тификации локальной учетной записи, что позволяет пользователю войти в систему данного компьютера.

Кроме того, Windows 2000 предоставляет встроенные учетные за­писи, применяемые для выполнения административных задач или доступа к сетевым ресурсам. Windows 2000 автоматически создает несколько встроенных учетных записей, из которых чаще всего применяются Администратор (Admi­nistrator) и Гость (Guest). ОС не позволяет удалять встроенные учет­ные записи или отключать запись Администратор, хотя встроенные учетные записи можно переименовывать.

Учетная запись Администратор применяется для управления общей конфигурацией компьютера или домена, например, для создания и изменения учетных записей пользователей и групп, управления политикой безопасности, созда­ния принтеров и предоставления учетным записям разрешений дос­тупа к ресурсам.

Учетная запись Гость позволяет случайным пользователям войти в систему и получить вре­менный доступ к ресурсам. Учетная запись Гость по умолчанию отключена. Ее следует вклю­чать только в сетях с низким уровнем безопасности и всегда назна­чать ей пароль.

Планируя и организуя информацию для учетных записей пользова­телей, можно упростить процесс их создания. Следует планировать:

• правила именования учетных записей пользователей;

• требования к паролям;

• параметры учетных записей, например, время входа в систему, компьютеры, с которых в нее можно войти, и срок действия учет­ной записи.

Правила именования определяют порядок идентификации пользователей в домене. Посто­янные правила именования помогают за­помнить пользовательские имена входа в систему и найти их в спис­ке.

В целях защиты доступа к домену или компьютеру каждый пользова­тель должен иметь пароль.

Для предотвращения несанкционированного доступа к учетной за­писи Администратор требуется присвоение пароля для этой учетной записи. Можно присвоить уникальные пароли для учетных записей пользователей и запретить пользователям изменять их или разрешить им ввести свои пароли при первом входе в систему. В большинстве случаев контролировать пароли следует пользователям.

Необходимо определить время, когда пользователь может входить в сеть, и ком­пьютеры, с которых это можно делать. Следует установить сроки действия учетных записей временных пользователей. Для контроля за входом пользователя на домен необходимо задавать часы входа в систему, то есть срок, в течение которого пользователи могут работать в сети. По умолчанию Windows 2000 разрешает доступ в любой день 24 часа в сутки. Можно разрешить вход только в рабочее время. Уста­новка времени входа сокращает срок, в течение которого учетная за­пись открыта для несанкционированного доступа.

По умолчанию пользователи могут входить в домен с любого компь­ютера домена. Желательно требовать, чтобы пользователи входили в домен толь­ко с их собственных компьютеров. Это предотвратит их доступ к кон­фиденциальной информации на других компьютерах.

Следует определить, стоит ли задавать срок действия учетной записи пользователя. Если да, то для отключения учетной записи при прекращении досту­па к сети необходимо установить дату окончания действия учетной записи пользо­вателя.

Для создания доменных учетных записей служит оснастка Ac­tive Directory – пользователи и компьютеры (Active Directory Users And Computers), которая, как уже было отмечено, в данном учебном пособии не рассматривается.

Для создания локальных учетных записей служит оснастка Локальные пользователи и компьютеры (Local Users And Groups). Можно создать локальные учетные записи только на компью­терах с Windows 2000 Professional и изолированных или рядовых (не имеющих статуса контроллера) серверах с Windows 2000 Server. Ло­кальные учетные записи сохраняются не в каталоге домена, а в БД безопасности компьютера, на котором они были созданы.

Администрирование учетных записей пользователей включает изменение учетных записей и настройку пользовательских профилей и домашних каталогов.

Профиль пользователя – это набор папок и данных, определяющих параметры рабо­чего стола, приложений и место хранения личных данных. Профиль также содержит все сетевые соединения, установленные при входе в систему, пункты меню Пуск и драйверы, относящиеся к сетевым сер­верам. Профиль пользователя сохраняет вид рабочего стола и пара­метры среды, заданные во время последнего входа в систему.

Windows 2000 создает профиль локального пользователя при пер­вом входе в систему. При входе в компьютер клиента всегда предоставляются индивидуальные параметры рабочего стола и соединений не­зависимо от того, кто ранее работал на этом компьютере. Самый простой способ изменить профиль пользователя – изменить параметры рабочего стола, например, при установке нового сетевого подключения или добавлении файла в папку Мои документы. Затем при выходе из системы Windows 2000 вносит изменения в профиль. При следующем входе в систему по­явятся новое сетевое подключение и файл.

Рекомендуется, чтобы пользователи сохраняли свои документы в папке Мои документы, а не в домашних каталогах. Win­dows 2000 автоматически устанавливает папку Мои документы, и она по умолчанию является местом для сохранения данных приложе­ниями Microsoft.

Для поддержки пользователей, работающих на нескольких компью­терах, можно настроить перемещаемый профиль пользователя (roaming user profile – далее RUP). Для этого необходимо установить его на сетевом сервере, чтобы он был досту­пен независимо от того, с какого компьютера пользователи входят в домен. При входе в сеть Windows 2000 копирует такой профиль с сетевого сервера на компьютер, с которого входит пользователь. Следовательно, в любом ме­сте сети он получает индивидуальные параметры рабочего стола и подключений.

При входе Windows 2000 применяет к данному компьютеру парамет­ры RUP. При первом входе в систему на локальный компьютер копи­руются все документы пользователя. В дальнейшем при его входе Win­dows 2000 сравнивает локально сохраненные файлы профиля с файлами RUP. Система синхронизирует их, копируя только те файлы, которые изме­нялись со времени последнего входа пользователя в систему. Поскольку Windows 2000 копирует только их, вход в систему ускоряется. При выходе пользователя из системы Windows 2000 копирует сде­ланные в локальной копии RUP изменения обратно на сервер.

Можно настроить или указать готовый RUP для всех учетных запи­сей и запретить его модификацию. Для этого можно настроить рабо­чую среду и скопировать полученный профиль на место RUP пользо­вателя.

Перемещаемые профили используются для следующих функций:

• обеспечения пользователей рабочей средой, включающей только необходимые для работы подключения и приложения;

• обеспечения стандартной среды рабочего стола для RUP пользо­вателей, имеющих одинаковые требования к работе (им нужны одинаковые сетевые ресурсы);

• устранения ошибок (имея ясное представление о настройке рабо­чих столов пользователей, специалисты службы технической под­держки найдут отклонение или проблему).

Обязательным профилем называют RUP «только для чтения». Пользователь по-прежнему может изменять параметры своего рабочего стола, но при выходе из системы эти изменения не сохраняются. При его следующем входе обязательный профиль снова загружается с сервера. Возможно назначить один обязательный профиль многим пользо­вателям, которым нужны одинаковые параметры рабочего стола. Из­менив один профиль, можно изменить рабочую среду нескольких пользо­вателей.

Чтобы сделать профиль обязательным, необходимо переименовать файл Ntuser.dat, расположенный на сервере, в Ntuser.man. Файл профиля с этим расширением будет доступен только для чтения.

Если настроить на сервере RUP, при следующем входе пользователя на компьютер в домене Windows 2000 скопирует локальный профиль пользователя в папку RUP на сервер. При следующем входе пользо­вателя в систему RUP будет скопирован с сервера на компьютер пользователя.

Следует хранить перемещаемые профили на часто архивируемом сервере. Для ускорения входа в систему в сильно загруженной сети желательно поместить папки RUP на рядовой сервер, а не на контроллер домена. Копирование RUP с сервера на компьютеры клиентов может занять значи­тельную часть полосы пропускания сети и усилить нагрузку на про­цессоры компьютеров. Хранение профилей на контроллере домена замедляет проверку подлинности (аутентификацию) пользователей в домене.

Чтобы настроить RUP, надо создать общую папку на сервере и задать путь в формате \\<сервер>\<ресурс>. На вкладке Про­филь (Profile) в диалоговом окне свойств учетной записи назначить путь к общей папке в поле Путь к профилю (Profile Path) – \\<сервер>\ < ресурс>\<регистрационное_имя>. Вместо регистрационного имени можно указать переменную %username% – Windows 2000 автоматически заменяет ее именем учет­ной записи пользователя.

Можно настроить RUP и назначить его нескольким пользователям – вследствие этого при входе в систему у них будут одинаковые пара­метры и подключения. До создания и назначения RUP надо создать шаблон профиля, включающий параметры рабочего стола. Шаблон создает­ся путем придания рабочему столу точно такого вида, какой должен быть у пользователей, которым назначен данный профиль. Создав шаблон профиля пользователя, необходимо войти в систему как Администратор и скопировать шаблон в папку перемещаемого профиля на сервере. Папка должна быть доступна для всех пользователей, ко­торым будет назначен этот профиль. Шаблон профиля копируется на общий сетевой ресурс с помощью приложения Система (System).

Для ус­пешного изменения, отключения, подключения или удаления учетных записей, создания RUP и назначения до­машних каталогов необходимо иметь право на администрирование ОП, к ко­торому относятся учетные записи.

Помимо папки Мои документы, Windows 2000 позволяет создать до­полнительную – домашнюю – папку пользователя, которую можно выделить ему для хранения личных документов и старых при­ложений. Иногда она является папкой по умолчанию для сохранения документов. Можно хранить домашнюю папку на компьютере клиента или в общей папке на файловом сервере. Домашняя папка не является частью RUP, поэтому ее размер не влияет на сетевой тра­фик при входе в систему. Возможно размещение всех домашних папок централизованно на сетевом сервере. Хранение всех домашних папок на файловом сервере дает ряд преимуществ:

• пользователи могут получать доступ к своим домашним папкам с любого компьютера в сети;

• поддержка и администрирование документов пользователя становятся централизованными;

• домашние папки доступны с компьютера клиента, на котором ра­ботает любая ОС Microsoft (включая MS-DOS, Windows 9x/2000).

Следует хранить домашние папки на томе NTFS, чтобы можно было задействовать разрешения NTFS для защиты документов пользова­телей. Если домашние папки хранятся на томе FAT, можно ограничить доступ к ним только посредством разрешений доступа к общим папкам.

Для создания домашней папки на файловом сервере в сети требуется вы­полнить следующие действия:

• создать и открыть совмес­тный доступ к папке, в которой будут храниться все домашние папки на сетевом сервере (домашняя папка для всех пользовате­лей будет вложена в эту общую папку);

• для общей папки удалить раз­решение по умолчанию Полный доступ (Full Control) для группы Все (Everyone) и назначить его группе Пользователи (Users) – это гарантирует, что доступ к общей папке получат только пользова­тели с доменными учетными записями;

• указать путь на вкладке Профиль (Profile) диалогового окна свойств учетной записи в группе Домашняя папка (Ноmе folder). Поскольку домашняя папка на­ходится на сетевом сервере, необходимо щелкнуть Подключить (Connect) и указать букву подключаемого диска – тогда при подключении пользо­вателя к сети имя диска появится в окне Мой компьютер (My Computer). В качестве имени пользователя можно указать переменную %username%, чтобы автомати­чески присвоить имя и создать домашнюю папку пользователя с тем же именем, под каким он входит в систему.

Выводы

Учетная запись позволяет пользователю регистрироваться в домене для доступа к сетевым ресурсам или на локальном компьютере для доступа к ресурсам этого компьютера. Windows 2000 предусматривает доменные и локальные учетные записи. Встроенные учетные записи пользователей применяются для администрирования или для досту­па к сетевым ресурсам. Прежде чем начать создавать учетные записи, надо спланировать правила их наименования, требования к паролям и параметры учетных записей, например, время входа в систему. До­менная учетная запись создается в оснастке Ac­tive Directory – пользователи и компьютеры, а локальная – в оснастке Локальные пользователи и компьютеры. Bсe доменные и локальные учетные записи имеют стандартный набор свойств. Эти свойства можно изменять в диалоговом окне свойств. Ад­министрирование учетных записей включает их изменение, а также уп­равление профилями пользователей и домашними папками. Профиль пользователя – это набор папок и данных, определяющий рабочую среду пользователя. Для хранения личных документов и старых прило­жений можно предоставить пользователям домашнюю папку; иногда она является папкой по умолчанию для сохранения документов.

Контрольные вопросы и задания

1. Дайте описание понятия «учетная запись пользователя».

2. В чем отличие доменных учетных записей от локальных?

3. Для каких целей применяются встроенные учетные записи пользователей?

4. Какие возможности управления системой предоставляет учетная запись Администратор?

5. Какая оснастка служит для создания локальных учетных записей?

6. Что такое «профиль пользователя» и для чего он применяется в Windows 2000?

7. Для каких функций используются перемещаемые профили пользователей и как они настраиваются?

8. Охарактеризуйте перемещаемый профиль пользователя, который называется обязательным?

9. Какие действия необходимо выполнить, чтобы сделать профиль пользователя обязательным?

10. На каких устройствах следует хранить перемещаемые профили пользователей?

11. Для чего может использоваться так называемая «домашняя папка» пользователя?

12. Опишите порядок действий по созданию домашней папки на файловом сервере в сети.