Содержание

Занятие 3. Учетные записи пользователей
Прежде всего
Раздел 1. Создание и управление объектами пользователей
Создание объектов пользователей в консоли Active Directory — пользователи и компьютеры
User Objects
Handles to User Objects
Managing User Objects
Как создать и удалить пользователя, группу и объект в домене
Создание пользователя в домене.
Создание группы в домене
Добавление подразделения в домене
Удаление пользователя
Удаление группы
Удаление подразделения

Занятие 3. Учетные записи пользователей

В этом занятии

Перед тем как сотрудники вашей компании смогут обращаться к нужным ресурсам, необходимо настроить проверку подлинности пользователей. Конечно, главный компонент проверки — личность пользователя, сведения о котором хранятся в виде учетной записи в службе каталогов Active Directory. Изучив это занятие, вы сможете проверить и расширить свои знания о создании, поддержке и устранении проблем с учетными записями пользователей и проверкой подлинности, а также познакомитесь с консолью Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и мощными служебными программами, запускаемыми из командной строки.

Прежде всего

Для изучения материалов этого занятия вам потребуются:

компьютер под управлением Microsoft Windows Server 2003 (Standard или Enterprise), установленный как Server01 и настроенный в качестве контроллера домена соntoso.com;
организационные подразделения (ОП) первого уровня: Administrative Groups, Employees и Security Groups;
глобальные группы Sales Representatives и Sales Managers в ОП Security Groups;
консоль ActiveDirectory — пользователи и компьютеры или пользовательская консоль с такой оснасткой.

Раздел 1. Создание и управление объектами пользователей

Active Directory требует, чтобы перед разрешением доступа к ресурсам проводилась проверка подлинности пользователя на основе его учетной записи, которая содержит имя для входа в систему, пароль и уникальный идентификатор безопасности (security identifier, SID). В процессе входа в систему Active Directory проверяет подлинность имени и пароля. После этого подсистема безопасности может создать маркер доступа, представляющий этого пользователя. В маркере доступа содержатся SID учетной записи пользователя и SID всех групп, к которым относится пользователь. При помощи этого маркера можно проверить назначенные пользователю права, в том числе право локально входить в систему, а также разрешить или запретить доступ к ресурсам, защищенным таблицами управления доступом (access control list, ACL).

Учетная запись пользователя интегрирована в объект пользователя в Active Directory. В объекте пользователя хранятся не только имя, пароль и SID , но также контактная информация (например номера телефонов и адреса), организационная информация, в том числе должность, прямые подчиненные и руководитель, сведения о членстве в группах и конфигурации, например параметры перемещаемого профиля, служб терминалов, удаленного доступа и удаленного управления. На этом занятии вы узнаете, как объекты пользователей обрабатываются в Active Directory.

Создание объектов пользователей в консоли Active Directory — пользователи и компьютеры

Создать объект пользователя можно в консоли Active Directory — пользователи и компьютеры. Хотя их можно создавать в домене или в любом из контейнеров по умолчанию, рекомендуется делать это в ОП, чтобы в полной мере задействовать делегирование административных полномочий и объекты групповой политики (ОГП).

Чтобы создать объект пользователя, выберите нужный контейнер, затем в меню Действие (Action) щелкните Создать (New)\Пользователь (User). (Для этого вы должны быть членом групп Администраторы предприятия (Enterprise Admins), Администраторы домена (Domain Admins ) или Операторы учета (Account Operators), либо вам должны быть делегированы административные полномочия. В противном случае команда создания будет недоступна.)

Откроется диалоговое окно Новый объект — Пользователь (New Object — User), показанное на рис. 3-1. На первой странице этого окна необходимо ввести сведения об имени пользователя (табл. 3-1).

Рис. 3-1. Диалоговое окно Новый объект — Пользователь

Табл. 3-1. Свойства пользователя на первой странице окна Новый объект — Пользователь

Полное имя пользователя. Если вы указали имя или фамилию пользователя, значение этого свойства будет подставлено автоматически. Впрочем, можно изменить предложенное значение. Это обязательное поле. На основе введенного здесь имени генерируется несколько свойств объекта пользователя, в частности CN (обычное имя), DN (различающееся имя), name (имя) и displayName (отображаемое имя). Поскольку значение CN должно быть в контейнере уникальным, введенное здесь имя должно быть уникальным среди остальных объектов в ОП (или другом контейнере), где вы создаете объект пользователя

Имя входа пользователя (User Logon Name)

Имя участника-пользователя (user principal name, UPN) состоит из имени пользователя для входа и суффикса UPN, которым по умолчанию является DNS-имя домена, в котором вы создаете объект. Это свойство обязательно, а UPN-имя в целом (в формате имя_для_входа@суффикс_UPN должно быть уникальным в лесу Active Directory Например, UPN-имя может быть таким:
someone@contoso.com. UPN можно использовать для входа в систему Windows 2000/XP или Windows Server 2003

Имя входа пользователя (пред- Windows 2000)
[User Logon Name (Рге -Windows 2000)]

Это имя используется для входа в систему с клиентов под управлением более ранних версий Windows , например Windows 9x/Me/NT 4 или Windows NT 3.51. Это поле является обязательным и должно быть уникальным в домене

Закончив ввод значений, щелкните Далее (Next). На второй странице окна Новый объект — Пользователь (New Object — User) необходимо ввести пароль пользователя и установить управляющие флажки учетной записи (рис. 3-2).

Рис. 3-2. Вторая страница окна Новый объект — Пользователь

Внимание! Политика учетных записей по умолчанию в домене Windows Server 2003, которая настраивается в ОГП Default Domain Policy, требует задания сложного пароля длиной не менее семи символов. Под сложностью понимается, что в пароле должны применяться символы трех или четырех типов: прописные и строчные буквы, цифры и специальные символы.

При работе с Windows Server 2003 в тестовой или лабораторной среде следует применять те же методики, что и в производственной сети. То есть при изучении этой книги для создаваемых учетных записей рекомендуется задавать надежные пароли (вам придется запоминать их для упражнений, требующих входа в систему под именами тестовых пользователей).

В табл. 3-2 перечислены свойства со второй страницы окна Новый объект — Пользователь (New Object — User).

Табл. 3-2. Свойства пользователя на второй странице окна Новый объект — Пользователь

Свойство	Описание
Имя (First Name)	Имя пользователя. Необязательное
Инициалы (Initials)	Инициалы (отчество) пользователя. Необязательное
Фамилия (Last Name)	Фамилия пользователя. Необязательное
Полное имя (Full Name)

Этот пароль будет использоваться для проверки подлинности пользователя. В целях безопасности пароль необходимо задавать всегда. Во время ввода символы будут скрыты

Подтверждение
(Confirm Password)

Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon)

Установите этот флажок, если хотите, чтобы пользователь изменил пароль, введенный вами при первом входе в систему. Если вы выбрали Срок действия пароля не ограничен (Password Never Expires), изменить значение этого параметра нельзя. При выборе этого параметра флажок исключающего его параметра Запретить смену пароля пользователем (User Cannot Change Password) будет автоматически снят

Запретить смену пароля пользователем (User Cannot Change Password)

Установите этот флажок, если одной учетной записью в домене пользуются несколько человек [допустим, учетной записью Гость (Guest)] или если необходимо контролировать пароли учетной записи этого пользователя. Обычно этот параметр используется для управления паролями учетных записей служб. Его нельзя выбрать, если вы установили флажок Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon)

Срок действия пароля не ограничен (Password Never Expires)

Установите этот флажок, если хотите, чтобы срок действия пароля не истекал. При этом флажок Требовать смену пароля при следующем входе в систему (User Must Change Password At Next Logon) будет автоматически снят, так как это взаимоисключающие параметры. Обычно используется для управления паролями учетных записей служб

Отключить учетную запись (Account is disabled)

Установите этот флажок для отключения учетной записи пользователя, допустим, при создании объекта для только что нанятого сотрудника, которому пока не требуется входить в сеть

На заметку При создании объектов новых пользователей для каждого из них выбирайте уникальные сложные пароли, не отвечающие какому-либо предсказуемому шаблону. Включите параметр, который заставляет пользователя сменить пароль при следующем входе в систему. Если пользователь не будет входить в сеть долгое время, отключите его учетную запись. Когда пользователю в первый раз потребуется доступ к сети, убедитесь, что его учетная запись включена. Система попросит пользователя задать новый уникальный пароль, известный только ему.

Некоторые из параметров учетных записей, перечисленных в табл. 3-2, могут противоречить политикам, настроенным в домене. Например, в политике домена по умолчанию хранение паролей с использованием обратимого шифрования выключено. Однако в редких случаях, требующих обратимого шифрования, значение свойства учетной записи Хранить пароль, используя обратимое шифрование (Store Password Using Reversible Encryption) для данного объекта пользователя будет иметь приоритет. Также в домене может быть указан максимальный срок действия пароля, или пользователь должен будет изменить пароль при следующем входе в систему. Если объект пользователя настроен так, что срок действия пароля не ограничен, эти настройки перекроют политики домена.

User Objects

User interface objects support only one handle per object. Processes cannot inherit or duplicate handles to user objects. Processes in one session cannot reference a user handle in another session.

There is a theoretical limit of 65,536 user handles per session. However, the maximum number of user handles that can be opened per session is usually lower, since it is affected by available memory. There is also a default per-process limit of user handles. To change this limit, set the following registry value:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota

This value can be set to a number between 200 and 18,000.

Handles to User Objects

Handles to user objects are public to all processes. That is, any process can use the user object handle, provided that the process has security access to the object.

In the following illustration, an application creates a window object. The CreateWindow function creates the window object and returns an object handle.

After the window object has been created, the application can use the window handle to display or change the window. The handle remains valid until the window object is destroyed.

In the next illustration, the application destroys the window object. The DestroyWindow function removes the window object from memory, which invalidates the window handle.

Managing User Objects

The following table lists the user objects, along with each object’s creator and destroyer functions. The creator functions either create the object and an object handle or simply return the existing object handle. The destroyer functions remove the object from memory, which invalidates the object handle.

Как создать и удалить пользователя, группу и объект в домене

Для создания и удаления пользователя, группы и подразделения воспользуемся средством централизованного управления сервером — Диспетчер серверов. Далее выбираем «Пользователи и компьютеры Active Directory».

Создание пользователя в домене.

1. Нажимаем «Пуск«, далее выбираем «Диспетчер серверов«.

2. В новом окне нажимаем «Средства«, в открывшемся списке выбираем «Пользователи и компьютеры Active Directory«.

3. Далее нажимаем правой клавишей на «User«, далее «Создать» — «Пользователь«.

4. Заполняем необходимые поля для создания пользователя (Имя, Фамилия, Имя входа пользователя). «Полное имя» заполнится автоматически. Затем нажимаем «Далее«.

5. В следующем окне дважды набираем пароль для пользователя. Затем устанавливаем чекбокс на «Требовать смены пароля при следующем входе в систему«. Тогда при входе в систему пользователю будет предложено заменить текущий пароль. Нажимаем «Далее«.

6. В новом окне смотрим сводную информацию по вновь созданному пользователю и нажимаем «Готово«. Будет создан новый пользователь.

Создание группы в домене

1. Для создания группы в домене, нажимаем правой клавишей мыши на «Users«, далее «Создать» — «Группа«.

2. Задаем «Имя группы«, «Область действия группы» и «Тип группы«, далее нажимаем «ОК«. Будет создана группа.

3. Для добавления пользователей в группу, открываем пользователя, выбираем вкладку «Член групп«, нажимаем кнопку «Добавить«.

4. В новом окне вводим имя группы, в которую будет добавлен пользователь. Проверяем нажав кнопку «Проверить имена«, далее «ОК«.

5. Также возможно добавить пользователя в группу, открыв нужную группу. Далее выбираем вкладку «Члены группы«. Нажимаем «Добавить«.

6. В новом окне вводим имена пользователей, которые будут добавлены в группу. Проверяем нажав клавишу «Проверить имена«, далее «ОК«.

Добавление подразделения в домене

1. Для добавления подразделения в домене нажимаем правой клавишей мыши на домен, в появившемся меню «Создать» — «Подразделение«.

2. Задаём имя подразделения, далее «ОК«.

3. Если необходимо, в созданном подразделении создаём вложенные подразделения. Далее в созданные подразделения можно перенести или создать различные объекты (пользователи, компьютеры, группы).

Удаление пользователя

1. Обычно сначала пользователя отключают и по истечении определенного промежутка времени удаляют. Для этого выбираем пользователя, правой клавишей мыши — «Отключить учетную запись«.

2. Для удаления выбирают необходимого пользователя, далее правой клавишей мыши — «Удалить«.

3. Появится предупреждение о том, что «Вы действительно хотите удалить Пользователь с именем. «. Нажимаем «Да» и выбранный пользователь будет удален из домена.

Удаление группы

1. Для удаления группы в домене выбираем нужную группу, нажимаем правой клавишей — «Удалить«.

2. Появится предупреждение о том, что «Вы действительно хотите удалить Группу безопасности. «. Нажимаем «Да«. Выбранная группа будет удалена из домена.

Удаление подразделения

1. Перед тем, как удалять подразделение, необходимо снять защиту, которая не дает удалить объект от случайного удаления. Если попробовать просто удалить подразделение, то появится предупреждение — «Недостаточные привилегии для удаления Departmnet1, или объект защищен от случайного удаления«.

2. Для снятия защиты в меню «Вид» выбираем «Дополнительные компоненты«.

3. Далее выбираем подразделение (объект), которое хотим удалить. Правой клавишей мыши — «Свойства«.

4. Выбираем вкладку «Объект«. Убираем чекбокс «Защитить объект от случайного удаления«, далее «ОК«.

5. Далее нажимаем правой клавишей мыши на выбранное подразделение — «Удалить«.

6. Появится предупреждение о том, что «Вы действительно хотите удалить Подразделение с именем. «. Нажимаем «Да«. Если в выбранном объекте не будет других вложенных объектов, то подразделение будет удалено.

7. Если объект содержит другие объекты, то появится предупреждение «Объект Department1 содержит другие объекты. Вы действительно хотите удалить объект Department1 и все содержащиеся в нем объекты?«. Нажимаем «Да» и выбранный объект будет удален с вложенными объектами.