Как управлять пользователями в Windows Server 2003

Содержание

Как добавить пользователей

ВНИМАНИЕ! Все действия происходят на самом сервере под управлением операционной системы Windows Server 2003. Также все можно производить на сервере при помощи терминальной службы управления сервером.

Для создания пользователя в системе необходимо нажать правой кнопкой мыши на значок «Мой компьютер» и выбрать пункт «Управление».

В появившимся окне, с левой стороны выбрать:

Управление компьютером » Локальные пользователи » Пользователи

Теперь в правом окне, нажимаем правой кнопкой мыши на пустом месте в списке пользователей и выбрать пункт «Новый пользователь…»

Подтверждения пароля

В появившемся диалоговом окне указать Пользователя и пароль (подтверждение пароля).

Очень настоятельно рекомендую иметь привычку вписывать полные данные о пользователе в разделе Описание. В случае большого количества пользователей (даже более 10), это существенно поможет Вам и другим администраторам (пользователям) ориентироваться в списке пользователей.

Обязательно убрать галочку с пункта «Требовать смену пароля и установить галочки». Не выставив эту галочку, это приведет к тому, что пользователю каждый раз придется менять свой пароль. Что приводит к очень частому забыванию паролей.

Установить галочки в пунктах: «Запретить смену пароля пользователем». Это требуется, чтобы особо «умные пользователи» случайно не напакостили Вам.

Установить галочки в пунктах: «Срок действия пароля не ограничен» — Иначе это приведет к тому, что каждые 10 дней вам придется всем таким пользователям изменять пароль на новый.

Дополнительная информация по теме

Подробная и детальная инструкция по управлению пользователями в программном комплексе SD 3000 Client

Оказывается, получить ID пользователя совсем не сложно, а это значит, что наши данные открыты для всех

Статья для тех, кто хочет научиться раздавать права доступа на сетевые папки в системе на платформе Windows Server 2003

Инструкция с примерами, каким образом необходимо правильно использовать переменные в PHP

Пользователь домена — локальный администратор

Иногда бывает нужно иметь права локального администратора на серверах или рабочих станциях. Например для того, чтобы сотрудники Help Desk могли администрировать только рабочие станции или для предоставления доступа внешнему администратору только к администрируемому им серверу.

Для этого можно сделать пользователя домена локальным администратором нужных серверов или рабочих станций.
Чтобы это сделать:
В оснастке Active Directory — Пользователи и компьютеры (dsa.msc) — создаем группу которая будет иметь права локальных администраторов (назовем ее HelpDesk).

После этого в этой же остнастке создадим подразделение и перенесем нужные рабочии станции в него.

Теперь переходим к оснастке Управление групповыми политиками (gpedit.msc)
Находим в левой колонке созданное подразделение->нажимаем правой клавишей мыши->Создать объект групповой политики в этом домене и связать его…

Даем понятное имя новой групповой политике и нажимаем ОК.
Политика создана. Теперь в нее нужно добавить нужные параметры.

Нажимаем на нем правой клавишей мыши->Изменить…

Переходим:
Конфигурация компьютера->Политики->Конфигурация windows->Параметры безопасности->Группы с ограниченным доступом

В правой части опять нажимаем правой клавишей мыши->Добавить группы

Добавление группы

Свойства

Политика готова

Остается только дождаться применения политики или применить ее вручную.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Локальный администратор windows 2003

Вопрос

Ответы

msiexec /i program_name.msi /l*v c:\msi.log

Посмотрите в c:\msi.log куда не записываются данные.

Возможно поможет сброс настроек безопасности:

• Предложено в качестве ответа Golovchenko Ian 24 августа 2010 г. 17:08
• Помечено в качестве ответа Vinokurov Yuriy Moderator 25 августа 2010 г. 7:07

Все ответы

Покажите, членом каких групп является этот пользователь.

Может, есть ошибки в журналах System/Application?

MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

Как это можно это можно узнать?

Всё в Computer Management. Правой кнопкой на MyComputer -> Manage.

(Простите, а как вы работаете, не зная такого? ой-ой. Хотя бы книжку какую прочитайте по Windows.)

MCPIT: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor

Простите мне мою некомпетентность. Пользователь Administrator является членом одной группы Administrators.

P.S. Чаще всего при установке софта выдает ошибку 1304.

msiexec /i program_name.msi /l*v c:\msi.log

Посмотрите в c:\msi.log куда не записываются данные.

Возможно поможет сброс настроек безопасности:

• Предложено в качестве ответа Golovchenko Ian 24 августа 2010 г. 17:08
• Помечено в качестве ответа Vinokurov Yuriy Moderator 25 августа 2010 г. 7:07

Сброс настроек безопасности помог! Большое спасибо!

Подскажите куда копать, та же проблема, есть пользователь в группе локальных администраторов, но прав администраторов у них нет, походу слетели с группы

НО, когда загружаюсь под сейвмодом с поддержкой сети — права админские есть

Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Управление учетными записями (win2003)

Создание учетных записей и групп занимает важное место в обеспечении безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии, администратор получает возможность ограничить пользователей в доступе к конфиденциальной информации компьютерной сети, разрешить или запретить им выполнение в сети определенного действия, например архивацию данных или завершение работы компьютера.
Для работы с локальными учетными записями используется оснастка Local Users and Groups. Управление доменными учетными записями ведется централизованно на контроллерах домена, при этом используется оснастка Active Directory Users and Computers (см. главу 20 «Администрирование доменов»). Управление локальными учетными записями на контроллерах домена невозможно.

Оснастка Local Users and Groups

Оснастка Local Users and Groups (Локальные пользователи и группы) — это инструмент ММС, с помощью которого выполняется управление локальными учетными записями пользователей и групп — как на локальном, так и на удаленном компьютере. Запускать оснастку может любой пользователь. Выполнять администрирование учетных записей могут только администраторы и члены группы Power Users (Опытные пользователи).
Пример окна оснастки Local Users and Groups приведен на рис. 10.5.

Рис. 10.5. Окно оснастки Local Users and Groups в составе оснастки Computer Management

Папка Users
Сразу после установки системы Windows Server 2003 папка Users (Пользователи) содержит три автоматически создаваемые встроенные учетные записи, перечисленные ниже. Две первые записи имелись и в системах Windows 2000, третья появилась в Windows XP.

• Administrator (Администратор) — эту учетную запись используют при установке и настройке рабочей станции или сервера, являющегося членом домена. Она не может быть уничтожена, блокирована или удалена из группы Administrators (Администраторы), ее можно только переименовать.
• Guest (Гость) — эта учетная запись применяется для регистрации в компьютере без использования специально созданной учетной записи. Учетная запись Guest не требует ввода пароля и по умолчанию заблокирована. (Обычно пользователь, учетная запись которого блокирована, но не удалена, при регистрации получает предупреждение, и входить в систему не может.) Она является членом группы Guests (Гости). Ей можно предоставить права доступа к ресурсам системы точно так же, как любой другой учетной записи.
• SUPPORT_388945a0 — компания Microsoft зарезервировала эту запись за собой для поддержки справочной службы Help and Support Service; запись является заблокированной.

Примечание
Учетная запись HelpAssistant, использующаяся в системах Windows XP при работе средства удаленной помощи Remote Assistance; в Windows Server 2003 отсутствует.

Кроме того, могут появиться и другие пользовательские учетные записи, например, после установки служб Интернета — Internet Information Services.
Для работы с локальными пользователями можно использовать утилиту командной строки net user.
Команда net user /times позволяет определять день и время, когда пользователь может входить в данную систему.

Папка Groups
В системах Windows 2000 (на рабочей станции или сервере, являющимся членом домена) папка Groups (Группы) содержит шесть встроенных групп. Они создаются автоматически при установке системы. Ниже описаны свойства этих групп.

• Administrators (Администраторы) — ее члены обладают полным доступом ко всем ресурсам системы. Это единственная встроенная группа, автоматически предоставляющая своим членам весь набор встроенных прав. По умолчанию содержит встроенную учетную запись Administrator. Если компьютер подключен к домену, эта группа также содержит группу Domain Admins.
• Backup Operators (Операторы архива) — члены этой группы могут архивировать и восстанавливать файлы в системе независимо от того, какими правами эти файлы защищены. Кроме того, операторы архива могут входить в систему и завершать ее работу, но они не имеют права изменять настройки безопасности. По умолчанию пуста.
• Guests (Гости) — эта группа позволяет выполнить регистрацию пользователя с помощью учетной записи Guest и получить ограниченные права на доступ к ресурсам системы. Члены этой группы могут завершать работу системы. По умолчанию содержит пользователя Guest.
• Power Users (Опытные пользователи) — члены этой группы могут создавать учетные записи пользователей, но они имеют право модифицировать настройки безопасности только для созданных ими учетных записей. Кроме того, они могут создавать локальные группы и модифицировать состав членов созданных ими групп. То же самое они могут делать с группами Users, Guests и Power Users. Члены группы Power Users не могут модифицировать членство в группах Administrators и Backup Operators. Они не могут быть владельцами файлов, архивировать или восстанавливать каталоги, загружать и выгружать драйверы устройств и модифицировать настройки безопасности и журнал событий. По умолчанию пуста.
• Replicator (Репликатор) — членом группы Replicator должна быть только учетная запись, с помощью которой можно зарегистрироваться в службе репликации контроллера домена. Ее членами не следует делать рабочие учетные записи. По умолчанию пуста.
• Users (Пользователи) — члены этой группы могут выполнять большинство пользовательских функций, например, запускать приложения, пользоваться локальным или сетевым принтером, завершать работу системы или блокировать рабочую станцию. Они также могут создавать локальные группы и регулировать состав их членов. Они не могут получить доступ к общему каталогу или создать локальный принтер. По умолчанию содержит служебные учетные записи NT AUTHORITY\Authenticated Users (S-1-5-11) и NT AUTHORITY\INTERACTIVE (S-1-5-4). Если компьютер подключен к домену, эта группа также содержит группу Domain Users.

В системах Windows XP появились еще три группы.

• Network Configuration Operators (Операторы настройки сети) — группа, члены которой имеют некоторые права по настройке сетевых служб и параметров. По умолчанию пуста.
• Remote Desktop Users (Удаленные пользователи рабочего стола) — эта группа содержит имена пользователей, которым явно разрешен удаленный доступ к рабочему столу.
• HelpSenicesGroup (Группа служб поддержки) — группа для поддержки справочной службы Help and Support Service. По умолчанию содержит учетную запись SUPPORT_388945aO.

Еще четыре группы появились в системах Windows Server 2003.

• Performance Log Users — члены этой группы могут удаленно запускать журналы регистрации. По умолчанию содержит служебную учетную запись NT AUTHORITY\NETWORK SERVICE (S-l-5-20).
• Performance Monitor Users — группа, члены которой могут выполнять мониторинг производительности компьютера. По умолчанию пуста.
• Print Operators — члены этой группы могут администрировать принтеры в домене. По умолчанию пуста.
• TelnetClients — группа, члены которой имеют доступ к службе Telnet Server на данном компьютере. По умолчанию пуста.

Для работы с локальными пользователями можно использовать утилиту командной строки net localgroup.

Создание пользовательской учетной записи

Для создания учетных записей пользователей:
1. В оснастке Local Users and Groups установите указатель мыши на папку Users и нажмите правую кнопку. В контекстном меню выберите команду New User (Новый пользователь). Появится диалоговое окно New User (рис. 10.6).

Рис. 10.6. Создание новой локальной учетной записи

2. В поле User name (Пользователь) введите имя создаваемого пользователя, которое будет использоваться для регистрации в системе. В поле Full name (Полное имя) введите полное имя создаваемого пользователя; это имя будет отображаться в меню Start. В поле Description (Описание) можно ввести описание создаваемой учетной записи. В поле Password (Пароль) введите пароль пользователя и в поле Confirm password (Подтверждение) подтвердите его правильность вторичным вводом.
3. Установите или снимите флажки User must change password at next logon (Потребовать смену пароля при следующем входе в систему), User cannot change password (Запретить смену пароля пользователем), Password never expires (Срок действия пароля не ограничен) и Account is disabled (Отключить учетную запись).
4. Нажмите кнопку Create (Создать). Чтобы создать еще одного пользователя, повторите шаги 2 и 3. Для завершения работы нажмите кнопку Close (Закрыть).
Созданный пользователь автоматически включается в локальную группу Users; вы можете открыть вновь созданную учетную запись и изменить членство пользователя в группах.

Рис. 10.7. Окно свойств локальной учетной записи пользователя

Имя пользователя должно быть уникальным для компьютера. Имя пользователя не может состоять целиком из точек и пробелов. Оно может содержать до 20 символов верхнего и нижнего регистра. Ниже приведены символы, применение которых в имени пользователя недопустимо: » / \ [ ]:; | =, + *?<>
Обратите внимание на то, что в окне свойств учетной записи пользователя (рис. 10.7) имеется множество вкладок, на которых можно устанавливать различные параметры, определяющие возможности этой учетной записи при работе в различных режимах (например, вкладки Remote control и Sessions), а также конфигурацию пользовательской среды (например, вкладки Profile и Environment).

Управление локальными группами

Создание локальной группы
Для создания локальной группы:
1. В окне оснастки Local Users and Groups установите указатель мыши на папке Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду New Group (Новая группа). Откроется окно New Group (рис. 10.8).

Рис. 10.8. Создание локальной группы

2. В поле Group name (Имя группы) введите имя новой группы.
3. В поле Description (Описание) можно ввести описание новой группы.
4. В поле Members (Члены группы) можно сразу же добавить пользователей и группы, которые войдут в данную группу: для этого нужно нажать кнопку Add (Добавить) и указать члена группы в окне Select Users (Выбор Пользователей). Окно Select Users позволяет непосредственно ввести имя пользователя (и проверить его правильность, если будет нажата кнопка Check names). Нажав кнопку Advanced (Дополнительно), можно выполнить поиск всех учетных записей на компьютере и выбрать нужную запись из полученного списка. Если компьютер подключен к домену, то при наличии достаточных полномочий можно выполнять поиск в каталоге Active Directory и выбирать доменных пользователей и группы.
5. Для завершения нажмите кнопку Create и затем — Close.
Имя локальной группы должно быть уникальным в пределах компьютера. Оно может содержать до 256 символов в верхнем и нижнем регистрах. В имени группы запрещено применение символа обратной наклонной черты (\).

Изменение членства в локальной группе
Чтобы добавить или удалить учетную запись пользователя из группы:
1. Выберите модифицируемую группу в окне оснастки Local Users and Groups и нажмите правую кнопку. В появившемся контекстном меню выберите команду Add to Group (Добавить в группу) или Properties (Свойства).
2. Для того чтобы добавить новые учетные записи в группу, нажмите кнопку Add. Далее следуйте указаниям диалогового окна Select Users.
3. Для того чтобы удалить из группы некоторых пользователей, в поле Members (Члены группы) окна свойств группы выберите одну или несколько учетных записей и нажмите кнопку Remove (Удалить).
На компьютерах — членах домена в локальную группу можно добавлять как локальных пользователей, созданных на компьютере, так и пользователей и глобальные группы, созданные в домене, к которому принадлежит компьютер, или в доверяемых доменах.

Примечание
Встроенные группы не могут быть удалены. Удаленные группы не могут быть восстановлены. Удаление группы не отражается на учетных записях входящих в нее пользователей.

Изменение и удаление учетных записей

Изменять, переименовывать и удалять локальные учетные записи пользователей и групп можно с помощью контекстного меню, вызываемого щелчком правой кнопки мыши на имени пользователя, либо посредством меню Action (Действие) на панели меню оснастки Local Users and Groups (при этом в правом подокне оснастки должна быть выбрана модифицируемая или удаляемая учетная запись пользователя).
Поскольку переименованная учетная запись сохраняет идентификатор безопасности (Security Identifier, SID), она сохраняет и все свои свойства, например: описание, полное имя, пароль, членство в группах и т. д. Поскольку S1D уникален, нельзя после удаления пользователя или группы создать новую учетную запись со «старыми» свойствами. Поэтому иногда учетные записи пользователей просто временно блокируют.